主动防御思辩

《2004年全国网络安全状况调查报告》指出，2004年所受到的网络攻击类型中最普遍的是病毒、蠕虫或特洛伊木马攻击，占75.3%。调查数据显示，2004年面临的网络安全威胁最高的是使用自动化网络攻击工具，例如蠕虫或自动传播恶意代码，占67.3%。网络安全事件和威胁的增多已让各大安全厂商防不胜防，与其被动防守，不如主动出击，安全专家们开始纷纷探寻主动防御之路，试图通过主动防御将安全威胁阻挡于系统之外。

间谍程序、游戏木马、黑客程序等网络病毒的频频爆发，已经使反病毒领域开始意识到，单纯依靠 “特征码技术”已经不能适应反病毒需求。能否率先掌握主动防御技术，高效主动防御未知病毒已成为国内外反病毒厂商亟待突破的重点，也是反病毒厂商新一轮洗牌的关键。

从片面向全面的抗战

传统的AV技术在进入2000年后，虽然也在不断发展，但已经趋于平缓。从引擎技术上没有再催生当年类似虚拟机技术那样的变革，企业级反病毒的体系机构也没有更多的突破。而同时，每次大规模的蠕虫爆发都在削弱广大用户对于反病毒体制的信心。对AVER来说，一个思考可能在于，仅仅依靠AV本身，是否能达到有效控制病毒的目的，至少有些问题是AV企业自身无法解决的。

漏洞问题。历次大规模爆发的蠕虫都是依靠漏洞传播的，但先抛开反病毒软件是否有义务给用户系统打补丁的问题，首先反病毒产品是否有权力来打补丁都成为问题。

用户意识和水平问题。反病毒企业无法承担教化整个社会的责任，况且无论怎样强调，都一定会有用户不安装、不升级、不开实时监控。更何况还有人做病毒的主动散布者。

网络控制问题。蠕虫的重要后果在于对网络的影响，但AV并不处在网络控制的中枢地带。

与此同时，操作系统厂商和网络设备供应商也都意识到自身的责任，微软推出了Windows XP SP2，其中的DEP技术有效地遏制了溢出的发生，CISCO推出了SDN的概念，在基础建设的环节中开始整合入AV环节。

从这个意义上说，主动防御首先表现在体系上，从局部向整体，从片面抗战开始走向全面抗战发生变化，包括主流操作系统自身安全性的增强，用户接入条件变化，网络过滤能力的增强，AVWARE识别未知病毒能力的增强。

从而催生了从传统的主机环节分布工作，集中管理的传统企业反病毒模型到由网关环节、网管环节到主机环节的整体病毒防御模型。而传统的企业反病毒的控制台也在向能够管理多种安全产品的SOC演化。图1就表述了一种如何应对各种病毒威胁的全新方法。

坚持和发展

无论信息系统环境如何变化，以及反病毒技术自身如何发展，传统的识别、检测处理的思路都不会被抛弃。

反病毒的目的。对安全体系来说，AV只是一个必要而不充分的环节。我们曾经指出反病毒技术的根本目的不是查杀病毒，而是保证信息系统的安全。因此，我们曾经对误查误报，以及损坏用户数据文件的事件高度警惕。这个思想目前来看仍是正确的。

传统技术不会被抛弃。反病毒的本质是精确识别与处理的问题，识别是正确处理的前提。因此，同样是CIH，如果把1019的清除方法用于1013，可能会出现意想不到的问题。如果摈弃了传统技术这就成为无法解决的问题。

传统反病毒技术的软肋。反病毒技术链条的最薄弱环节并不在于病毒分析和升级，而在于病毒捕获。

目前病毒的发展正在从根本上挑战这一体制。首先，由于编写病毒，特别是木马的经济目的性增强，从而使样本的定向使用趋势不断明显，样本的传播范围大大减小，从而使受到用户上报的概率大大降低。另一方面，随着大量的系统技术的公开，越来越多的驱动级和其它利用溢出等方式深度隐藏的木马出现，使用户发现已经被木马感染的概率也在降低。

反病毒的技术体制的另外一个薄弱环节则是，它是一种低成本、廉价、容易获得的安全手段。一般来说，类似防火墙和IDS等安全设备，其保护者和攻击者，并不处于对等地位，多数攻击者并不具备获取设备进行测试分析的能力。而反病毒软件却是病毒制作者们不需要用任何代价就可以获得的。这就将AV完全置于暴露的境地。

不断修改和反复查杀测试，是毒客使他们编写的样本逃避检测的最朴素也最有效的手段。这种修改和测试的风险也是不通的，攻击者与IDS的对抗、与HoneyPot的对抗，对多数攻击者来说，都是冒着可能被发现和捕获的风险。而本地的病毒测试则非常安全。

建设性安全观

行为识别提高了对尚未捕获的定向样本识别能力。但对于AV的另外一块短板，即毒客可以通过不断测试寻找逃避的方法，依然无能为力。

逃避行为检测的方式，同样可以是主动的。一种是类似Anti-AV的模块，直接将行为检测模块摘掉，而另一种模式则更为有趣，病毒在执行过程中发现有行为判别模块时，则不走入病毒的正常行为分支。

