萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 認清主動防御 安全軟件的困惑與走向

認清主動防御 安全軟件的困惑與走向

  主動防御已經被炒的夠熱,因為以病毒為主要攻擊方式的網絡安全事件層出不窮,反病毒軟件多數情況下對新出現的病毒沒有識別能力,也就不能很好地起到攔截作用。這種情況持續了很多年,隨著病毒的變化越來越多,病毒產業鏈的活動越來越猖獗,這個現象變得更嚴重了,由此引發了用戶對殺毒軟件的不信任。

  為了解決這些日益嚴重的新威脅,殺毒廠商實際在分兩個方向同時啟步。一方面是采用傳統的特征識別、加強引擎脫殼、加強樣本的收集、加快病毒特征的更新等等。時至今日,這仍然是最主要的,效率最高的應對方法。但是,不可避免,會有電腦中招倒下,成為新病毒的犧牲品。另一方面,就是開發新的病毒識別技術。比如行為識別、注冊表保護、應用程序保護等等。

  回頭看主動防御這個詞,最早應該來自網關或防火牆等網絡硬件系統。IDS(入侵檢測系統)和IPS(入侵防護系統),這些功能是在防火牆的基礎上開發的攻擊識別和攔截技術。因為,防火牆是兩個網絡之間的設備,用來控制兩個網絡之間的通信,相對自己所在的網絡來說,由外而內的訪問會根據防火牆的規則表,適用相應的訪問策略,策略包括允許、阻止或報告。通常,防火牆對由內而外的訪問,是允許的。那麼,如果攻擊者在網絡內存在,將會對整個網絡產生安全問題。

  入侵檢測系統是為監測內網的非法訪問而開發的設備,根據入侵檢測識別庫的規則,判斷網絡中是否存在非法的訪問。管理員通過分析這些事件,來對網絡的安全狀況進行評估,再采取對應的防護策略。入侵檢測系統(IDS)一個很重要的問題,就是這類警告太多了,以致於管理員要從浩如煙海的日志中來發掘安全事件,不僅僅容易出錯,也增加了管理成本。IPS則相當於防火牆+入侵檢測,提高了性能,也減少了誤報。這些都是網關設備,這些設計理念,應用到桌面計算機系統,就被引伸為HIPS,即基於主機的入侵防護系統。

  所謂的“主動防御”軟件,實際上是安全軟件的一個發展方向,不應該被解釋為某種技術或產品。用戶眼中的主動防御,應該是可以自動實現對未知威脅的攔截和清除,用戶不需要關注防御的具體細節。目的很簡單,就是我安裝了你,你為我負責,老老實實干你的活,別再煩我了。

  安全軟件廠商也一直向這個方向努力,比如,殺毒軟件的主動更新,主動漏洞掃描和修復,以及對病毒的自動處理等。某種程度上說,符合主動防御的部分特征。

  目前,在很多被列為HIPS的軟件中,可實現大致三方面的功能:

  1、應用程序層的防護,根據一定的規則,執行相應的應用程序。比如,某個應用程序執行時,可能會啟動其它程序,或插入其它程序中運行,就會觸發應用程序保護的規則。

  2、注冊表的防護,根據規則,響應對注冊表的讀寫操作。這個比較好理解了,某程序執行後,會創建或訪問某些注冊表鍵,同樣,這些注冊表鍵是被HIPS軟件監視或保護的。

  3、文件防護,對應用程序創建或訪問磁盤文件的防護,就是某程序運行後,會創建新的磁盤文件,或者需要訪問硬盤上某程序文件,從而觸發HIPS軟件的監視或保護功能。

  HIPS軟件的監視和保護功能,向主動防御目標更進了一步,但還不沒有實現“主動防御”。因為,在使用這類軟件時,會大量頻繁觸發HIPS軟件的監視功能,這些功能,尚不能自動進行正確的處理,對這些警報的處理,需要這台電腦的最終用戶作出正確的選擇,這就是困惑所在。

  目前來說,HIPS軟件,盡管可以一定程度上起到提升安全性的作用,但用起來,太麻煩了。它真的是普通用戶需要的嗎?普通電腦用戶能夠做出正確的處置嗎?這些都是安全軟件廠商進一步需要完善的功能。同時,它還有另一個困惑:如果我能夠順利而熟練的使用HIPS的軟件,我可能只需要在其它方面注意,就可以更容易的避免受到病毒或木馬的入侵。

  主動防御,並不神奇,顯然,目前還遠未實現真正的“主動防御”。只能說,離這個目標近了一些,殺毒廠商還有更多的選擇。難點在於:如何用技術實現,不需要更多技術,也能很好實現該技術所創造的功能。

copyright © 萬盛學電腦網 all rights reserved