主动防御技术的理念是通过监视程序的行为去判断程序是否具有危害性。每个程序在运行中都会调用很多种应用编程接口(API),通过监控程序调用的API可以了解掌握程序的运行状态,一般能判断出程序的危害性。先中毒后杀毒的传统的安全防御理念已经根深蒂固了,很多人认为主动防御不可能实现,简直是天方夜谭。近几年,主动防御理念已经被大多数杀毒软件厂商认同,有不少杀毒软件产品也应用了主动防御技术,有不断扩大和发展的趋势。
主动防御是实时防护技术,这种技术具有程序自主分析判断能力,不是依据病毒的特征码来判断病毒的性质,一般从最原始的病毒定义,依据程序的行为来判断病毒。针对传统杀毒软件无法预防查杀未知病毒及恶意软件的缺陷,在主动防御的过程中,反病毒专家通过使用软件自动分析判断病毒。在预防查杀病毒中,通过技术实现对病毒及木马程序的主动防御。主动防御技术具有的特征:
一是创建动态仿真反病毒专家系统。系统拥有病毒识别规则知识库,是基于对病毒行为规律归纳、总结和分析基础上,充分结合反病毒专业辨别病毒的经验提炼产生的。发现新病毒的原理,是通过自动监视各种程序动作,自动分析各个动作之间的逻辑关系,应用病毒识别规则知识,实现对新病毒的自动判断,从而达到主动防御的目的。
二是能够自动准确判定新病毒。在操作系统中分布众多探针,动态监视程序运行调用各种应用API的动作,自动分析它们之间的逻辑关系,自动判定合法性,自动诊断出新病毒。当前安全技术一般都依据单一动作,不断询问程序操作是否允许访问网络或修改备注表,经常给用户造成困惑,难以自行判断,可能致使误判,造成正常程序无法运行或造成危害,而自动防御技术可以弥补这些不足。
三是程序行为监控并举。在防御中,实现全面监视程序运行,同时自主分析程序行为,在发现新病毒后,立即自动阻止病毒行为,并终止病毒程序的运行,自动清除病毒和修复注册表。
四是自动提取特征值,实现多重防护。在传统病毒防御中,特征值扫描技术一般滞后于病毒出现,而主动防御技术中采用动态仿真技术,一旦发现新病毒后将自动提取病毒特征值,更新本地未知特征库,对病毒特征值的捕获、分析、升级实现自动化,如果同一个病毒再出现时就能够实现被快速检测出来,用户系统将拥有安全高效的多重防护。
閱讀更多 每日撩科技 的文章