在VMWare开始流行不久，毒客们就注意到了AVER采用这种东西来观察病毒的行为。因此，他们编写了一段识别VMWare环境的例程，如果发现VMWare就安静的推出，从而使病毒分析工程师难以观察病毒的表现。

完美的技术从来不曾存在，我们也从未见过针对网络这个复杂巨系统完备而又可实施的解决方案。因此，评论一种安全技术是否有价值的方式，并不在于是否无懈可击，而在于其能够带来的安全效果与其所付出的代价。

有两类关于反病毒技术的评论观点。一类说，每天分析这么多病毒累不累，是否应该寻求一些一劳永逸的方法，他们多数并没有分析过任何一种病毒，他们美好的初衷完全来自于想象。而另一类则往往表达这样的观点，做那些东西根本没有用，大家及时升级，打好补丁就可以，反病毒软件根本没有必要存在。

第一类观点尽管使我们哑然失笑，但对于第二种观点则更令我们无可奈何。持第二种观点的人不乏熟练的用户，但无疑，他们假定了，所有普通用户都有他们一样的安全敏感性和安全常识。

既然我们都承认安全没有一劳永逸的方法，既然我们都明了任何安全手段都只是增加攻击者入侵的代价，而不能彻底解决安全问题。我们就应该建设性的看待主动防御的每一步探索――不完备永远好于不作为。

链 接

实时升级主动防毒

《金山毒霸2005》除了具备普通杀毒软件的防杀功能外，还具备主动的防毒功能。这项功能最主要的特点就是可以主动实时更新病毒库，抢先操作系统启动杀毒软件。金山公司副总裁王全国强调，《金山毒霸2005》采取的主动实时升级方式，无需用户做任何操作，只要一上网便将最新的病毒库或者功能自动进行下载安装，用户时时刻刻都可以获得与全球同步的最新病毒特征库。

防火墙走向智能化

对于主动防御，不同的安全领域有不同的理解和技术原理。传统的防火墙通过设定好的规则进行网络数据过滤，丢弃不符合规则的数据包，以此防范网络攻击。而事实上，目前许多网络攻击已经可以完全绕开这些规则。

防火墙的技术发展大概经历了五个阶段。第一代防火墙技术几乎与路由器同时出现，采用了包过滤技术。1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙―应用层防火墙（防火墙）的初步结构。1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，以色列Check Point公司开发出了第一个采用这种技术的商业化的产品。1998年，NAI公司推出了一种自适应（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

前五代防火墙技术有一个共同的特点，就是采用逐一匹配方法，计算量太大。包过滤是对IP包进行匹配检查，状态检测包过滤除了对包进行匹配检查外还要对状态信息进行匹配检查，应用对应用协议和应用数据进行匹配检查。因此，它们都有一个共同缺陷――安全性越高，检查的越多，效率越低。用一个定律来描述，就是防火墙的安全性与效率成反比。正是在这种情况下，带有主动防御的智能型防火墙应运而生。目前带有主动防御功能的防火墙实质是集成了防火墙、防病毒、VPN、内容过滤、反垃圾邮件、流量整形、IDS等技术大成于一身的主动防御系统，对于DDoS、蠕虫、垃圾邮件、黑客入侵等都具有一定的防范作用，而且这种防范是基于行为判断的，而不是单一依据以往的防火墙规则。如安氏公司的inkTrust Border Protector，即是基于这种主动防御理念的新型防火墙，通过与IDS联动动态防御黑客和病毒，而且可以自动对抗拒绝服务攻击。

安全准入成规范

目前，多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起。在企业网中，用户终端不及时升级系统补丁和病毒库的现象普遍存在;私设服务器、私自访问外部网络、滥用企业禁用软件等行为也比比皆是。“失控”的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前企业网络安全管理急需解决的问题。

针对这种情况，包括华为、思科在内的主流网络设备供应商，推出了各自的安全准入控制，以此来主动防御网络安全面临的威胁。

传统的网络安全产品对于网络安全问题的解决，通常是被动防御，事后补救。华为3Com端点准入防御（EAD，Endpoint Admission Control）解决方案则从用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。

EAD解决方案在用户接入网络前，强制检查用户终端的安全状态，并根据对用户终端安全状态的检查结果，强制实施用户接入控制策略，对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作;在保证用户终端具备自防御能力并安全接入的前提下，合理控制用户的网络行为，提升整网的安全防御能力。

除了以上网络安全主流产品和技术外，其它像入侵检测等也正是基于主动防御这个理念的，可以说，目前网络安全已经进入了一个主动防御时代，目前在网络安全主动防御领域推陈出新，研发出核心技术和产品，已成为安全厂商们市场角逐的关键战略。

链 接

主动防御还需和特征码打配合

“虽然未知病毒主动防御系统已初具规模，但这并不能完全取代传统的特征码查杀技术。”这是王江民在“KV2005未知病毒主动防御系统”上阐述的观点。该系统包括江民“未知病毒克星”、“木马一扫光”、“KV病毒预警系统”、“隐私信息保护”四大部分，不仅能够全方位立体防御已知病毒、木马等入侵，还可以基于行为特征自动防范未知病毒，而“木马一扫光”“未知病毒克星”都应用了黑白名单技术，将正常的系统组件和应用程序全部列入白名单，较好地解决了未知病毒主动防御的技术问题。同时，它与传统的特征码查杀技术紧密配合，共同保护电脑安全。