信息系统主动防御解决方案.pdfVIP

信息系统主动防御解决方案 刘冬喜 (南车成都机车车辆有限公司信息中心 成都 610051) 摘 要 主动防御是基于程序行为 自主分析判断的实时防护技术，不以病毒的特征码作为判断病毒的依据，而是从最原始的病毒 定义出发，直接将程序的行为作为判断病毒的依据。本文就该系统的原理、实现 目标和方法做了详细阐述。 关键词 主动防御 入侵 攻击 深度检测 深度修复 中图分类号 TP393．08 文献标识码 A 文章编号 120109—6014 ActiveDefenseSolutionofInformationSystem Liu Dongxi (InformationCentre，CSRChengduCo．，Ltd Chengdu 610051) Abstract Activedefenseisareal-timeprotectiontechnologybasedonindependentanalysisofprogram behavior，active defenseisnotbasedonthesignatureofthevirus，butaccordingtotheprorgam behaviortoestimate．Thisarticledetailed expoundedtheactivedefensesystem’Sprinciple，targetandmethods． Keywords Activedefense Invasion Attack Depthinspection Depthrepair 信息系统在企业单位得到了广泛的应用，企业对其信息系 病毒的经验，提炼成病毒识别规则知识库。模拟专家发现新病毒 统的依赖性不断增长 ，加上在信息系统上运作业务的风险、收益 的机理，通过对各种程序动作的自动监视 ，自动分析程序动作之 和机会 ，使得企业信息安全管理成为企业管理越来越重要的一 间的逻辑关系，综合应用病毒识别规则知识 ，实现 自动判定新病 部分。但是 Internet的开放性、国际性和自由性在增加企业应用 毒，达到主动防御的目的。 自由度的同时，信息安全问题也 日益凸显。为了防止企业信息泄 2、自动准确判定新病毒 漏和被攻击，企业内网边缘一般均采取了许多安全措施 ，如 系统在操作系统中安插众多探针，这些探针动态监视所运 IPS、IDS、防火墙和杀毒软件等 ，收到了一定的效果。但由于很多 行程序调用各种应用编程接 口(API)的动作，自动分析程序动作 系统采用的都是特征码比对技术，在特征码库升级不及时的时 之间的逻辑关系，自动判定程序行为的合法性，实现自动诊断新 候，一些新的入侵手段很容易侵入企业内网，造成不必要的重大 病毒，自动清除病毒的 目的。这些 自动操作，有效克服依据单一 损失。如何改善传统安全产品的被动防御性，使企业信息网络系 动作，频繁询问是否允许修改注册表或访问网络，给用户带来困 统免受黑客和恶意代码的入侵，保障企业信息系统的正常工作 惑以及用户因难以自行判断，导致误判、造成危害产生或正常程 运转，已成为信息事业健康发展所要考虑的重要问题。因此 ，针 序无法运行的缺陷。 对当前严峻的安全形势 ，建立智能型、差异化 、立体式的主动防 3、程序行为监控并举 御堡垒势在必行。 系统在全面监视程序运行的同时，自主分析程序行为，发现 一 、 主动防御理解分析 新病毒后 ，自动阻止病毒行为并终止病毒程序运行，自动清除病 主动防御是基于程序行为 自主分析判断的实时防护技术 ， 毒，并自动修复注册表。 不以病毒的特征码作为判断病毒的依据，而是从最原始的病毒 4、自动提取特征值实现多重防护 定义出发 ，直接将程序的行为作为判断病毒的依据。主动防御是 在采用动态仿真技术的同时，有效克服特征值扫描技术滞 用软件 自动实现了反病毒工程师分析判断病毒的过程 ，解决了 后于病毒出现的缺陷，发现新病毒后 自动提取病毒特征值，并自 传统安全软件无法防御未知恶意软件的