正在阅读：瑞星杀毒软件2008主动防御特点和分析瑞星杀毒软件2008主动防御特点和分析

　　主动防御简介

　　主动防御是一种阻止恶意程序执行的技术。它比较好的弥补了传统杀毒软件采用“特征码查杀”和“监控”相对滞后的技术弱点，可以在病毒发作时进行主动而有效的全面防范，从技术层面上有效应对未知病毒的肆虐。
　　
　　从技术角度讲，完整主动防御技术包含三个层次：资源访问规则控制；资源访问扫描；程序活动行为分析引擎，其中尤其以行为分析引擎技术最为关键。此前，由于行为分析引擎技术不成熟，集成了主动防御的杀毒软件需要过多的用户参与，要求用户选择是“放过”还是“拒绝”某个程序的动作，这样反而给用户带来了困扰。

　　二、主动防御技术的层次划分
　　

主动防御的层次化结构示意图

　　2.1、主动防御第一层：资源访问规则控制（HIPS）
　　
　　资源访问规则是主动防御的第一层，也是其最为基础的部分，主动防御的基本功能，就依赖于此层来展开。它通过对系统资源（注册表、文件、特定系统API的调用、进程启动）等进行规则化控制，阻止木马、病毒等恶意程序对这些资源的使用，从而达到抵御未知病毒攻击的目的。
　　
　　事实上这个技术从2004年起就在瑞星杀毒软件中得到了成功的运用，文件监控、注册表监控、内存监控等都属于这个层次。现在的一些所谓“主动防御”杀毒软件，国际上比较热的HIPS软件，事实上采用的都是这个层次下的技术。

　　瑞星专家结合大量中毒用户的案例分析，把大量规则预先设置到瑞星2008版的主动防御模块中，使得大量普通用户不必去面对高深的主动防御技术，就能享受到主动防御HIPS的效果。
　　
　　2.2、主动防御第二层（监控扫描层）：资源访问扫描
　　
　　资源访问扫描是主动防御的第二个层次，通过监控对一些资源，如文件、引导区、邮件、脚本的访问,并使用拦截的上下文内容（文件内存、引导区内容等）进行威胁扫描识别的方式，来处理已经经过分析的恶意代码。
　　
　　很多主流杀毒软件，包括瑞星软件中的邮件监控（反病毒、反垃圾）、网页监控、文件监控都属于这一层，这一层主要解决邮件病毒、网页挂马等等问题。
　　
　　在瑞星2008版中，特别加强了第二层中的“病毒强杀”和“智能监控”等功能模块。以往有很多病采用种种手段对自身进行保护，使得杀毒软件只有在重启系统后才能清除，有了“病毒强杀”之后，瑞星杀毒软件可以将此类顽固病毒干净彻底的杀掉。
　　
　　传统的杀毒软件需要对多种系统资源、行为动作进行监控，可能造成系统资源的占用。瑞星专家通过对多个监控扫描模块的优化，使用了“智能监控技术”，使得08新品的资源占用大大减少，用户可以在安全的环境下正常工作，不会遇到机器变慢等传统问题。
　　
　　2.3、主动防御第三层（智能分析层）：进程行为分析引擎+DNA识别
　　
　　这一层是主动防御技术核心中的核心，具有很高的技术门槛，有些类似反病毒行业的“歌德巴赫猜想”。按照理论来讲，病毒可以根据代码数据特征码判定，也可以根据它的程序行为表现（即行为特征）判定，前者就是“特征码查杀”，是应用广泛的传统技术；后者在理论上可以做到，实际操作中很难用程序来准确判定，往往需要用户进行参与，对用户的技术水平要求很高，所以一直停留在实验室阶段，不能投入大规模的实际应用。