微点交流论坛 - 微点软件使用交流

龙啸天下
禁止访问

积分 218
发帖 218
注册 2008-9-23

#1 认清主动防御概念

病毒攻击已确实成为IT安全的头号威胁。它们不仅导致经济损失，更带来其他种种的安全威胁，例如机密资讯盗窃与针对敏感性资料的未授权存取。因为这些威胁，反病毒业界推出许多新方法，用以保护IT基础建设。

病毒攻击造成巨大的损失，与此具备相同严重性的，则是恶意程序码的种类与数量正加速增长。在2005年，恶意程序数量呈现爆炸性的增长：据卡巴斯基实验室统计，截至该年底为止，每月检测到的平均病毒数量已达6368种。与上一年度的93%比较起来，年度整体上涨率高达117%。

同样的，威胁本身的本质业已改变。恶意程序不但变得更多，也变得比以前更加危险。为回应此种挑战，反病毒业界采用一系列的新方法，包括主动防御技术，更快速的回应可能爆发疫情的新威胁，以及更加频繁的更新反病毒数据库。

病毒与杀毒软件之间，就是一种循环的无休止的状态，双方总是希望能战胜对方，所以双方的装备就不断升级，病毒从C-BRAIN到AV终结者，从软盘传播到网页传播。病毒总是占领着主动，杀毒软件也不甘示弱，从杀毒卡到在线查杀，从纯特征码到启发式，从单纯杀毒到主动防御。

很多安全厂商在努力，不断研究、完善新的技术和检测方法，以应对各种未知威胁。2008年是杀毒技术逐渐成熟的一年，杀毒软件逐渐运用了诸多新技术。例如卡巴斯基的HIPS、安全网络；Norman的沙盘；诺顿的AntiBot、Sonar网络；Mcafee出色的防御规则；微点的动态防御等。还有各个杀毒软件都具备的NTFS数据流查杀技术，行为判断，未知病毒检测等等。

这些技术不仅是对新病毒的挑战更是对用户安全的一次革命。杀毒厂商正好也看中了这一点。抓住了这个契机，并开展了广告宣传架势。但是对于初级电脑用户来说，HIPS，沙盘，动态脱壳，动态仿真，虚拟机到底是什么，有什么用，是否会拖慢系统，对病毒的抵抗是否能够上升到一个新的高度，同时也是一些初级用户选择杀毒软件犹豫的地方。所以本文将介绍一些技术概念，带领用户理性的选择适合自己的杀毒软件，并帮助使用者更客观地判断这些技术的有效程度。

主动防御（Proactive Denfense），有人认为主动防御只包括行为拦截和前瞻性防御，还有人竟认为主动防御就是HIPS，其实现在业界对主动防御还没有一个很好的定义，甚至每种不同杀软的白皮书的定义都不同。

我们首先可以从字面意思上来分析，主动防御，也就是非被动防御，对未知威胁，传统技术所预测不到的病毒进行防御，那么也就可以这么理解，区别于特征码杀毒的都可以叫做主动防御（前摄性防御），狭义的主防就是指行为拦截。那么就定义来看，NOD32和红伞也应该有主防的。

主动防御已经被炒的够热，因为以病毒为主要攻击方式的网络安全事件层出不穷，反病毒软件多数情况下对新出现的病毒没有识别能力，也就不能很好地起到拦截作用。这种情况持续了很多年，随着病毒的变化越来越多，病毒产业链的活动越来越猖獗，这个现象变得更严重了，由此引发了用户对杀毒软件的不信任。

为了解决这些日益严重的新威胁，杀毒厂商实际在分两个方向同时启步。一方面是采用传统的特征识别、加强引擎脱壳、加强样本的收集、加快病毒特征的更新等等。时至今日，这仍然是最主要的，效率最高的应对方法。但是，不可避免，会有电脑中招倒下，成为新病毒的牺牲品。另一方面，就是开发新的病毒识别技术。比如行为识别、注册表保护、应用程序保护等等。

回头看主动防御这个词，最早应该来自网关或防火墙等网络硬件系统。IDS(入侵检测系统)和IPS(入侵防护系统)，这些功能是在防火墙的基础上开发的攻击识别和拦截技术。因为，防火墙是两个网络之间的设备，用来控制两个网络之间的通信，相对自己所在的网络来说，由外而内的访问会根据防火墙的规则表，适用相应的访问策略，策略包括允许、阻止或报告。通常，防火墙对由内而外的访问，是允许的。那么，如果攻击者在网络内存在，将会对整个网络产生安全问题。

