浅谈主动防御技术 (转载)

这篇文章中我觉得还是有点可取之处,就是把启发式技术和行为阻止技术的介绍,不过都是很浅.
 
正如我们所看到的一样，计算机病毒(泛指所有的恶意程序或代码)攻击目前已经在IT安全威胁中占了头把交椅。当前的病毒攻击不仅仅会给计算机用户带来经济损失，还为其它安全威胁提供了途径……
　　正如我们所看到的一样，计算机病毒(泛指所有的恶意程序或代码)攻击目前已经在IT安全威胁中占了头把交椅。当前的病毒攻击不仅仅会给计算机用户带来经济损失，还为其它安全威胁提供了途径;并且，随着IT技术的发展，计算机病毒的产生和传播变得越来越快。因此，反病毒行业的厂商们也发展了很多新的技术以进行应对，如：主动防御技术，缩短对可能会大范围爆发的安全威胁的响应时间和加快反病毒数据库更新频率等。

　　今天，我们就一起来谈谈作为反病毒厂商新技术之一的主动防御技术(或者叫做“前摄防御”技术，意及在恶意程序产生不良后果前，就将其检测出来并做出相应的处理)。当今的反病毒产品，主要使用两种方法来检测恶意代码(安全威胁)：基于特征码的精确检测和主动防御。

　　所谓基于特征码的精确检测，就是指将计算机上的对象与已知病毒的模版(比如特征码)进行对比。这项技术要求反病毒厂商不断地发现、收集并分析新的威胁，并且制作出关于这些新威胁的描述及相应的处理方法，将它们放入特征数据库。对该方法进行评测的最主要标准就是：对新威胁的反应速度、反病毒数据库的更新频率和对恶意代码的检测率。这种检测方法的优点是能够准确地确定恶意代码并对其进行清除。但是，它的缺点也是显而易见的，那就是滞后性-总是在新的威胁产生后，才能对其进行分析并生成对应的特征码和处理方法。但是，随着新威胁产生速度的越来越快，它们能够在很短的时间内感染数以百万计的计算机。因此，越来越多的反病毒厂商开始在他们的产品中加入主动防御技术。

　　主动防御技术首先会构造一个框架(类似于一个筛子的外框)，并在其内填入一组预先定义好的规则(类似于筛眼)，这些规则是根据反病毒工程师在分析了超过几十万的大量病毒(或者说恶意程序)的代码特征和行为特征后提炼总结出来的，因此具有很大的代表性和前瞻性。主动防御会使用这组规则对被扫描对象内的代码和运行的行为进行分析，以确定其是否含有恶意代码和具有恶意行为。
 

　从理论上来看，主动防御技术能够检测所有已知和未知恶意程序。但实际上，这是不现实的。我们要判断一个主动防御技术的有效性以及它能否脱离基于特征码的扫描技术而独立承担反病毒任务，就需要理解主动防御技术所基于的理论。目前来看，各反病毒厂商采用的主动防御技术主要有：启发式分析技术、入侵防御系统技术、缓冲区溢出检测技术、基于策略的检测技术、警告系统和行为阻止技术。卡巴斯基使用的技术主要有启发式分析技术、入侵防御系统技术、警告系统和行为阻止技术。而总的来说，反病毒厂商使用最多的是启发式分析和行为阻止这两项技术。

　　我们首先来看一下启发式分析技术。启发式分析技术又分为静态分析和动态分析两种。“静态分析”就是指使用启发式分析器分析被扫描对象中的代码(指令)，判断其中是否包含某些恶意的指令(反病毒程序中会定义一组预先收集到的恶意指令特征)。比如说，很多病毒会搜索可执行文件，创建注册表键值等行为。“静态”启发式分析器就会对被扫描对象中的代码进行解释，检查是否包含执行这些行为的指令，一旦找到这样的指令，就调高“可疑分数”。当可疑分数高达一定值，就会将被扫描对象判断为可疑的恶意程序。这种分析技术的优点在于，对系统资源使用较少，但是坏处就在于误报率太高。而“动态分析”是指由反病毒程序在计算机内存中专门开辟一个受严格保护的空间(由“虚拟机”技术来实现)，并将被检测对象的部分代码拷贝进这个空间，使用一定的技术手段来诱使这段代码执行，同时判断其是否执行了某些恶意行为(反病毒程序中会定义一组预先收集的恶意行为特征)。一旦发现有匹配的恶意行为，就会报告其为对应的恶意程序。这种技术的优点在于准确度很高。目前卡巴斯基7.0单机版中使用的启发式扫描技术就是基于卡巴斯基实验室于1992年就创造出来并经过多年不断改进的虚拟机技术。

　　接下来，我们再来看行为阻止技术。行为阻止技术是对程序的运行行为进行监控，并对任何的危险行为进行阻止的技术。该技术与使用虚拟机技术的启发式扫描不同，启发式扫描是在受保护的内存空间虚拟地运行代码，而行为阻止技术工作在实际的计算机环境中。它会检查包括修改(添加/删除/编辑)系统注册表、注入系统进程、记录键盘输入、试图隐藏程序等在内的大量潜在恶意行为。第一代的行为阻止技术，适用性并不是很强。当它检测到一个潜在的恶意行为时，就会弹出提示窗口，提示用户是否允许/阻止该行为。在某些时候，某些合法程序的行为也会被提示为恶意行为，这会给很多不理解这些进程及其行为的用户带来困扰。第二代，也是新一代的行为阻止技术在第一代技术的基础上，做了很大的改进。它不会仅仅根据某个独立的潜在恶意行为就提示风险，而是对程序行为执行的先后顺序进行分析，从而以更加智能和成熟的方式来判断程序的行为是否有恶意。该技术大大提高了对恶意行为判断的准确率。目前，卡巴斯基所有的产品中使用的就是新一代的行为阻止技术。在我们的技术中，不仅会分析/阻止恶意的行为，还能够修复恶意行为对系统造成的修改和破坏。

　　从以上着重描述介绍的主动防御技术(启发式分析技术和行为阻止技术)来看，主动防御技术也需要基于一个“知识库”进行工作。这个“知识库”中包含了大量恶意程序的潜在恶意行为/指令特征。主动防御技术分析/监控系统内进程或程序的行为和指令，并将它们与“知识库”中的特征进行比对，判断是否符合。而这个“知识库”需要反病毒专家对大量已知病毒进行分析，并且对它们的常见行为和指令进行归纳总结，并将提炼出来的特征值添加入“知识库”。说到这里，我们应该可以想到，主动防御技术能够防御大量使用已有恶意行为的新恶意程序。但是，如果某些新的恶意程序采用了全新的方法(不在“知识库”中的方法)来入侵、感染计算机，并盗取私密数据的话，主动防御技术仍然是无法对其进行有效防御的。因此，主动防御技术也需要不断地更新其“知识库”和其采用的判断逻辑，否则可能还是会被新的威胁钻了空子。

　　考虑到各种保护技术的优缺点和互补性，在卡巴斯基最新的7.0单机版产品中，我们使用了三重保护协同工作的方式来给用户提供完整的安全保护。三重保护是指：基于特征码的精确检测、启发式分析和行为阻止技术。这三重保护进行合理搭配，就能够实现完美的安全保护

本篇文章来源于 黑基网-中国最大的网络安全站点 原文链接：http://www.hackbase.com/tech/2008-05-09/40683.html