智能主动防御系统(08-100)
1 引言
本文引用地址://www.cazqn.com/article/91772.htm1.1 安全防护软件发展现状
随着互联网的飞速发展,计算机病毒技术和黑客入侵技术也迅速发展,逐渐融合了网络蠕虫、木马、拒绝服务工具、缓冲区溢出工具等各种攻击手段,造成的损失也由最初的数据丢失,发展到现在的信息泄密,数据破坏,甚至互联网的瘫痪,破坏力越来越大。
伴随着病毒技术和黑客入侵技术的发展,安全防护技术也在迅速发展,各种各样的安全防护软件如“雨后春笋”般出现。这些安全防护软件的原理可以概括为“扫描”和“过滤”,它们利用特征库对文件进行扫描,对进入主机的数据包进行过滤,从而发现病毒和入侵。特征库成了这些防护软件功能的最大限制,谁拥有更完备的特征库谁就能防御更多病毒和入侵。特征库中存储的都是已知病毒和入侵的特征,因此这些安全防护软件仅能对已知的病毒和入侵进行防御,对未知的病毒和入侵束手无策。
防御未知病毒和未知入侵是当前安全防护软件迫切需要解决的问题。
1.2 方案设计与选择
智能主动防御系统(以下简称本系统)可分为网络防护和主机防护两部分,其中网络防护的主要功能是防御来自网络的入侵,主机防护的主要功能是防御恶意程序(如病毒)的破坏。
整个系统的总体架构如图1所示。各部分的功能如下:
1. 网络防护:用户态实现“伪装服务,提取特征”功能,NDIS驱动实现“ARP模拟不存活主机和数据包过滤”功能。
2. 主机防护:主机防护的核心部分是在系统内核驱动中完成检测恶意程序。
图1 系统总体构架
从图1可以看出,本系统是一个全方位的防护软件,它集防火墙与杀毒软件功能于一身。与传统的防护软件相比,其最大的特色是:能够主动防御未知入侵和检测未知病毒。
本系统通过自主学习建立自己的特征库从而实现防御未知入侵。系统摒弃了野蛮的病毒扫描模式,采用主动防御技术拦截程序的危险行为,实现了检测未知病毒。
评论