智能主動防御系統(tǒng)(08-100)

　　本系統(tǒng)的“智能”主要體現(xiàn)在：

　　1) 自主學習：主動收集未知入侵特征，防御未知入侵。

　　2) 主動防御：變被動為主動，將未知病毒扼殺于搖籃中。

　　此外，本系統(tǒng)還提供了功能強大的系統(tǒng)輔助工具，例如：進程管理，網(wǎng)絡連接管理，服務管理，啟動項管理，HOSTS文件管理等。

　　2 系統(tǒng)原理與實現(xiàn)

　　2.1 智能防火墻原理與實現(xiàn)

　　本防火墻的智能主要體現(xiàn)在：它能夠通過自主學習實現(xiàn)對未知入侵的防御。

　　2.1.1 傳統(tǒng)防火墻的工作原理

　　傳統(tǒng)防火墻有一個入侵特征庫和一個過濾規(guī)則表。當網(wǎng)絡數(shù)據(jù)包到來時，防火墻會將包中的數(shù)據(jù)與特征庫和過濾規(guī)則進行匹配，符合要求的放行，不符合規(guī)則的就丟棄。

　　傳統(tǒng)防火墻的特征庫是由防火墻開發(fā)商維護并提供給用戶下載的。庫中的數(shù)據(jù)都是對已知入侵的特征提取。因此傳統(tǒng)的防火墻也只能防御已知的入侵。然而，網(wǎng)絡中無時無刻不在產生著新的威脅，殺毒軟件開發(fā)商能夠分析到的危險只是其中很少的一部分。因此，傳統(tǒng)的防火墻防御入侵的能力是非常有限的。

　　2.1.2 智能防火墻的工作原理

　　智能防火墻也有一個入侵特征庫，不過維護這個特征庫的不是防火墻的開發(fā)人員而是防火墻本身。

　　對于已知的威脅我們可以事先將其特征寫入到特征庫中。對于未知的新的安全威脅，智能防火墻可以根據(jù)黑客入侵的特征，比如在入侵的開始階段往往是盲目的，黑客會進行大范圍的攻擊掃描，由此不可避免的會給不存活IP地址發(fā)送數(shù)據(jù)包。智能防火墻認為對不存活主機的連接是具有惡意的，是入侵的前兆。防火墻的內部維護著一張局域網(wǎng)內的存活主機列表，當它檢測到網(wǎng)內有向不存活主機發(fā)送的ARP請求時，會偽裝成目的主機發(fā)出ARP應答，并與入侵者進行進一步的交互，從交互的數(shù)據(jù)中提取特征，存入特征數(shù)據(jù)庫。

　　在上述的過程中，智能防火墻雖然不知道具體的入侵類型，但是由于它掌握了入侵的數(shù)據(jù)特征，因此下次對本網(wǎng)的相同威脅就能被檢測到。其原理如圖2所示。

　　圖2 智能防火墻工作原理