認清主動防御 安全軟件的困惑與走向

　　主動防御已經被炒的夠熱，因為以病毒為主要攻擊方式的網絡安全事件層出不窮，反病毒軟件多數情況下對新出現的病毒沒有識別能力，也就不能很好地起到攔截作用。這種情況持續了很多年，隨著病毒的變化越來越多，病毒產業鏈的活動越來越猖獗，這個現象變得更嚴重了，由此引發了用戶對殺毒軟件的不信任。

　　為了解決這些日益嚴重的新威脅，殺毒廠商實際在分兩個方向同時啟步。一方面是采用傳統的特征識別、加強引擎脫殼、加強樣本的收集、加快病毒特征的更新等等。時至今日，這仍然是最主要的，效率最高的應對方法。但是，不可避免，會有電腦中招倒下，成為新病毒的犧牲品。另一方面，就是開發新的病毒識別技術。比如行為識別、注冊表保護、應用程序保護等等。

　　回頭看主動防御這個詞，最早應該來自網關或防火牆等網絡硬件系統。IDS(入侵檢測系統)和IPS(入侵防護系統)，這些功能是在防火牆的基礎上開發的攻擊識別和攔截技術。因為，防火牆是兩個網絡之間的設備，用來控制兩個網絡之間的通信，相對自己所在的網絡來說，由外而內的訪問會根據防火牆的規則表，適用相應的訪問策略，策略包括允許、阻止或報告。通常，防火牆對由內而外的訪問，是允許的。那麼，如果攻擊者在網絡內存在，將會對整個網絡產生安全問題。

　　入侵檢測系統是為監測內網的非法訪問而開發的設備，根據入侵檢測識別庫的規則，判斷網絡中是否存在非法的訪問。管理員通過分析這些事件，來對網絡的安全狀況進行評估，再采取對應的防護策略。入侵檢測系統(IDS)一個很重要的問題，就是這類警告太多了，以致於管理員要從浩如煙海的日志中來發掘安全事件，不僅僅容易出錯，也增加了管理成本。IPS則相當於防火牆+入侵檢測，提高了性能，也減少了誤報。這些都是網關設備，這些設計理念，應用到桌面計算機系統，就被引伸為HIPS，即基於主機的入侵防護系統。

　　所謂的“主動防御”軟件，實際上是安全軟件的一個發展方向，不應該被解釋為某種技術或產品。用戶眼中的主動防御，應該是可以自動實現對未知威脅的攔截和清除，用戶不需要關注防御的具體細節。目的很簡單，就是我安裝了你，你為我負責，老老實實干你的活，別再煩我了。

　　安全軟件廠商也一直向這個方向努力，比如，殺毒軟件的主動更新，主動漏洞掃描和修復，以及對病毒的自動處理等。某種程度上說，符合主動防御的部分特征。

　　目前，在很多被列為HIPS的軟件中，可實現大致三方面的功能：

　　1、應用程序層的防護，根據一定的規則，執行相應的應用程序。比如，某個應用程序執行時，可能會啟動其它程序，或插入其它程序中運行，就會觸發應用程序保護的規則。

　　2、注冊表的防護，根據規則，響應對注冊表的讀寫操作。這個比較好理解了，某程序執行後，會創建或訪問某些注冊表鍵，同樣，這些注冊表鍵是被HIPS軟件監視或保護的。

　　3、文件防護，對應用程序創建或訪問磁盤文件的防護，就是某程序運行後，會創建新的磁盤文件，或者需要訪問硬盤上某程序文件，從而觸發HIPS軟件的監視或保護功能。

　　HIPS軟件的監視和保護功能，向主動防御目標更進了一步，但還不沒有實現“主動防御”。因為，在使用這類軟件時，會大量頻繁觸發HIPS軟件的監視功能，這些功能，尚不能自動進行正確的處理，對這些警報的處理，需要這台電腦的最終用戶作出正確的選擇，這就是困惑所在。

　　目前來說，HIPS軟件，盡管可以一定程度上起到提升安全性的作用，但用起來，太麻煩了。它真的是普通用戶需要的嗎?普通電腦用戶能夠做出正確的處置嗎?這些都是安全軟件廠商進一步需要完善的功能。同時，它還有另一個困惑：如果我能夠順利而熟練的使用HIPS的軟件，我可能只需要在其它方面注意，就可以更容易的避免受到病毒或木馬的入侵。

　　主動防御，並不神奇，顯然，目前還遠未實現真正的“主動防御”。只能說，離這個目標近了一些，殺毒廠商還有更多的選擇。難點在於：如何用技術實現，不需要更多技術，也能很好實現該技術所創造的功能。