智能主动防御系统(08-100)

　　1 引言

　　1.1 安全防护软件发展现状

　　随着互联网的飞速发展，计算机病毒技术和黑客入侵技术也迅速发展，逐渐融合了网络蠕虫、木马、拒绝服务工具、缓冲区溢出工具等各种攻击手段，造成的损失也由最初的数据丢失，发展到现在的信息泄密，数据破坏，甚至互联网的瘫痪，破坏力越来越大。

　　伴随着病毒技术和黑客入侵技术的发展，安全防护技术也在迅速发展，各种各样的安全防护软件如“雨后春笋”般出现。这些安全防护软件的原理可以概括为“扫描”和“过滤”，它们利用特征库对文件进行扫描，对进入主机的数据包进行过滤，从而发现病毒和入侵。特征库成了这些防护软件功能的最大限制，谁拥有更完备的特征库谁就能防御更多病毒和入侵。特征库中存储的都是已知病毒和入侵的特征，因此这些安全防护软件仅能对已知的病毒和入侵进行防御，对未知的病毒和入侵束手无策。

　　防御未知病毒和未知入侵是当前安全防护软件迫切需要解决的问题。

　　1.2 方案设计与选择

　　智能主动防御系统(以下简称本系统)可分为网络防护和主机防护两部分，其中网络防护的主要功能是防御来自网络的入侵，主机防护的主要功能是防御恶意程序(如病毒)的破坏。

　　整个系统的总体架构如图1所示。各部分的功能如下：

　　1. 网络防护：用户态实现“伪装服务，提取特征”功能，NDIS驱动实现“ARP模拟不存活主机和数据包过滤”功能。

　　2. 主机防护：主机防护的核心部分是在系统内核驱动中完成检测恶意程序。

　　图1 系统总体构架

　　从图1可以看出，本系统是一个全方位的防护软件，它集防火墙与杀毒软件功能于一身。与传统的防护软件相比，其最大的特色是：能够主动防御未知入侵和检测未知病毒。

　　本系统通过自主学习建立自己的特征库从而实现防御未知入侵。系统摒弃了野蛮的病毒扫描模式，采用主动防御技术拦截程序的危险行为，实现了检测未知病毒。