當前位置:工程項目OA系統(tǒng) > 泛普各地 > 江西OA系統(tǒng) > 南昌OA系統(tǒng) > 南昌OA信息化
“主動防御”的技術實現(xiàn)
目前,很多安全廠商在推出新產(chǎn)品時,總是強調(diào)該產(chǎn)品具有“主動防御”技術,可以防御未知病毒、未知威脅、零日攻擊等。根據(jù)安全專家的分析,所謂“主動防御”其實是針對傳統(tǒng)的“特征碼技術”而言的。
一般意義上的“主動防御”,就是全程監(jiān)視進程的行為,一但發(fā)現(xiàn)“違規(guī)”行為,就通知用戶,或者直接終止進程。它類似于警察判斷潛在罪犯的技術,在成為一個罪犯之前,大多數(shù)人都有一些異常行為,比如“性格孤僻,有暴力傾向,自私自利,對現(xiàn)實不滿”等先兆,但是并不是說有這些先兆的人就都會發(fā)展為罪犯,或者說罪犯都有這些先兆。
因此“主動防御”并不能100%發(fā)現(xiàn)病毒或者攻擊,它的成功率大概在60%~80%之間。如果再加上傳統(tǒng)的“特征碼技術”,則有可能發(fā)現(xiàn)100%的惡意程序與攻擊行為了。從國外的情況看,諾頓、Kaspersky、McAfee等主流安全廠商,都已經(jīng)向“主動防御”+“特征碼技術”過渡了,可以說這是安全系統(tǒng)的必然發(fā)展趨勢。
此外,防火墻也是一個運用“主動防御”技術的典型例子。大部分企業(yè)都在使用防火墻,很多用戶對于防火墻經(jīng)常詢問是否放行一個進程訪問網(wǎng)絡,或者對有不明連接進入本機而發(fā)出警告印象深刻。
其實防火墻就是在全程監(jiān)視進程的網(wǎng)絡行為,一但發(fā)現(xiàn)違反規(guī)則的行為就發(fā)出警告,或者直接根據(jù)用戶設定拒絕進程訪問網(wǎng)絡。當然,現(xiàn)在的防火墻一般都把系統(tǒng)網(wǎng)絡進程,如Services.exe、Svchost.exe、Lsass.exe記在“受信名單”里,這些進程是默認允許訪問網(wǎng)絡的。但這也是現(xiàn)在很多病毒和木馬都喜歡遠程注入這些系統(tǒng)進程,以求突破防火墻而訪問網(wǎng)絡的原因。
“主動防御”的技術實現(xiàn)
在“主動防御”技術的的實現(xiàn)上,主要是通過函數(shù)來進行控制。因為一個程序如果要實現(xiàn)自己的功能,就必須要通過接口調(diào)用操作系統(tǒng)提供的功能函數(shù)。以前在DOS里幾乎所有的系統(tǒng)功能或第三方插件都是通過中斷提供的,在Windows里一般是通過DLL里的API提供,也有少數(shù)通過INT 2E或SYSENTER提供。一個進程有怎么樣的行為,通過看它調(diào)用了什么樣的API就大概清楚了。比如它要讀寫文件就必然要調(diào)用CreateFile(),OpenFile(),NtOpenFile(),ZwOpenFile()等函數(shù);要訪問網(wǎng)絡就必然要使用Socket函數(shù)。因此只要掛接系統(tǒng)API(盡量掛接RING0層的API,如果掛接RING3層的API將有可能被繞過),就可以知道一個進程將有什么動作,如果有危害系統(tǒng)的動作該怎么樣處理等等。例如瑞星反病毒系統(tǒng),用戶可以在它的安裝目錄里找到幾個驅(qū)動文件,其實這些驅(qū)動就是掛接了ntoskrnl.exe、ndis.sys等系統(tǒng)關鍵模塊里的API,從而對進程的普通行為、網(wǎng)絡行為、注冊表行為進行監(jiān)視。
在此基礎上,用戶可以自己設想一個“主動防御”的操作流程:通過掛接系統(tǒng)建立進程的API,系統(tǒng)就可以在一個進程建立前對進程的代碼進行掃描,如果發(fā)現(xiàn)SGDT、SIDT、自定位指令,系統(tǒng)就進行提示,如果用戶放行,就讓進程繼續(xù)運行;接下來監(jiān)視進程調(diào)用API的情況,如果發(fā)現(xiàn)以讀寫方式打開一個EXE文件,可能進程的線程想要感染PE文件,就會發(fā)出警告;如果收發(fā)數(shù)據(jù)違反了規(guī)則,就會發(fā)出提示;如果進程調(diào)用了CreateRemoteThread(),則發(fā)出警告(危險的API,木馬用得最多)。
可以想象,未來用戶在運行程序時可能會被提示多次,訪問網(wǎng)絡也可能被提示多次,而這正是主動防御的魅力所在!
- 1OA系統(tǒng)中的往來函件等能否作為證據(jù)使用呢?這是困擾著許多人的問
- 2企業(yè)管理離不開OA協(xié)同這個潤滑劑
- 3SIP的生產(chǎn)力
- 4IT規(guī)劃中的技術體系架構
- 5如何挽救大型機技術危機
- 6網(wǎng)絡管理員避免10種愚蠢行為
- 7OA,打開企業(yè)高效管理之門
- 8SQLServer2005的10個高級特性
- 9對數(shù)據(jù)倉庫探討
- 10移動OA助力企業(yè)建立“掌上帝國”
- 11泛普軟件:OA辦公系統(tǒng)助推名企裁員潮?
- 12移動OA解決方案開啟綠色、高效會議時代
- 13網(wǎng)絡騙術分析
- 14安全小洞不補,大洞吃苦
- 15用SSL技術保護Apache服務器通信
- 16OA系統(tǒng)單位自己開發(fā)存在哪些誤區(qū)?
- 17OA成騰訊巨頭移動互聯(lián)網(wǎng)戰(zhàn)略的下一個目標?
- 18注冊表的五個秘密
- 19移動OA調(diào)研:2015年移動OA市場份額將超過2億
- 20大數(shù)據(jù)時代下 企業(yè)信息化還有多遠要走
- 21“爪機黨”也有春天:移動OA掌上辦公
- 22OA信息化必須是“一把手工程”
- 23大數(shù)據(jù)如何在企業(yè)落地
- 24聚焦政務信息化 政務OA特點解讀
- 25以融資方、投資方為核心,綜合管理融資業(yè)務、投資業(yè)務的管理平臺
- 26營造播存網(wǎng)格
- 27解決企業(yè)網(wǎng)絡隱患的捷徑
- 28協(xié)同2.0時代協(xié)同軟件應用趨勢
- 29市場競爭越激烈OA軟件發(fā)展就越持久
- 30解決激光打印機常見故障解析
成都公司:成都市成華區(qū)建設南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務大廈18樓