主动防御发展简史之一：主动防御的出现

近些年来，人们由过去有病看病发展到定期体检，预防为主的健康理念。而在信息安全领域在安全威胁防御方面的理念同样发生着变化。“特征码”识别病毒是目前杀毒软件主要技术手段，但这一手段只能起到亡羊补牢的作用--只有某一段代码被编制出来之后，才能判断这个代码是不是病毒，才能谈到去检测或清除这种病毒。杀毒软件厂商只有发现并捕获到新病毒后，才有可能从病毒体中提取其特征值。这使得杀毒软件对新病毒的防范始终滞后于病毒出现，就好比用户被传染流感生病之后不得不去医院医治。种种现象迫使安全厂商开始研发新的防御技术，主动防御也就诞生了！

之二：主动防御技术的发展

主动防御已经推出了有两年时间，一般意义上的“主动防御”，就是全程监视进程的行为，一旦发现“违规”行为，就通知用户，或者直接终止进程。它就像私人医生一样，在别人传染你病毒之前，主动防御技术会检查对方是否有异样，如“面色暗淡、精神恍惚”，但是并不是所有精神不好的人都带有流感病毒。 因此“主动防御”的误判率是非常高的，主动防御厂商不得不把权限给用户，让用户决定它到底有没有带有病毒，这样容易使普通用户很难依据“行为”来判断程序是否有危害到系统，同时无休止的弹窗也让用户无比反感。就在主动防御技术走在瓶颈阶段的时候，以微点为主的主动防御技术厂商不得不用开发白名单定制规则，来避免误杀。主动防御比起普通杀软防御技术具备一定的智能性，但也正是主动防御的智能性，让黑客有了可乘之机。黑客可以利用黑名单，改变规则，绕过报警，对用户系统安全造成威胁，但是无论如何主动防御的演变确实方便了很多。

图1微点判超级巡警为未知木马

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点