一、主動防御簡介

主動防御是一種阻止惡意程序執(zhí)行的技術(shù)。它比較好的彌補(bǔ)了傳統(tǒng)殺毒軟件采用“特征碼查殺”和“監(jiān)控”相對滯后的技術(shù)弱點，可以在病毒發(fā)作時進(jìn)行主動而有效的全面防范，從技術(shù)層面上有效應(yīng)對未知病毒的肆虐。

從技術(shù)角度講，完整主動防御技術(shù)包含三個層次：資源訪問規(guī)則控制；資源訪問掃描；程序活動行為分析引擎，其中尤其以行為分析引擎技術(shù)最為關(guān)鍵。此前，由于行為分析引擎技術(shù)不成熟，集成了主動防御的殺毒軟件需要過多的用戶參與，要求用戶選擇是“放過”還是“拒絕”某個程序的動作，這樣反而給用戶帶來了困擾。

二、主動防御技術(shù)的層次劃分

主動防御的層次化結(jié)構(gòu)示意圖

2.1、主動防御第一層：資源訪問規(guī)則控制（HIPS）

資源訪問規(guī)則是主動防御的第一層，也是其最為基礎(chǔ)的部分，主動防御的基本功能，就依賴于此層來展開。它通過對系統(tǒng)資源（注冊表、文件、特定系統(tǒng)API的調(diào)用、進(jìn)程啟動）等進(jìn)行規(guī)則化控制，阻止木馬、病毒等惡意程序?qū)@些資源的使用，從而達(dá)到抵御未知病毒攻擊的目的。

事實上這個技術(shù)從2004年起就在瑞星殺毒軟件中得到了成功的運用，文件監(jiān)控、注冊表監(jiān)控、內(nèi)存監(jiān)控等都屬于這個層次。現(xiàn)在的一些所謂“主動防御”殺毒軟件，國際上比較熱的HIPS軟件，事實上采用的都是這個層次下的技術(shù)。

瑞星專家結(jié)合大量中毒用戶的案例分析，把大量規(guī)則預(yù)先設(shè)置到瑞星2008版的主動防御模塊中，使得大量普通用戶不必去面對高深的主動防御技術(shù)，就能享受到主動防御HIPS的效果。

2.2、主動防御第二層（監(jiān)控掃描層）：資源訪問掃描

資源訪問掃描是主動防御的第二個層次，通過監(jiān)控對一些資源，如文件、引導(dǎo)區(qū)、郵件、腳本的訪問,并使用攔截的上下文內(nèi)容（文件內(nèi)存、引導(dǎo)區(qū)內(nèi)容等）進(jìn)行威脅掃描識別的方式，來處理已經(jīng)經(jīng)過分析的惡意代碼。

很多主流殺毒軟件，包括瑞星軟件中的郵件監(jiān)控（反病毒、反垃圾）、網(wǎng)頁監(jiān)控、文件監(jiān)控都屬于這一層，這一層主要解決郵件病毒、網(wǎng)頁掛馬等等問題。

在瑞星2008版中，特別加強(qiáng)了第二層中的“病毒強(qiáng)殺”和“智能監(jiān)控”等功能模塊。以往有很多病采用種種手段對自身進(jìn)行保護(hù)，使得殺毒軟件只有在重啟系統(tǒng)后才能清除，有了“病毒強(qiáng)殺”之后，瑞星殺毒軟件可以將此類頑固病毒干凈徹底的殺掉。

傳統(tǒng)的殺毒軟件需要對多種系統(tǒng)資源、行為動作進(jìn)行監(jiān)控，可能造成系統(tǒng)資源的占用。瑞星專家通過對多個監(jiān)控掃描模塊的優(yōu)化，使用了“智能監(jiān)控技術(shù)”，使得08新品的資源占用大大減少，用戶可以在安全的環(huán)境下正常工作，不會遇到機(jī)器變慢等傳統(tǒng)問題。

