主動防禦是與被動防禦相對應的概念,就是在入侵行為對信息系統發生影響之前,能夠及時精準預警,實時構建彈性防禦體系,避免、轉移、降低信息系統面臨的風險。
傳統的信息安全,受限於技術發展,採用被動防禦方式。隨著大數據分析技術、雲計算技術、SDN技術、安全情報收集的發展,信息系統安全檢測技術對安全態勢的分析越來越準確,對安全事件預警越來越及時精準,安全防禦逐漸由被動防禦向主動防禦轉變。
基本介紹
- 中文名:主動防禦
- 外文名:Active Defense
- 意義:對網路入侵行為主動進行防禦
- 性質:主動防禦
名詞解釋,發展,國外發展,國內發展,技術特點,包括層次,
名詞解釋
主動防禦是一種阻止惡意程式執行的技術。
發展
國外發展
像Symantec、McAfee、eSafe、Panda等廠商在2004年先後已提出了他們各自的主動防禦技術
關於主動防禦的定義,業界一般都認為是一種不依賴於傳統的特徵碼掃描,其特徵庫(行為、規則等)不需要即時更新的識別新病毒的技術。而且很久之前業界就有共識:主動防禦像別的技術一樣,並不能包醫百病,而只是傳統的被動防禦技術的一個很好的補充。
國內發展
江民科技,瑞星,金山,等廠商先後在2005年到2009年間推出了帶有主動防禦功能的防毒軟體,比國外的安全軟體廠商稍晚一些。
隨著“主動防禦”概念的流行,一些廠商的進行了大量的片面宣傳,以“程式活動行為分析”取代完整的主動防禦概念,利用其能夠直接查出未知病毒的特性,欺騙很多用戶認為其就是主動防禦,實際上其只是“智慧型主動防禦”中的一部分。
目前,許多宣稱具有主動防禦功能的安全軟體,都只完成了三層架構中的“程式活動行為分析”或“資源訪問規則控制”。
“智慧型主動防禦” | 主動防禦A | 主動防禦B | |
資源訪問規則控制 | √ | × | √ |
資源訪問掃描 | √ | × | × |
程式活動行為分析 | √ | √ | × |
(“智慧型主動防禦”與主動防禦的區別)
技術特點
目前反病毒廠商使用的主流技術依然是沿襲多年的“特徵碼查殺”技術,其反病毒流程是“截獲-處理-升級”。雖然這種技術已經非常成熟可靠,但是它總是滯後於病毒的傳播,也就是說,當反病毒廠商截獲新病毒的時候,已經有部分用戶被病毒侵害。“主動防禦”最初出現時,就是為了彌補傳統“特徵碼查殺”技術的致命弱點——對新病毒的滯後性。
包括層次
第一層:資源訪問控制層(即HIPS)
它通過對系統資源(註冊表、檔案、特定系統API的調用、進程啟動)等進行規則化控制,阻止病毒、木馬等惡意程式對這些資源的使用,從而達到抵禦未知病毒、木馬攻擊的目的。
第二層:資源訪問掃描層(即傳統的檔案監控、郵件監控等)
通過監控對一些資源,如檔案、引導區、郵件、腳本的訪問,並使用攔截的上下文內容(檔案記憶體、引導區內容等)進行威脅掃描識別的方式,來處理已經經過分析的惡意代碼。
第三層:進程活動行為判定層(危險行為判定、DNA識別)
進程活動行為判定層自動收集從前兩層傳上來的進程動作及特徵信息,並對其進行加工判斷。瑞星專家經過對數十萬病毒的危險行為進行分析,提煉,設計出全新的主動防禦智慧型惡意行為判定引擎。無需用戶參與,該層可以自動識別出具有有害動作的未知病毒、木馬、後門等惡意程式。
