瑞星2008 "主動防御"特點和詳細分析

一、主動防御簡介

    主動防御是一種阻止惡意程序執行的技術。它比較好的彌補了傳統殺毒軟件采用“特征碼查殺”和“監控”相對滯后的技術弱點，可以在病毒發作時進行主動而有效的全面防范，從技術層面上有效應對未知病毒的肆虐。

    從技術角度講，完整主動防御技術包含三個層次：資源訪問規則控制；資源訪問掃描；程序活動行為分析引擎，其中尤其以行為分析引擎技術最為關鍵。此前，由于行為分析引擎技術不成熟，集成了主動防御的殺毒軟件需要過多的用戶參與，要求用戶選擇是“放過”還是“拒絕”某個程序的動作，這樣反而給用戶帶來了困擾。

二、主動防御技術的層次劃分

主動防御的層次化結構示意圖（點擊看大圖）

    2.1、主動防御第一層：資源訪問規則控制（HIPS）

    資源訪問規則是主動防御的第一層，也是其最為基礎的部分，主動防御的基本功能，就依賴于此層來展開。它通過對系統資源（注冊表、文件、特定系統API的調用、進程啟動）等進行規則化控制，阻止木馬、病毒等惡意程序對這些資源的使用，從而達到抵御未知病毒攻擊的目的。

    事實上這個技術從2004年起就在瑞星殺毒軟件中得到了成功的運用，文件監控、注冊表監控、內存監控等都屬于這個層次。現在的一些所謂“主動防御”殺毒軟件，國際上比較熱的HIPS軟件，事實上采用的都是這個層次下的技術。

    瑞星專家結合大量中毒用戶的案例分析，把大量規則預先設置到瑞星2008版的主動防御模塊中，使得大量普通用戶不必去面對高深的主動防御技術，就能享受到主動防御HIPS的效果。

    2.2、主動防御第二層（監控掃描層）：資源訪問掃描

    資源訪問掃描是主動防御的第二個層次，通過監控對一些資源，如文件、引導區、郵件、腳本的訪問,并使用攔截的上下文內容（文件內存、引導區內容等）進行威脅掃描識別的方式，來處理已經經過分析的惡意代碼。

    很多主流殺毒軟件，包括瑞星軟件中的郵件監控（反病毒、反垃圾）、網頁監控、文件監控都屬于這一層，這一層主要解決郵件病毒、網頁掛馬等等問題。

    在瑞星2008版中，特別加強了第二層中的“病毒強殺”和“智能監控”等功能模塊。以往有很多病毒采用種種手段對自身進行保護，使得殺毒軟件只有在重啟系統后才能清除，有了“病毒強殺”之后，瑞星殺毒軟件可以將此類頑固病毒干凈徹底的殺掉。

    傳統的殺毒軟件需要對多種系統資源、行為動作進行監控，可能造成系統資源的占用。瑞星專家通過對多個監控掃描模塊的優化，使用了“智能監控技術”，使得08新品的資源占用大大減少，用戶可以在安全的環境下正常工作，不會遇到機器變慢等傳統問題。

    2.3、主動防御第三層（智能分析層）：進程行為分析引擎+DNA識別

    這一層是主動防御技術核心中的核心，具有很高的技術門檻，有些類似反病毒行業的“歌德巴赫猜想”。按照理論來講，病毒可以根據代碼數據特征碼判定，也可以根據它的程序行為表現（即行為特征）判定，前者就是“特征碼查殺”，是應用廣泛的傳統技術；后者在理論上可以做到，實際操作中很難用程序來準確判定，往往需要用戶進行參與，對用戶的技術水平要求很高，所以一直停留在實驗室階段，不能投入大規模的實際應用。

    瑞星專家經過對數十萬病毒的危險行為進行分析，提煉，設計出全新的主動防御智能惡意行為判定引擎。從而讓用戶能更簡單輕松的應對未知病毒的侵襲。單純的行為分析技術往往造成較多的誤報情況。針對該弱點，瑞星專門加入了病毒家族的DNA識別技術，當出現可能的惡意行為時，會使用DNA掃描確認威協。這樣“進程行為分析引擎+DNA識別”的方式，即可以通過惡意行為分析發現未知病毒，又很好的防范了誤報的發生。

三、瑞星主動防御的優勢

    1、易用。普通主動防御軟件、HIPS軟件基于規則進行相應的技術處理，凡是觸犯規則的程序動作都會要求用戶確認，因此會頻繁彈出對話框，要求用戶進行選擇（比如Windows Vista的UAC功能）。這給普通用戶帶來極大的困擾——不知道該怎么選，或者不知道選了之后會出現什么問題，這樣的主動防御其實是沒用的。

    瑞星專家在深入研究的基礎上，經過對十余年反病毒經驗的總結，把很多選項、動作、規則進行了預置，用成熟的預置經驗和規則來代替普通用戶進行選擇，這樣可以大大提高主動防御的易用性和有效性。

    2、專業、靈活，可定制規則。普通主動防御軟件、HIPS軟件、帶有主動防御的殺毒軟件等，都會提供一定的用戶交互功能，但是由于技術上不能達到、或者怕用戶進行誤操作，這些軟件提供的交互選項很少，經驗豐富的用戶無法手動調整某些功能。

    針對經驗豐富的用戶，瑞星開放了非常豐富的接口和選項，熟練用戶可以完全操縱自己的系統做任何想做的事情，比如：用戶可以觀察可疑程序的每一個動作（注入、創建文件、修改注冊表等），可以控制任何程序的操作范圍，這樣，用戶自己就可以手工處理并清除未知病毒、流氓軟件等。

    3、專門針對中國用戶設計。根據中國地區流行病毒的特點，瑞星的主動防御設計了針對這些病毒的防御功能，針對行為、規則等等進行了更多的優化和定制，使其更加符合國內用戶的實際狀況，運行更加穩定。

四、如何識別殺毒軟件中的“主動防御功能”

完整的主動防御功能列表

    自2006年起，一些廠商開始炒作“主動防御”概念，但是他們所謂的主動防御其實只有很少的幾項功能，只有HIPS中的幾項、或者只有傳統監控的幾項。瑞星認為，只有全面實現三個層級的主動防御，才是真正意義上的“主動防御功能”，如果用戶使用不完全的主動防御，將給自己帶來嚴重的安全風險。

    推薦文章： 軟件2008公測 小編搶先試用]" target="_blank" >瑞星殺毒軟件2008公測 小編搶先試用