【IT168专稿】计算机病毒变种速度越来越快，几乎每天都会有成百上千万个新型病毒。而现行的防毒软件仅能被动地防御已知的电脑威胁，还需要不断地更新病毒码，而一般的防火墙或网关仅能守住企业网络的出入口，仍然无法防范无线接取及行动装置造成的感染。面对将来的未知威胁，该如何在病毒没被截获前就可以查出，并通过可行的处理方法让用户对其作出有效处理?

　　检测未知病毒是通过复杂的启发式扫描技术来进行的，需要用到文件头和实际的包内容来完成。启发式扫描技术用来增强防病毒、反垃圾邮件和其他相关的扫描活动，包括扫描文件分析、蠕虫检测、文件类型分析、特征检查和启发式检查。异常检测技术是通过分析整个数据包进行的，包括包头、协议信息、应用信息、包内容和会话行为等，它比基于特征的IDS强。启发式扫描和异常检测引擎的开启采用启发式扫描技术和异常检测技术，使安全平台大大提高了对已知和未知威胁的防御能力。很多安全厂商在努力，不断研究完善新的技术和检测方法，以应对各种未知威胁。

　　专家建议：跳出传统的思维方式，站在网络威胁的角度来重新审视企业级安全体系架构。

　　动态威胁防御系统架构

　　动态威胁防御系统是超越传统防火墙、针对已知和未知威胁、提升检测能力的技术。它将防病毒、IDS、IPS和防火墙模块中的有关攻击的信息进行关联，并将各种安全模块无缝地集成在一起。使每一个安全功能之间可以互相通信，并关联“威胁索引”信息，以识别可疑的恶意流量，这些流量可能还未被提取攻击特征。通过跟踪每一安全组件的检测活动，能降低误报率，以提高整个系统的检测精确度。相比之下，由多个不同厂商的安全部件（防病毒、IDS、IPS、防火墙）组合起来的安全方案则缺乏协调检测工作的能力。如图一： 为了使性能达到非常好的，所有会话流量首先被每一个安全和检测引擎使用已知特征进行分析。特征模式结合由硬件加速的精简模式识别语言是当前识别已知攻击最快的方法。如果发现了特征的匹配，按照在行为策略中定义的规则来处理有害流量——丢弃、重置客户端、重置服务器、中止会话等。安全防护响应网络可提供病毒库、IDS/IPS特征以及安全引擎最新版本， 以保持实时更新。这就保证了基于最新特征的威胁会被识别出来，并被快速阻挡。