入侵检测系统是为监测内网的非法访问而开发的设备，根据入侵检测识别库的规则，判断网络中是否存在非法的访问。管理员通过分析这些事件，来对网络的安全状况进行评估，再采取对应的防护策略。入侵检测系统(IDS)一个很重要的问题，就是这类警告太多了，以致于管理员要从浩如烟海的日志中来发掘安全事件，不仅仅容易出错，也增加了管理成本。IPS则相当于防火墙+入侵检测，提高了性能，也减少了误报。这些都是网关设备，这些设计理念，应用到桌面计算机系统，就被引伸为HIPS，即基于主机的入侵防护系统。

所谓的”主动防御“软件，实际上是安全软件的一个发展方向，不应该被解释为某种技术或产品。用户眼中的主动防御，应该是可以自动实现对未知威胁的拦截和清除，用户不需要关注防御的具体细节。目的很简单，就是我安装了你，你为我负责，老老实实干你的活，别再烦我了。

安全软件厂商也一直向这个方向努力，比如，杀毒软件的主动更新，主动漏洞扫描和修复，以及对病毒的自动处理等。某种程度上说，符合主动防御的部分特征。

目前，在很多被列为HIPS的软件中，可实现大致三方面的功能：

1.应用程序层的防护，根据一定的规则，执行相应的应用程序。比如，某个应用程序执行时，可能会启动其它程序，或插入其它程序中运行，就会触发应用程序保护的规则。
2.注册表的防护，根据规则，响应对注册表的读写操作。这个比较好理解了，某程序执行后，会创建或访问某些注册表键，同样，这些注册表键是被HIPS软件监视或保护的。
3.文件防护，对应用程序创建或访问磁盘文件的防护，就是某程序运行后，会创建新的磁盘文件，或者需要访问硬盘上某程序文件，从而触发HIPS软件的监视或保护功能。

HIPS软件的监视和保护功能，向主动防御目标更进了一步，但还不没有实现“主动防御”。因为，在使用这类软件时，会大量频繁触发HIPS软件的监视功能，这些功能，尚不能自动进行正确的处理，对这些警报的处理，需要这台电脑的最终用户作出正确的选择，这就是困惑所在。目前来说，HIPS软件，尽管可以一定程度上起到提升安全性的作用，但用起来，太麻烦了。它真的是普通用户需要的吗?普通电脑用户能够做出正确的处置吗?这些都是安全软件厂商进一步需要完善的功能。同时，它还有另一个困惑：如果我能够顺利而熟练的使用HIPS的软件，我可能只需要在其它方面注意，就可以更容易的避免受到病毒或木马的入侵。

主动防御，并不神奇，显然，目前还远未实现真正的“主动防御”。只能说，离这个目标近了一些，杀毒厂商还有更多的选择。难点在于：如何用技术实现，不需要更多技术，也能很好实现该技术所创造的功能。

※ ※ ※ 本文纯属【龙啸天下】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-20 18:34

龙啸天下
禁止访问

积分 218
发帖 218
注册 2008-9-23

#2

主动防御无标准

可见，主动防御作为一种概念被提出来以后，在技术实现上没有固定的标准，产品间缺乏相互开放的端口，阻碍主动防御这个理念的发展，而最终归于仅加强个体安全产品性能这个狭隘的范畴。面对当前日益严重的未知威胁，主动防御技术引导大多数杀毒厂商在两个方向发展并实施：

一方面是采用传统的特征识别、加强引擎脱壳、加强样本的收集、加快病毒特征的更新等等。时至今日，这仍然是最主要的，效率最高的应对方法。但是，不可避免，会有电脑中招倒下，成为新病毒的牺牲品。

另一方面是开发新的病毒识别技术。比如行为识别、注册表保护、应用程序保护等等。

主动防御运用的技术

启发式：可分为静态启发和动态启发；

行为分析：比如卡巴斯基2009的应用程序过滤；

HIPS：这里的HIPS指Classic HIPS和intelligence HIPS，而SandBox用于回滚，来恢复病毒的操作；

广谱特征码：又叫Gen、基因、DNA，但这个还没有定义，可以说是，也可以说不是；

云安全：就目前的应用来看主要有，启发式分析、信息回馈，可信度、白名单等。此技术刚出来不久，还很难下定论。

主动防御的缺点

部分正常软件的行为或者启发特征码与病毒行为重合，就会产生误报，而且现在很多杀软都采用了对数字签证的检测，比如KB2009，首先会检测文件的数字签证，之后是特征码分析和行为分析，如果没有数字签证，即使无特征码和行为分析。那也会把文件放到低权限（以后会有权限提升，需要用户选择，非常繁琐），而如果这三者都无误，才会放到受信任权限，但是一部分软件的beta版本是没有数字签证的（比如迅雷6）这样就会给用户带来极大的不便。

