龙源期刊网 http://www.qikan.com.cn
浅析网络安全领域之“主动防御”技术
作者:于兴艳 李 菊
来源:《电脑知识与技术·学术交流》2008年第24期
摘要:本文通过介绍部分常见的病毒引出主动防御概念,简单解析主动防御的产生原因、
基本原理、目前现状以及今后的发展趋势。
关键词:病毒;主动防御
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)24-1176-02
1 引言
2007年恶意病毒的破坏性时史无前例的,从“熊猫烧香”、“AV终结者”到年末的“酷狮
子”、“机器狗”等,国内外众多知名杀毒软件瞬间被它解除武装。为了解决日益严重的安全威
胁问题,从去年末到今年初,各安全厂商均打出“主动防御”的旗号强势推出了各自的新产品。
那么,各个安全厂商所推崇的“主动防御”到底是一种什么样的技术呢,它又是如何实现的
呢?
2 浅析“主动防御”
众所周知,以往主流的杀毒软件,均采用“被动防御”式杀毒思路,即在新型病毒出现或大
规模爆发以后,安全厂商才采取对策,把提取的病毒特征码加入到病毒库中,由此杀毒软件才
具备查杀病毒的能力。因此,一些新病毒泛滥初期,杀毒软件并不具备查杀能力的,这个杀毒
过程无疑是被动的。
主动防御则需要解决这个问题,为了改变被动挨打的局面,主动防御抛弃了杀毒软件陈旧
的查杀病毒模式,转变成为以下方式:通过对系统行为的监控,分析并扫描目标程序或线程的
行为,并根据预先设定的规则,判断是否有病毒入侵并决定是否应该进行清除操作。任何一款
病毒,只要进入用户的操作系统,都会向注册表和硬盘写入文件,而这些写入与非病毒的写入
龙源期刊网 http://www.qikan.com.cn
是不同的,通过对比,主动防御可以判断出哪些是病毒入侵,哪些是正常文件的写入。通俗地
说,使用了主动防御技术的杀毒软件,无需更新病毒库也可以查杀新的病毒,这是杀毒软件的
一个历史性革新。
3 “主动防御”工作原理
主动防御技术首先会构造一个框架,并在其内填入一组预先定义好的规则,这些规则是根
据反病毒工程师在分析了超过几十万的大量病毒(或者说恶意程序)的代码特征和行为特征后提
炼总结出来的,因此具有很大的代表性和前瞻性。主动防御会使用这组规则对被扫描对象内的
代码和运行的行为进行分析,以确定其是否含有恶意代码和具有恶意行为。
当今的反病毒软件,主要使用两种方法来检测恶意代码(安全威胁):基于特征码的精确检
测和主动防御。
要判断一个主动防御技术的有效性以及它能否脱离基于特征码的扫描技术而独立承担反病
毒任务,就需要理解主动防御技术所基于的理论。
目前来看,各反病毒厂商采用的主动防御技术主要有:启发式分析技术、入侵防御系统技
术、缓冲区溢出检测技术、基于策略的检测技术、警告系统和行为阻止技术。而总的来说,反
病毒厂商使用最多的是启发式分析和行为阻止这两项技术。
3.1 启发式分析技术
启发式分析技术又分为静态分析和动态分析两种。
“静态分析”就是指使用启发式分析器分析被扫描对象中的代码(指令),判断其中是否包含
某些恶意的指令(反病毒程序中会定义一组预先收集到的恶意指令特征)。比如说,很多病毒会
搜索可执行文件,创建注册表键值等行为。“静态”启发式分析器就会对被扫描对象中的代码进
行解释,检查是否包含执行这些行为的指令,一旦找到这样的指令,就调高“可疑分数”。当可
疑分数高达一定值,就会将被扫描对象判断为可疑的恶意程序。这种分析技术的优点在于,对
系统资源使用较少,但是坏处就在于误报率太高。
而“动态分析”是指由反病毒程序在计算机内存中专门开辟一个受严格保护的空间(由“虚拟
机”技术来实现),并将被检测对象的部分代码拷贝进这个空间,使用一定的技术手段来诱使这
段代码执行,同时判断其是否执行了某些恶意行为(反病毒程序中会定义一组预先收集的恶意
龙源期刊网 http://www.qikan.com.cn
行为特征)。一旦发现有匹配的恶意行为,就会报告其为对应的恶意程序。这种技术的优点在
于准确度很高。
3.2 行为阻止技术
行为阻止技术是对程序的运行行为进行监控,并对任何的危险行为进行阻止的技术。它会
