Board logo

标题: 广义主动防御 [打印本页]
作者: tcjgdw@163.com     时间: 2009-1-2 00:10    标题: 广义主动防御

2005年微点提出主动防御,我认为那是最初的,狭义的主动防御,是对未知病毒的主动防御。不过当时对付熊猫烧香这么一个完全没有技术含量的病毒,特征码完败,狭义的主动防御完胜。
      经过几年的发展,微点已发展到广义的主动防御,广义的主动防御概念包含两个方面。一是对未知病毒的主动防御,就是我们平常所说的主动防御,那是狭义上的主动防御,主要是防御未知病毒;二是对已知病毒的主动防御,就是我们平常所说的实时监控。
      可能有人会提出实时监控为什么是主动防御?明明是被动防御。其实扫描才是一个完全被动的防护过程,只有你给杀毒软件下达了扫描命令,杀毒软件才会去扫描。换个角度讲,如果我们在扫描的时候,查出了病毒,那么很遗憾,已经确认您被病毒肆虐过了。有些人还认为我手工去扫描是一种主动行为啊,怎么会是被动呢?我们谈到的主动和被动是从安全防护的角度出发的,先中毒,后杀毒,所以扫描是一种被动防御。
      随着网络的普及,病毒越来越多,传播速度越来越快,用户越来越不堪病毒的烦扰,被动的扫描越来越被用户所诟病——很可能一次扫描还没有结束,几分钟前刚被扫描完的文件又被感染了。一个很理所当然的想法就出现了——如果每时每刻都在不间断的做扫描,那岂不是可以把安全系数提高很多。实时监控就随着发展的需要就这么出现了。实时监控是具有划时代的意义,全天候监控系统中被调入内存准备执行的文件,以保证磁盘中所有文件的安全。相对于被动扫描来说,实时监控就是一种主动扫描。
      虽然实时监控是一种非常好的技术理念,本意也是为了夺回电脑安全的控制权,但是由于其本质上仍然要依靠特征码整体被动性的困扰,所以在当前病毒数量大幅度增加,病毒日益木马化的时期,实时监控日益遭受用户的不满。在这种形势下,特征码最具优势的批量扫描逐渐失去了优势。因为木马只有很少几个文件,不会做全盘感染,用扫描引擎试图在诺大的硬盘上查找几个文件,费时费力,效果还不甚理想。但实时监控的精神是非常好的,只有实时控制才能有效保证系统的整体安全。所以下一代的安全软件,仍然会以病毒特征码比对的实时监控+以病毒行为判断未知病毒的主动防御为主要表现形势。
作者: qbnnq1000     时间: 2009-1-2 10:40
真正的主动防御不是刘旭说的算,更不是LZ说的算。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn