智能主動(dòng)防御系統(tǒng)(08-100)

　　本系統(tǒng)的“智能”主要體現(xiàn)在：

　　1) 自主學(xué)習(xí)：主動(dòng)收集未知入侵特征，防御未知入侵。

　　2) 主動(dòng)防御：變被動(dòng)為主動(dòng)，將未知病毒扼殺于搖籃中。

　　此外，本系統(tǒng)還提供了功能強(qiáng)大的系統(tǒng)輔助工具，例如：進(jìn)程管理，網(wǎng)絡(luò)連接管理，服務(wù)管理，啟動(dòng)項(xiàng)管理，HOSTS文件管理等。

　　2 系統(tǒng)原理與實(shí)現(xiàn)

　　2.1 智能防火墻原理與實(shí)現(xiàn)

　　本防火墻的智能主要體現(xiàn)在：它能夠通過自主學(xué)習(xí)實(shí)現(xiàn)對(duì)未知入侵的防御。

　　2.1.1 傳統(tǒng)防火墻的工作原理

　　傳統(tǒng)防火墻有一個(gè)入侵特征庫(kù)和一個(gè)過濾規(guī)則表。當(dāng)網(wǎng)絡(luò)數(shù)據(jù)包到來時(shí)，防火墻會(huì)將包中的數(shù)據(jù)與特征庫(kù)和過濾規(guī)則進(jìn)行匹配，符合要求的放行，不符合規(guī)則的就丟棄。

　　傳統(tǒng)防火墻的特征庫(kù)是由防火墻開發(fā)商維護(hù)并提供給用戶下載的。庫(kù)中的數(shù)據(jù)都是對(duì)已知入侵的特征提取。因此傳統(tǒng)的防火墻也只能防御已知的入侵。然而，網(wǎng)絡(luò)中無(wú)時(shí)無(wú)刻不在產(chǎn)生著新的威脅，殺毒軟件開發(fā)商能夠分析到的危險(xiǎn)只是其中很少的一部分。因此，傳統(tǒng)的防火墻防御入侵的能力是非常有限的。

　　2.1.2 智能防火墻的工作原理

　　智能防火墻也有一個(gè)入侵特征庫(kù)，不過維護(hù)這個(gè)特征庫(kù)的不是防火墻的開發(fā)人員而是防火墻本身。

　　對(duì)于已知的威脅我們可以事先將其特征寫入到特征庫(kù)中。對(duì)于未知的新的安全威脅，智能防火墻可以根據(jù)黑客入侵的特征，比如在入侵的開始階段往往是盲目的，黑客會(huì)進(jìn)行大范圍的攻擊掃描，由此不可避免的會(huì)給不存活I(lǐng)P地址發(fā)送數(shù)據(jù)包。智能防火墻認(rèn)為對(duì)不存活主機(jī)的連接是具有惡意的，是入侵的前兆。防火墻的內(nèi)部維護(hù)著一張局域網(wǎng)內(nèi)的存活主機(jī)列表，當(dāng)它檢測(cè)到網(wǎng)內(nèi)有向不存活主機(jī)發(fā)送的ARP請(qǐng)求時(shí)，會(huì)偽裝成目的主機(jī)發(fā)出ARP應(yīng)答，并與入侵者進(jìn)行進(jìn)一步的交互，從交互的數(shù)據(jù)中提取特征，存入特征數(shù)據(jù)庫(kù)。

　　在上述的過程中，智能防火墻雖然不知道具體的入侵類型，但是由于它掌握了入侵的數(shù)據(jù)特征，因此下次對(duì)本網(wǎng)的相同威脅就能被檢測(cè)到。其原理如圖2所示。

　　圖2 智能防火墻工作原理