主动防御应由产品到体系

　　以前防病毒软件通过加入行为分析变得主动了；IDS通过和防火墙联动变成IPS而变得主动了。但这些都是产品层面的变化，而主动防御是否更应该是一种体系架构？这个架构应该由谁来实施？是安全设备提供商还是安全服务商或者系统集成商？用户眼中的主动防御，应该是可以自动实现对未知威胁的拦截和清除，用户不需要关注防御的具体细节。目的很简单，就是我安装了你，你为我负责，老老实实干你的活，别再烦我了。安全软件厂商也一直向这个方向努力，比如，杀毒软件的主动更新，主动漏洞扫描和修复，以及对病毒的自动处理等。某种程度上说，符合主动防御的部分特征。可以从以下三层面来防护：

　　一、应用程序层的防护，根据一定的规则，执行相应的应用程序。比如，某个应用程序执行时，可能会启动其它程序，或插入其它程序中运行，就会触发应用程序保护的规则。

　　二、注册表的防护，根据规则，响应对注册表的读写操作。这个比较好理解了，某程序执行后，会创建或访问某些注册表键，同样，这些注册表键是被HIPS软件监视或保护的。

　　三、文件防护，对应用程序创建或访问磁盘文件的防护，就是某程序运行后，会创建新的磁盘文件，或者需要访问硬盘上某程序文件，从而触发HIPS软件的监视或保护功能。

　　HIPS软件的监视和保护功能，向主动防御目标更进了一步，但还不没有实现“主动防御”。因为，在使用这类软件时，会大量频繁触发HIPS软件的监视功能，这些功能，尚不能自动进行正确的处理，对这些警报的处理，需要这台电脑的最终用户作出正确的选择，这就是困惑所在。目前来说，HIPS软件，尽管可以一定程度上起到提升安全性的作用，但用起来，太麻烦了。它真的是普通用户需要的吗?普通电脑用户能够做出正确的处置吗?这些都是安全软件厂商进一步需要完善的功能。同时，它还有另一个困惑：如果我能够顺利而熟练的使用HIPS的软件，我可能只需要在其它方面注意，就可以更容易的避免受到病毒或木马的入侵。

　　在应用了主动防御技术之后，用户在运行一个程序时，都会弹出一个安全提示，尤其是运行网络应用程序时，将会弹出若干个安全提示，这也正是主动防御技术的魅力所在！显然，主动防御技术将是未来安全市场的发展趋势，也是抵制病毒、木马传播的利器。