而且行为拦截的难度是很大的，还没有统一的标准。怎么样的才是恶意行为？既然要识别病毒的“行为”就需要让病毒运行，如何在病毒造成危害前阻断病毒继续运行也是个大问题，主动防御其实显得有些被动。

而且行为拦截还有着使用难度大的困扰，常见的行为拦截类软件如HIPS，会对软件的动作进行预警，而且会频繁报警，让用户无法适从，因为HIPS只告诉用户程序做了什么，是不是病毒要用户自己判断，而真正熟悉病毒行为的人有几个？有能力判断程序行为是不是病毒的又有几个？

为了避免频繁报警的问题，HIPS都应用了“规则”，但是规则的定义又很麻烦。定义严了吧，容易造成错误判断，定义松了呢，又无法保证系统的安全性，所以说，HIPS在不同的人手中的效果，是天差地别的。

所以，主动防御如果运用了行为拦截，就必须解决易用性问题，因为安全软件的定位是大众，而不是小众。

病毒行为特征是不断动态变化的，通过病毒行为监测的方式防御未知病毒并不是最有效的方式，我们对众多宣称具有主动防御技术的安全产品需谨慎对待，对于进程相关方面知识欠缺且安全要求相对较低的人不必选择主动防御产品，主流的杀毒软件及时升级可以应对一般的安全风险。

突破主动防御

一般来说启发比较好过，最基本就是特征码定位，还有比较简单的+花，+壳，或者文件前端多做一些无意义动作（因为一般的启发分析仅仅会看文件开头，当让动态启发就没用了）。

行为分析和HIPS，绕过行为分析，需要很好的思维能力（难度相对于特征码要难很多），说实话这个用技术还真不好过，但是可以利用杀软的bug，比如前段时间的改时间，当然有些行为分析和HIPS对恢复SSDT无法防御，这样也可以绕过。

广谱特征码，目前来看，没有什么投机取巧的方法，如果有家族DNA，最好的方法特定性针对免杀。

云安全，最简单的方法就是断网！

主动防御未来的发展

我个人认为目前的主动防御的应用技术确实不太尽人意，可以说，我们每提升1%的安全性，就会降低2%的计算机性能，当然云技术云安全可以算开了一个好头，但是对网络依赖太大，会拖慢网速，而且分析是否及时，服务器性能是否强大，真的都是未知数。

未来的主动防御，个人认为应该以全新的技术为主，而不是启发，行为分析等（当然可以在目前完善白名单和资源占用进行过渡），云安全就是一个很好的例子，我们还有很长的路要走。

※ ※ ※ 本文纯属【龙啸天下】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-20 18:34

杀毒小强手
注册用户

积分 55
发帖 55
注册 2009-2-15

#3

支持一下。。( ^_^ )不错嘛！学习了。

※ ※ ※ 本文纯属【杀毒小强手】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-20 19:32

plmokn
注册用户

积分 116
发帖 116
注册 2009-2-10

#4

微点的主动防御比较成熟比较可靠
云安全是骗人的幌子
主动防御技术微点已经比较完善了，过微点的木马极少，不服就拿出一个过微点的木马来让我们看看，防黑客攻击防木马还是微点过硬可靠

※ ※ ※ 本文纯属【plmokn】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-20 19:39

plmokn
注册用户

积分 116
发帖 116
注册 2009-2-10

#5

真正过微点的木马没有几个
别的杀毒软件的免杀木马不计其数
你选择哪个杀毒软件？

※ ※ ※ 本文纯属【plmokn】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-20 19:41

lgjlgj
高级用户

积分 990
发帖 990
注册 2008-8-30

Quote:

Originally posted by plmokn at 2009-2-20 19:41:
真正过微点的木马没有几个
别的杀毒软件的免杀木马不计其数
你选择哪个杀毒软件？

所以我舍弃瑞星，卡巴，小A，金山而用微点

※ ※ ※ 本文纯属【lgjlgj】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-20 20:29

qbnnq1000
高级用户

积分 851
发帖 853
注册 2008-7-17

#7

主防是好，但不是动不动就说云安全是骗人，就算刘旭自己也没否认，只是说他不是救世主，云安全就是一个自己收集与反馈的过程。
未来的趋势是主动+云安全。

※ ※ ※ 本文纯属【qbnnq1000】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-2-20 20:55

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号