什么是主动防御?主动防御的原理又是什么?虽然主动防御的概念07年的时候就已经开始提出并被广大的杀毒厂商使用,但是恐怕大多数的用户并不知道自己的电脑中的杀毒软件主动防御的概念和原理。其实主动防御的概念很简单,下面我们通过与传统的病毒查杀方法对比来讲解什么是主动防御。
最为传统的病毒查杀技术其实为特征码扫描技术,简单来说就是杀毒厂商在病毒木马已经传播之后获取到病毒木马的样本,然后通过病毒分析师分析鉴定文件是否为恶意文件,如果存在恶意行为的文件,病毒分析师会通过软件把文件中的一些反汇编代码提取并添加到自己的杀毒软件病毒库中作为这个文件的查杀依据。使用此款杀毒软件的用户更新病毒库后,如果用户机器中此病毒就可以查杀,未中此病毒就可以防止中毒。传统的病毒查杀模式看上去很完美,其实有一点非常大的隐患——用户的互联网帐户密码以及隐私可能在被杀毒软件查杀前已经被黑客获取,查杀的及时性并没有做到。这样也就引发了杀毒软件主动防御技术的开发。下图为传统的杀毒软件查杀病毒木马的原理图。
传统杀毒软件查杀病毒木马原理
什么是主动防御呢?主动防御就是在病毒厂商并未截获病毒样本提取特征码而用户的机器恰巧中了未知的病毒木马时可以自动判断出文件是否为恶意软件从而进行查杀拦截,做到主动防御的效果。主动防御的原理是收集绝大部分的病毒木马行为以及病毒木马的共同点来建立一个特征库,例如文件大小(绝大部分病毒木马的大小为几十KB左右),文件的图标信息(绝大部分木马的图标为空),文件与用户是否有窗口交互(病毒木马一般为后台静默运行),文件是否有自动下载(大多数下载者会不经过用户同意后台自动下载几十个木马),等等很多很多的病毒木马共性,由此而做到了主动防御。
主动防御软件五个重大技术创新:
创建动态仿真反病毒专家体系:
对病毒木马行为规律分析、归纳、总结,并结合反病毒专家判定病毒的经验,提炼成病毒识别规则知识库。模拟专家发现新病毒的机理,通过对各种程序动作的自动监视,自动分析程序动作之间的逻辑关系,综合应用病毒识别规则知识,实现自动判定新病毒,达到主动防御的目的。
自动准确判定新病毒:
分布在操作系统的众多探针,动态监视所运行程序调用各种应用编程接口(API)的动作,自动分析程序动作之间的逻辑关系,自动判定程序行为的合法性,实现自动诊断新病毒,明确报告诊断结论;有效克服当前安全技术大多依据单一动作,频繁询问是否允许修改注册表或访问网络,给用户带来困惑以及用户因难以自行判断,导致误判、造成危害产生或正常程序无法运行的缺陷。
程序行为监控并举:
在全面监视程序运行的同时,自主分析程序行为,发现新病毒后,自动阻止病毒行为并终止病毒程序运行,自动清除病毒,并自动修复注册表。
自动提取特征值实现多重防护:
在采用动态仿真技术的同时,有效克服特征值扫描技术滞后于病毒出现的缺陷,发现新病毒后自动提取病毒特征值,并自动更新本地未知特征库,实现“捕获、分析、升级”自动化,有利于对此后同一个病毒攻击的快速检测,使用户系统得到安全高效的多重防护。
可视化显示监控信息:
对所监控程序行为的信息可视化显示,用户可随时了解计算机正在运行哪些程序,其中哪些是系统程序,哪些是应用程序,还可进一步了解程序是何时安装,什么时候运行,运行时是否修改了注册表启动项,是否生成新的程序文件,程序是否具有自启动,程序由谁启动执行,程序调用了哪些模块,以及当前网络使用状况等等。用户直观掌握系统运行状态,并依据其分析系统安全性。既可用作系统分析工具,又可作为用户了解计算机系统的学习工具。
主动防御的概念以及主动防御的原理讲解的差不多了,目前来说卡巴斯基、微点、瑞星、金山、奇虎360等杀毒软件都已经具备了主动防御的技术,其中以微点主动防御软件的住房技术尤为突出,大家可以在杀毒软件排行榜挑选下载找到适合自己的主防类安全软件。