检查包括修改(添加/删除/编辑)系统注册表、注入系统进程、记录键盘输入、试图隐藏程序等
在内的大量潜在恶意行为。新一代的行为阻止技术在第一代技术的基础上,做了很大的改进。
它不会仅仅根据某个独立的潜在恶意行为就提示风险,而是对程序行为执行的先后顺序进行分
析,从而以更加智能和成熟的方式来判断程序的行为是否有恶意。该技术大大提高了对恶意行
为判断的准确率。
从以上介绍的主动防御技术来看,主动防御技术也需要基于一个“知识库”进行工作。这个
“知识库”中包含了大量恶意程序的潜在恶意行为/指令特征。主动防御技术分析、监控系统内
进程或程序的行为和指令,并将它们与“知识库”中的特征进行比对,判断是否符合。而这个
“知识库”需要反病毒专家对大量已知病毒进行分析,并且对它们的常见行为和指令进行归纳总
结,并将提炼出来的特征值添加入“知识库”。由此,我们可以得出结论,主动防御技术虽然能
够防御大量使用已有恶意行为的新恶意程序,但是,如果某些新的恶意程序采用了全新的方法
(不在“知识库”中的方法)来入侵、感染计算机,并盗取私密数据的话,主动防御技术仍然是无
法对其进行有效防御的。因此,主动防御技术也需要不断地更新其“知识库”和其采用的判断逻
辑,否则可能还是会被新的威胁钻了空子。
4 “主动防御现状”
近两年来,针对杀毒软件的病毒库更新永远滞后于病毒出现的缺陷,国内几大知名计算机
反病毒软件公司相继推出“病毒主动防御”系统:
瑞星2008版宣称其“智能主动防御”技术能阻止恶意程序执行,可以在病毒发作时进行主
动而有效的全面防范,从技术层面上有效应对未知病毒的肆虐。
江民杀毒软件KV2008是全新研发推出的计算机反病毒与网络安全防护软件,号称是全球
首家具有灾难恢复功能的智能主动防御杀毒软件。
赛门铁克于其安全软件中加入其首个主动式防御技术,强调其新的主动式防御技术将减少
使用者判断机会,并可更精细、仅局部封锁威胁等功能。
龙源期刊网 http://www.qikan.com.cn
此外,启明星辰、绿萌、金山毒霸等国内知名软件公司也纷纷使出看家本领,不断推出带
有“主动防御”功能的系统及升级库,而国外的诺顿、Kaspersky、macafee、Websense等杀毒巨
头亦已经开始向“主动防御”+“特征码技术”过渡了。
目前涉足主动防御领域的各家厂商对“主动防御”产品都有自己不同的见解,表1为部分安
全厂商对于“主动防御”的解释。
综合分析,虽然各大安全厂商对于“主动防御”的解释各有差异,但大都基本能实现大致三
方面的功能:
1) 应用程序层的防护,根据一定的规则,执行相应的应用程序。比如,某个应用程序执行
时,可能会启动其它程序,或插入其它程序中运行,就会触发应用程序保护的规则。
2) 注册表的防护,根据规则,响应对注册表的读写操作。
龙源期刊网 http://www.qikan.com.cn
3) 文件防护,对应用程序创建或访问磁盘文件的防护,就是某程序运行后,会创建新的磁
盘文件,或者需要访问硬盘上某程序文件,从而触发软件的监视或保护功能
从某种程度上说,以上的各安全厂商所宣传的功能基本符合主动防御的部分特征。
5 主动防御的未来发展
早在2006年3月,《PC World》杂志的测试就表明了主动防御技术的有效性不超过
60%,必须通过结合传统特征码技术来最大限度保障计算机的安全。而随着主动防御技术的发
展,现在的成功率大概在60%~80%之间。很显然主动防御还远没有达到可以完全信任的程
度。
到目前为止,反病毒界仍然没有更好的方法来替代传统的杀毒方法,所以衡量安全解决方
案有效性还要看主动防御的品质,以及面对新病毒威胁的反应时间,也就是说需要更智能的防
御体系和更快速的升级速度。
主动防御是一个很广泛的概念,尽管现在应用起来涉及到许多技术问题,但未来它必定是
安全领域一种新的应用模式,可以这样讲:主动防御的发展是以人机交互技术为基础的,它在
安全领域中占得比重越大,表明产品越智能。但这并不意味着主动防御与被动防御存在冲突,
相反它们之间倒是很好的互补。只是随着技术的发展,主动防御在安全产品中会越来越主动!
