安全技术的困惑与趋势：主动防御路漫漫

一、透析主动防御

既然是主动防御，就应该对应一个“被动防御”，其实以前杀毒软件采用的特征码技术正是被动方式。我们知道，传统的杀毒思路都是病毒先出现，甚至是大规模爆发之后，安全厂商才开始做后期工作，最终提取特征码放入病毒库，终端用户再通过升级将最新的病毒清除掉。

无疑这个过程是被动的，但并不繁琐（毕竟大部分工作由厂商技术人员完成），不过弊端也显露无疑，即不能第一时间完成对最新病毒的防护。

而主动防御恰恰要解决这个问题，主动防御并不需要病毒特征码支持，只要杀毒软件能分析并扫描到目标程序或线程的行为，并根据预先设定的规则，判定是否应该进行清除操作。这好像内置了一个“类”，而非一个个病毒码。遗憾的是，日趋成熟和复杂的病毒在大量的变种后都已经改变了本来的特性和威胁方式，虽然各大安全厂商通过“广谱查杀”技术可以清除一些变种，但明显已经力不从心。所以通过“类”仍然不能完全屏蔽各种未知病毒，目前的主动防御也只是在特征码技术的支持上发展。

某产品中主动防御结构示意图

同样的问题，主动防御会给用户很多自主选择的机会，这样做虽然主动，但对于用户来说却过于繁琐。因为面向不同阶层的用户而言，很多人并不知道主动防御的提示信息该如何操作。是放行还是禁止？毕竟，很多正常操作对系统的修改和读写也非常多。

二、主动防御的基本工作模式

正是基于上面的原因，主动防御技术更多的只是关心系统中最容易被侵害的部分，这里要先说说HIPS概念。HIPS是监控系统中全局变化的技术（简称3D），并把监测结果提交给用户选择。如果你阻止了，那么它将无法运行或者更改。比如你运行了一个病毒程序，带有HIPS功能的软件会跳出来报告，如果你阻止了这个行为，那么病毒是不会运行的。严格意义上说，如果你的水平够高，你完全可以利用HIPS抵挡任何恶意程序。