要主动，还是守着被动?

要主动，还是守着被动?

从字面意思来讲，主动是一种积极的态度，形势由我们自己掌控，一切尽在掌握；被动是一种消极的态度，形势不由我们掌控，未来前景叵测。随便举个生活中的例子，如果我们要保护一个仓库的安全，在忽略费用问题和其他因素的情况下，安装最好的防盗门和雇最好的保安哪个安全性更高呢？答案是显而易见的，当然是保安比防盗门要安全得多，因为再好的防盗门也不过是一种被动防护，早晚要被攻破；而优秀的保安会去主动巡逻主动盘查可疑进出人员。

反病毒技术的发展，我觉得也是一个不断从被动转为主动的过程。

第一代较为成熟的反病毒软件，主要技术为特征码识别，主要形态是扫描。扫描是一个完全被动的防护过程，我只有给杀毒软件下达了扫描命令，杀毒软件才会去扫描。换个角度讲，如果我们在扫描的时候，查出了病毒，那么很遗憾，已经确认您被病毒肆虐过了，请注意即时检查各种帐号是否丢失……

有些网友认为我手工去扫描是一种主动行为啊，怎么会是被动呢？我们谈到的主动和被动是从安全防护的角度出发的，先中毒，后杀毒，所以扫描是一种被动防御。

既然扫描有这么多的缺点，那么为什么早期的大多数杀毒软件都采用扫描作为主要杀毒手段呢？我认为这和早期的病毒环境有关，早期的病毒以感染型病毒为主，一个病毒会使得全盘的可执行文件都被感染，而扫描在批量处理方面有着其他技术无法比拟的优势，所以扫描理所当然的就成为了早期最重要的杀毒手段。

随着时代的发展，病毒越来越多，用户越来越不堪病毒的烦扰，被动的扫描越来越被用户所诟病——很可能一次扫描还没有结束，几分钟前刚被扫描完的文件就又被感染了。。。

一个很理所当然的想法就出现了——如果每时每刻都在不间断的做扫描，那岂不是可以把安全系数提高很多？！实时监控就这么出现了。

PS：具体我没有考证，据说实时监控技术是Norton首先开始应用的。

实时监控是具有划时代的意义的，每时每刻都在监控系统中当前正在被使用或即将被访问（使用）的文件，以保证磁盘中所有文件的安全。相对于被动扫描来说，实时监控就是一种主动扫描。所以，我们说安全的发展就是一个不断从被动转向主动的过程。

上面一直在提特征码，特征码究竟是什么意思？其实特征码就相当于我们生活中的通缉令，犯罪分子作案潜逃，警察侦查后公安部发布通缉令，全国各地的警察协助查找具有某些特征（性别、身材、相貌、衣着等）的人。特征码杀毒也是一样，有人先中毒了，联系反病毒公司提交病毒样本，反病毒公司分析病毒样本组织升级，全国的用户升级后检查自己的电脑是否中毒。

特征码最大的缺点就是命运交由他人，电脑的安全并不因我安装了杀毒软件就可以得到控制，而是完全受制于杀毒软件公司。可能有时候我已经感觉到电脑很不正常，QQ密码也丢失了，但无论是扫描还是实时监控都没有报告出任何问题，为什么呢？因为控制这我命运的杀毒软件公司没有能收集到样本……

虽然实时监控是一种非常好的技术理念，本意也是为了夺回电脑安全的控制权，但是由于其本质上仍然要特征码整体被动性的困扰，所以在当前病毒数量大幅度爆发，病毒日益木马化的时期，实时监控日益遭受用户的白眼。在这种形势下，特征码最具优势的批量扫描逐渐失去了优势。因为木马只有很少几个文件，不会做全盘感染，用扫描引擎试图在诺大的硬盘上查找几个文件，费时费力，效果还不甚理想。

但实时监控的精神是非常好的，只有实时控制才能有效保证系统的整体安全。所以下一代的安全软件，仍然会以实时监控为主要表现形势。但是监控的要点或者说根本，由病毒特征码的比对转为了病毒的行为判断了。行为判断的代表，应该是2005年微点提出的主动防御。大家还记得IT168做的评测么？对付熊猫烧香这么一个完全没有技术含量的病毒，特征码完败，主动防御完胜。

为什么主动防御的产品会完胜特征码？道理很简单，其实还是主动和被动的问题。特征码的被动根源在于其冗长的操作环节：要有人先中毒，联系反病毒公司提交病毒样本，反病毒公司分析病毒样本组织升级，全国的用户升级后才能检查自己的电脑是否中毒。主动防御对病毒的分析由程序自动在本地完成，省去了样本提交和后续升级的过程，计算机的运行速度是很快的，整个主动防御的过程瞬间完成，时差可以忽略不计，再次把被动变为了主动。所以主动防御的安全效果必然要强于特征码。

