另一方面是开发新的病毒识别技术。比如行为识别、注册表保护、应用程序保护等等。最早应该来自网关或防火墙等网络硬件系统。入侵检测系统和入侵防护系统都是在防火墙的基础上开发的攻击识别和拦截技术。入侵检测系统是为监测内网的非法访问而开发的设备，根据入侵检测识别库的规则，判断网络中是否存在非法的访问。管理员通过分析这些事件，来对网络的安全状况进行评估，再采取对应的防护策略。

　　入侵检测系统一个很重要的问题，就是这类警告太多了，以致于管理员要从浩如烟海的日志中来发掘安全事件，不仅仅容易出错，也增加了管理成本。而入侵防护系统相当于防火墙+入侵检测，提高了网络性能，也减少了误报。这些都是网关设备，这些设计理念，应用到桌面计算机系统，就被引伸为HIPS，即基于主机的入侵防护系统，可以大大提升网络安全质量。

二、主动防御应由产品到体系

　　以前防病毒软件通过加入行为分析变得主动了；IDS通过和防火墙联动变成IPS而变得主动了。但这些都是产品层面的变化，而主动防御是否更应该是一种体系架构？这个架构应该由谁来实施？是安全设备提供商还是安全服务商或者系统集成商？用户眼中的主动防御，应该是可以自动实现对未知威胁的拦截和清除，用户不需要关注防御的具体细节。目的很简单，就是我安装了你，你为我负责，老老实实干你的活，别再烦我了。安全软件厂商也一直向这个方向努力，比如，杀毒软件的主动更新，主动漏洞扫描和修复，以及对病毒的自动处理等。某种程度上说，符合主动防御的部分特征。可以从以下三层面来防护：

　　(一)、应用程序层的防护，根据一定的规则，执行相应的应用程序。比如，某个应用程序执行时，可能会启动其它程序，或插入其它程序中运行，就会触发应用程序保护的规则。

　　(二)、注册表的防护，根据规则，响应对注册表的读写操作。这个比较好理解了，某程序执行后，会创建或访问某些注册表键，同样，这些注册表键是被HIPS软件监视或保护的。

　　(三)、文件防护，对应用程序创建或访问磁盘文件的防护，就是某程序运行后，会创建新的磁盘文件，或者需要访问硬盘上某程序文件，从而触发HIPS软件的监视或保护功能。

　　HIPS软件的监视和保护功能，向主动防御目标更进了一步，但还不没有实现“主动防御”。因为，在使用这类软件时，会大量频繁触发HIPS软件的监视功能，这些功能，尚不能自动进行正确的处理，对这些警报的处理，需要这台电脑的最终用户作出正确的选择，这就是困惑所在。目前来说，HIPS软件，尽管可以一定程度上起到提升安全性的作用，但用起来，太麻烦了。它真的是普通用户需要的吗?普通电脑用户能够做出正确的处置吗?这些都是安全软件厂商进一步需要完善的功能。同时，它还有另一个困惑：如果我能够顺利而熟练的使用HIPS的软件，我可能只需要在其它方面注意，就可以更容易的避免受到病毒或木马的入侵。

　　在应用了主动防御技术之后，用户在运行一个程序时，都会弹出一个安全提示，尤其是运行网络应用程序时，将会弹出若干个安全提示，这也正是主动防御技术的魅力所在！显然，主动防御技术将是未来安全市场的发展趋势，也是抵制病毒、木马传播的利器。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点