【IT168 专稿】作为在国内安全市场享有一定知名度且有一定影响力的江民和瑞星，相继推出了新版本的杀毒软件产品，并且在产品中融入了主动防御技术。当江民和瑞星的两家的新产品在国内掀起了声势浩大的公测活动后，主动防御技术再次成为国内安全市场的热点。几乎在同一时间，来自俄罗斯的卡巴斯基也推出了新版本的杀毒软件产品，其新产品中也融入了主动防御技术。从市场份额来看，江民、瑞星和卡巴斯基三款杀毒软件的市场份额占据了半壁江山，三家反病毒软件厂商的这一发展策略，是否意味着安全市场已经迎来了主动防御技术的普及时代呢？

    从技术角度讲，主动防御技术并不是什么新技术，几年前，主动防御技术已经开始应用，硬件防火墙、IDS（入侵检测系统）和IPS（入侵防护系统）便是主动防御技术的典型应用。可是，主动防御技术的概念在大多数人心目中仍然是一个模糊的概念，一些厂商甚至混淆主动防御技术的概念。到底什么才是真正的主动防御技术应用呢？

    主动防御技术的前世今生
    时至今日，主动防御技术的概念已经太过于笼统，也因为各安全厂商理解的不同而衍生出不同的主动防御技术概念。根据安全专家的分析，所谓“主动防御”，从概念上来讲是指对未知病毒的防范，在没有获得病毒样本之前阻止病毒的运作。目前主动防御技术主要是针对未知病毒提出来的病毒防杀技术。图一

主动防御技术层次划分

    在“主动防御”技术的的实现上，主要是通过函数来进行控制。因为一个程序如果要实现自己的功能，就必须要通过接口调用操作系统提供的功能函数。以前在DOS里几乎所有的系统功能或第三方插件都是通过中断提供的，在Windows里一般是通过DLL里的API提供，也有少数通过INT 2E或SYSENTER提供。一个进程有怎么样的行为，通过看它调用了什么样的API就大概清楚了。比如它要读写文件就必然要调用CreateFile()，OpenFile()，NtOpenFile()，ZwOpenFile()等函数；要访问网络就必然要使用Socket函数。因此只要挂接系统API，就可以知道一个进程将有什么动作，如果有危害系统的动作该怎么样处理等等。例如瑞星反病毒系统，用户可以在它的安装目录里找到几个驱动文件，其实这些驱动就是挂接了ntoskrnl.exe、ndis.sys等系统关键模块里的API，从而对进程的普通行为、网络行为、注册表行为进行监视。

    与现有的病毒查杀技术相比，主动防御技术有着一定的优势，而且更准确。现有主流杀毒技术“特征码技术”，有了新病毒，杀毒软件才能根据病毒特征码进行查杀。而主动防御技术，可以根据对操作系统底层函数的调用，结合病毒特征码判断该程序是否安全，这样可以大大提高查杀病毒的准确率。为此，现在所说的主动防御技术，是基于特征码技术对操作系统行为进行监控和过滤的全方位防范技术。

    在应用了主动防御技术之后，用户在运行一个程序时，都会弹出一个安全提示，尤其是运行网络应用程序时，将会弹出若干个安全提示，这也正是主动防御技术的魅力所在！显然，主动防御技术将是未来安全市场的发展趋势，也是抵制病毒、木马传播的利器，而目前的安全市场中，基于主动防御技术的应用又有多少？

    主动防御技术应用知多少？

    尽管主动防御技术已经不再是一个新鲜的技术，可是，在安全领域，主动防御技术的应用还是非常少的。下面，我们来看一下主动防御技术在安全市场的具体应用。

    1、硬件防火墙：防火墙是介于两个网络之间的设备，用来控制两个网络之间的通信。举个例子来说明一下防火墙的工作原理，在A网络与B网络之间安装一台防火墙，B网络要访问A网络时，会根据防火墙的规则表适用相应的访问策略，策略包括允许、阻止或报告。在默认的情况下，A网络访问B网络是无需遵守任何访问策略的，也就是说，如果攻击者在A网络中，将会对A网络的安全产生巨大的威胁。

    通过防火策略，可以有效的阻挡外来的网络攻击和一些病毒的入侵，这就是主动防御技术的最初应用。如今，防火墙已经逐渐被代替，取而代之的是IDS和IPS。

    2、IDS（入侵检测系统）：IDS是为监测内网的非法访问而开发的设备，根据入侵检测识别库的规则，判断网络中是否存在非法的访问。管理员通过分析这些事件，来对网络的安全状况进行评估，再采取对应的防护策略。相对硬件防火墙而言，IDS是基于主动防御技术的更高一级应用。

    3、IPS（入侵防护系统）：一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。与IDS和硬件防火墙相比，IPS更智能，可以通过分析来决定是否允许数据包通行，这也是主动防御技术的最典型应用。

    4、杀毒软件：在病毒越来越猖狂，破坏力越来越强大的不利形势下，过于陈旧的模式让传统的杀毒软件已经无法承担保护计算机安全的重任。正因于此，江民、瑞星和卡巴斯基才推出了新版本的杀毒软件，并集成了主动防御技术。仔细审视江民、瑞星和卡巴斯基的杀毒软件新产品，其所谓的主动防御技术，也不过是对网页、注册表、恶意脚本增加了监测功能而已，只能说是最初级的主动防御技术应用，距离真正的主动防御还有一定的距离。图二

使用主动防御技术的杀毒软件

    总的来说，主动防御技术在安全领域的应用还是相对比较小的。诸如防火墙、IDS和IPS的应用，也仅仅是一些大型企业才能用得起的，而江民、瑞星和卡马斯基所推出的最新版杀毒软件，只能是主动防御技术的最初级应用。

    总结：显然，就安全市场的现状而言，真正的主动防御技术的应用还很少，也就是说，主动防御技术的普及时代还没有真正的到来。不过，在病毒越来越强的攻势之下，在木马渐趋泛滥的现状下，势必会加速主动防御技术的普及，主动防御技术不久的将来也将迎来普及时代！