智能主動防御系統(08-100)

　　1 引言

　　1.1 安全防護軟件發展現狀

　　隨著互聯網的飛速發展，計算機病毒技術和黑客入侵技術也迅速發展，逐漸融合了網絡蠕蟲、木馬、拒絕服務工具、緩沖區溢出工具等各種攻擊手段，造成的損失也由最初的數據丟失，發展到現在的信息泄密，數據破壞，甚至互聯網的癱瘓，破壞力越來越大。

　　伴隨著病毒技術和黑客入侵技術的發展，安全防護技術也在迅速發展，各種各樣的安全防護軟件如“雨后春筍”般出現。這些安全防護軟件的原理可以概括為“掃描”和“過濾”，它們利用特征庫對文件進行掃描，對進入主機的數據包進行過濾，從而發現病毒和入侵。特征庫成了這些防護軟件功能的最大限制，誰擁有更完備的特征庫誰就能防御更多病毒和入侵。特征庫中存儲的都是已知病毒和入侵的特征，因此這些安全防護軟件僅能對已知的病毒和入侵進行防御，對未知的病毒和入侵束手無策。

　　防御未知病毒和未知入侵是當前安全防護軟件迫切需要解決的問題。

　　1.2 方案設計與選擇

　　智能主動防御系統(以下簡稱本系統)可分為網絡防護和主機防護兩部分，其中網絡防護的主要功能是防御來自網絡的入侵，主機防護的主要功能是防御惡意程序(如病毒)的破壞。

　　整個系統的總體架構如圖1所示。各部分的功能如下：

　　1. 網絡防護：用戶態實現“偽裝服務，提取特征”功能，NDIS驅動實現“ARP模擬不存活主機和數據包過濾”功能。

　　2. 主機防護：主機防護的核心部分是在系統內核驅動中完成檢測惡意程序。

　　圖1 系統總體構架

　　從圖1可以看出，本系統是一個全方位的防護軟件，它集防火墻與殺毒軟件功能于一身。與傳統的防護軟件相比，其最大的特色是：能夠主動防御未知入侵和檢測未知病毒。

　　本系統通過自主學習建立自己的特征庫從而實現防御未知入侵。系統摒棄了野蠻的病毒掃描模式，采用主動防御技術攔截程序的危險行為，實現了檢測未知病毒。