WEB开发网
开发学院网络安全安全技术 安全技术的困惑与趋势:主动防御路漫漫 阅读

安全技术的困惑与趋势:主动防御路漫漫

 2008-09-10 13:24:29 来源:WEB开发网   
核心提示: 主动防御如果完全借鉴了HIPS则会给用户造成巨大负担,任何一种技术也只是尽可能的完美主动防御概念,安全技术的困惑与趋势:主动防御路漫漫(2),因为“完全不用用户干预,软件全部自动识别完成”的目标更像是一个极限,可计算机的智能总是在一系列的规则下诞生,而可以灵活多变的

主动防御如果完全借鉴了HIPS则会给用户造成巨大负担,任何一种技术也只是尽可能的完美主动防御概念,因为“完全不用用户干预,软件全部自动识别完成”的目标更像是一个极限。当前各大安全厂商都分别在AD(Application Defend)应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系中应用主动防御的概念,确保覆盖面完整,其中启发式分析器与行为拦截是比较流行的两种工作模式。

启发式分析器在扫描过程中抓住了病毒与传统程序的操作不同特性,利用静态方式获取可疑指令,然后结合动态分析方法在模拟环境中判断。比如启发式分析器在扫描一个程序时发现其中有格式化的命令,并且整个操作没有人机交换功能。换句话说,这很可能是恶意格式化程序,此时该程序就被列为危险程序。同样,将诸如加壳、创建createRemoteThread、插入木马普遍采用的API等动作也加入其中,就可以囊括大部分威胁信息,而通过建立一个虚拟PC系统(也叫SandBox)模拟执行后,若发现的确存在该行为,即可判断该程序为恶意程序。相对而言,虚拟PC系统更能客观的了解程序特性,误判率更低。

行为拦截方式则更显“大胆”一些,它是在程序执行前先封锁一切可能造成危险的程序和行为,然后再分析程序动作。这一切不同于在模拟模式中动态启发式分析器,行为拦截是在实际环境中监测。行为拦截工具可预防病毒的扩散,但同样困扰它的问题就是对正常程序的“误判”,而这个过程需要用户利用自己的知识进行调节。

三、主动防御的尴尬

原以为主动防御是万金油,现在看来也有自己的缺陷。其中最主要的问题就是“智能”二字。主动防御本来想领先于病毒,让杀毒软件自己变成安全工程师来分析病毒,从而达到以不变应万变的境界。可计算机的智能总是在一系列的规则下诞生,而可以灵活多变的人脑(普通用户的技术水平)又达不到专业分析病毒的水平,两者之间的博弈将主动防御推上了一个尴尬境地。

Tags:安全 技术 困惑

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接