當前的“主動防御”

　　主動防御貌似已經被炒的夠熱，因為以病毒為主要攻擊方式的網絡安全事件層出不窮，反病毒軟件多數(shù)情況下對新出現(xiàn)的病毒沒有識別能力，也就不能很好地起到攔截作用。這種情況持續(xù)了很多年，隨著病毒的變化越來越多，病毒產業(yè)鏈的活動越來越猖獗，這個現(xiàn)象變得更嚴重了，由此引發(fā)了用戶對殺毒軟件的不信任。

　　為了解決這些日益嚴重的新威脅，殺毒廠商實際在分兩個方向同時啟步。一方面是采用傳統(tǒng)的特征識別、加強引擎脫殼、加強樣本的收集、加快病毒特征的更新等等。時至今日，這仍然是最主　　要的，效率最高的應對方法。但是，不可避免，會有電腦中招倒下，成為新病毒的犧牲品。另一方面，就是開發(fā)新的病毒識別技術。比如行為識別、注冊表保護、應用程序保護等等。

　　回頭看主動防御這個詞，最早應該來自網關或防火墻等網絡硬件系統(tǒng)。IDS（入侵檢測系統(tǒng)）和IPS（入侵防護系統(tǒng)），這些功能是在防火墻的基礎上開發(fā)的攻擊識別和攔截技術。因為，防火墻是兩個網絡之間的設備，用來控制兩個網絡之間的通信，相對自己所在的網絡來說，由外而內的訪問會根據防火墻的規(guī)則表，適用相應的訪問策略，策略包括允許、阻止或報告。通常，防火墻對由內而外的訪問，是允許的。那么，如果攻擊者在網絡內存在，將會對整個網絡產生安全問題。

　　入侵檢測系統(tǒng)是為監(jiān)測內網的非法訪問而開發(fā)的設備，根據入侵檢測識別庫的規(guī)則，判斷網絡中是否存在非法的訪問。管理員通過分析這些事件，來對網絡的安全狀況進行評估，再采取對應的防護策略。入侵檢測系統(tǒng)（IDS）一個很重要的問題，就是這類警告太多了，以致于管理員要從浩如煙海的日志中來發(fā)掘安全事件，不僅僅容易出錯，也增加了管理成本。IPS則相當于防火墻+入侵檢測，提高了性能，也減少了誤報。這些都是網關設備，這些設計理念，應用到桌面計算機系統(tǒng)，就被引伸為HIPS，即基于主機的入侵防護系統(tǒng)。

　　所謂的“主動防御”軟件，實際上是安全軟件的一個發(fā)展方向，不應該被解釋為某種技術或產品。用戶眼中的主動防御，應該是可以自動實現(xiàn)對未知威脅的攔截和清除，用戶不需要關注防御的具體細節(jié)。目的很簡單，就是我安裝了你，你為我負責，老老實實干你的活，別再煩我了。

　　安全軟件廠商也一直向這個方向努力，比如，殺毒軟件的主動更新，主動漏洞掃描和修復，以及對病毒的自動處理等。某種程度上說，符合主動防御的部分特征。

三方面的功能

　　目前，在很多被列為HIPS的軟件中，可實現(xiàn)大致三方面的功能：

1.應用程序層的防護，根據一定的規(guī)則，執(zhí)行相應的應用程序。比如，某個應用程序執(zhí)行時，可能會啟動其它程序，或插入其它程序中運行，就會觸發(fā)應用程序保護的規(guī)則。

2.注冊表的防護，根據規(guī)則，響應對注冊表的讀寫操作。這個比較好理解了，某程序執(zhí)行后，會創(chuàng)建或訪問某些注冊表鍵，同樣，這些注冊表鍵是被HIPS軟件監(jiān)視或保護的。

3.文件防護，對應用程序創(chuàng)建或訪問磁盤文件的防護，就是某程序運行后，會創(chuàng)建新的磁盤文件，或者需要訪問硬盤上某程序文件，從而觸發(fā)HIPS軟件的監(jiān)視或保護功能。

　　HIPS軟件的監(jiān)視和保護功能，向主動防御目標更進了一步，但還不沒有實現(xiàn)“主動防御”。因為，在使用這類軟件時，會大量頻繁觸發(fā)HIPS軟件的監(jiān)視功能，這些功能，尚不能自動進行正確的處理，對這些警報的處理，需要這臺電腦的最終用戶作出正確的選擇，這就是困惑所在。目前來說，HIPS軟件，盡管可以一定程度上起到提升安全性的作用，但用起來，太麻煩了。它真的是普通用戶需要的嗎？普通電腦用戶能夠做出正確的處置嗎？這些都是安全軟件廠商進一步需要完善的功能。同時，它還有另一個困惑：如果我能夠順利而熟練的使用HIPS的軟件，我可能只需要在其它方面注意，就可以更容易的避免受到病毒或木馬的入侵。

　　主動防御，并不神奇，顯然，目前還遠未實現(xiàn)真正的“主動防御”。只能說，離這個目標近了一些，殺毒廠商還有更多的選擇。難點在于：如何用技術實現(xiàn)，不需要更多技術，也能很好實現(xiàn)該技術所創(chuàng)造的功能。

標簽： 安全 防火墻 漏洞 通信 網絡 網絡安全 網絡安全事件 問題 選擇 用戶

版權申明：本站文章部分自網絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。