特征码相当于门口的保安，遇到陌生人只要通缉令上没有的一律放行。而主动防御就相当于私人保镖，实时保护在主人四周，无论大门口放进来的是强盗还是小偷，只要危害到主人利益就会挺身而出。某种程度上说，虽然主动防御形式上是更新换代的安全软件，但是其安全理念更返璞归真了，更关注安全最本源的东西。

杀毒软件发展方向　安全专家眼里的主动防御

来源：赛迪网 作者：李铁军

主动防御貌似已经被炒的够热，因为以病毒为主要攻击方式的网络安全事件层出不穷，反病毒软件多数情况下对新出现的病毒没有识别能力，也就不能很好地起到拦截作用。这种情况持续了很多年，随着病毒的变化越来越多，病毒产业链的活动越来越猖獗，这个现象变得更严重了，由此引发了用户对杀毒软件的不信任。

为了解决这些日益严重的新威胁，杀毒厂商实际在分两个方向同时启步。一方面是采用传统的特征识别、加强引擎脱壳、加强样本的收集、加快病毒特征的更新等等。时至今日，这仍然是最主要的，效率最高的应对方法。但是，不可避免，会有电脑中招倒下，成为新病毒的牺牲品。另一方面，就是开发新的病毒识别技术。比如行为识别、注册表保护、应用程序保护等等。

回头看主动防御这个词，最早应该来自网关或防火墙等网络硬件系统。IDS（入侵检测系统）和IPS（入侵防护系统），这些功能是在防火墙的基础上开发的攻击识别和拦截技术。因为，防火墙是两个网络之间的设备，用来控制两个网络之间的通信，相对自己所在的网络来说，由外而内的访问会根据防火墙的规则表，适用相应的访问策略，策略包括允许、阻止或报告。通常，防火墙对由内而外的访问，是允许的。那么，如果攻击者在网络内存在，将会对整个网络产生安全问题。

入侵检测系统是为监测内网的非法访问而开发的设备，根据入侵检测识别库的规则，判断网络中是否存在非法的访问。管理员通过分析这些事件，来对网络的安全状况进行评估，再采取对应的防护策略。入侵检测系统（IDS）一个很重要的问题，就是这类警告太多了，以致于管理员要从浩如烟海的日志中来发掘安全事件，不仅仅容易出错，也增加了管理成本。IPS则相当于防火墙+入侵检测，提高了性能，也减少了误报。这些都是网关设备，这些设计理念，应用到桌面计算机系统，就被引伸为HIPS，即基于主机的入侵防护系统。

所谓的“主动防御”软件，实际上是安全软件的一个发展方向，不应该被解释为某种技术或产品。用户眼中的主动防御，应该是可以自动实现对未知威胁的拦截和清除，用户不需要关注防御的具体细节。目的很简单，就是我安装了你，你为我负责，老老实实干你的活，别再烦我了。

安全软件厂商也一直向这个方向努力，比如，杀毒软件的主动更新，主动漏洞扫描和修复，以及对病毒的自动处理等。某种程度上说，符合主动防御的部分特征。

目前，在很多被列为HIPS的软件中，可实现大致三方面的功能：

1.应用程序层的防护，根据一定的规则，执行相应的应用程序。比如，某个应用程序执行时，可能会启动其它程序，或插入其它程序中运行，就会触发应用程序保护的规则。

2.注册表的防护，根据规则，响应对注册表的读写操作。这个比较好理解了，某程序执行后，会创建或访问某些注册表键，同样，这些注册表键是被HIPS软件监视或保护的。

3.文件防护，对应用程序创建或访问磁盘文件的防护，就是某程序运行后，会创建新的磁盘文件，或者需要访问硬盘上某程序文件，从而触发HIPS软件的监视或保护功能。

HIPS软件的监视和保护功能，向主动防御目标更进了一步，但还不没有实现“主动防御”。因为，在使用这类软件时，会大量频繁触发HIPS软件的监视功能，这些功能，尚不能自动进行正确的处理，对这些警报的处理，需要这台电脑的最终用户作出正确的选择，这就是困惑所在。目前来说，HIPS软件，尽管可以一定程度上起到提升安全性的作用，但用起来，太麻烦了。它真的是普通用户需要的吗？普通电脑用户能够做出正确的处置吗？这些都是安全软件厂商进一步需要完善的功能。同时，它还有另一个困惑：如果我能够顺利而熟练的使用HIPS的软件，我可能只需要在其它方面注意，就可以更容易的避免受到病毒或木马的入侵。

主动防御，并不神奇，显然，目前还远未实现真正的“主动防御”。只能说，离这个目标近了一些，杀毒厂商还有更多的选择。难点在于：如何用技术实现，不需要更多技术，也能很好实现该技术所创造的功能。