2.3、主動防御第三層（智能分析層）：進(jìn)程行為分析引擎+DNA識別

這一層是主動防御技術(shù)核心中的核心，具有很高的技術(shù)門檻，有些類似反病毒行業(yè)的“歌德巴赫猜想”。按照理論來講，病毒可以根據(jù)代碼數(shù)據(jù)特征碼判定，也可以根據(jù)它的程序行為表現(xiàn)（即行為特征）判定，前者就是“特征碼查殺”，是應(yīng)用廣泛的傳統(tǒng)技術(shù)；后者在理論上可以做到，實際操作中很難用程序來準(zhǔn)確判定，往往需要用戶進(jìn)行參與，對用戶的技術(shù)水平要求很高，所以一直停留在實驗室階段，不能投入大規(guī)模的實際應(yīng)用。

瑞星專家經(jīng)過對數(shù)十萬病毒的危險行為進(jìn)行分析，提煉，設(shè)計出全新的主動防御智能惡意行為判定引擎。從而讓用戶能更簡單輕松的應(yīng)對未知病毒的侵襲。單純的行為分析技術(shù)往往造成較多的誤報情況。針對該弱點，瑞星專門加入了病毒家族的DNA識別技術(shù)，當(dāng)出現(xiàn)可能的惡意行為時，會使用DNA掃描確認(rèn)威協(xié)。這樣“進(jìn)程行為分析引擎+DNA識別”的方式，即可以通過惡意行為分析發(fā)現(xiàn)未知病毒，又很好的防范了誤報的發(fā)生。

三、瑞星主動防御的優(yōu)勢

1、易用。普通主動防御軟件、HIPS軟件基于規(guī)則進(jìn)行相應(yīng)的技術(shù)處理，凡是觸犯規(guī)則的程序動作都會要求用戶確認(rèn)，因此會頻繁彈出對話框，要求用戶進(jìn)行選擇（比如Windows Vista的UAC功能）。這給普通用戶帶來極大的困擾——不知道該怎么選，或者不知道選了之后會出現(xiàn)什么問題，這樣的主動防御其實是沒用的。

瑞星專家在深入研究的基礎(chǔ)上，經(jīng)過對十余年反病毒經(jīng)驗的總結(jié)，把很多選項、動作、規(guī)則進(jìn)行了預(yù)置，用成熟的預(yù)置經(jīng)驗和規(guī)則來代替普通用戶進(jìn)行選擇，這樣可以大大提高主動防御的易用性和有效性。

2、專業(yè)、靈活，可定制規(guī)則。普通主動防御軟件、HIPS軟件、帶有主動防御餓殺毒軟件等，都會提供一定的用戶交互功能，但是由于技術(shù)上不能達(dá)到、或者怕用戶進(jìn)行誤操作，這些軟件提供的交互選項很少，經(jīng)驗豐富的用戶無法手動調(diào)整某些功能。

針對經(jīng)驗豐富的用戶，瑞星開放了非常豐富的接口和選項，熟練用戶可以完全操縱自己的系統(tǒng)做任何想做的事情，比如：用戶可以觀察可疑程序的每一個動作（注入、創(chuàng)建文件、修改注冊表等），可以控制任何程序的操作范圍，這樣，用戶自己就可以手工處理并清除未知病毒、流氓軟件等。

3、專門針對中國用戶設(shè)計。根據(jù)中國地區(qū)流行病毒的特點，瑞星的主動防御設(shè)計了針對這些病毒的防御功能，針對行為、規(guī)則等等進(jìn)行了更多的優(yōu)化和定制，使其更加符合國內(nèi)用戶的實際狀況，運行更加穩(wěn)定。

四、如何識別殺毒軟件中的“主動防御功能”

完整的主動防御功能列表

自2006年起，一些廠商開始炒作“主動防御”概念，但是他們所謂的主動防御其實只有很少的幾項功能，只有HIPS中的幾項、或者只有傳統(tǒng)監(jiān)控的幾項。瑞星認(rèn)為，只有全面實現(xiàn)三個層級的主動防御，才是真正意義上的“主動防御功能”，如果用戶使用不完全的主動防御，將給自己帶來嚴(yán)重的安全風(fēng)險。