新闻中心

EEPW首页 > 通信技术 > 设计应用 > 智能主动防御系统(08-100)

智能主动防御系统(08-100)

—— Intelligent active protection system
作者:赵宇宸 齐鹏 毛宁祥 胡建伟 西安电子科技大学时间:2009-02-26来源:电子产品世界

  1 引言

本文引用地址:http://www.eepw.com.cn/article/91772.htm

  1.1 安全防护软件发展现状

  随着互联网的飞速发展,计算机病毒技术和黑客入侵技术也迅速发展,逐渐融合了网络蠕虫、木马、拒绝服务工具、缓冲区溢出工具等各种攻击手段,造成的损失也由最初的数据丢失,发展到现在的信息泄密,数据破坏,甚至互联网的瘫痪,破坏力越来越大。

  伴随着病毒技术和黑客入侵技术的发展,安全防护技术也在迅速发展,各种各样的安全防护软件如“雨后春笋”般出现。这些安全防护软件的原理可以概括为“扫描”和“过滤”,它们利用特征库对文件进行扫描,对进入主机的数据包进行过滤,从而发现病毒和入侵。特征库成了这些防护软件功能的最大限制,谁拥有更完备的特征库谁就能防御更多病毒和入侵。特征库中存储的都是已知病毒和入侵的特征,因此这些安全防护软件仅能对已知的病毒和入侵进行防御,对未知的病毒和入侵束手无策。

  防御未知病毒和未知入侵是当前安全防护软件迫切需要解决的问题。

  1.2 方案设计与选择

  智能主动防御系统(以下简称本系统)可分为网络防护和主机防护两部分,其中网络防护的主要功能是防御来自网络的入侵,主机防护的主要功能是防御恶意程序(如病毒)的破坏。

  整个系统的总体架构如图1所示。各部分的功能如下:

  1. 网络防护:用户态实现“伪装服务,提取特征”功能,NDIS驱动实现“模拟不存活主机和数据包过滤”功能。

  2. 主机防护:主机防护的核心部分是在系统内核驱动中完成检测恶意程序。

 

  图1 系统总体构架

  从图1可以看出,本系统是一个全方位的防护软件,它集与杀毒软件功能于一身。与传统的防护软件相比,其最大的特色是:能够主动防御未知入侵和检测未知病毒。

  本系统通过自主学习建立自己的特征库从而实现防御未知入侵。系统摒弃了野蛮的病毒扫描模式,采用主动防御技术拦截程序的危险行为,实现了检测未知病毒。


上一页 1 2 3 4 5 下一页

关键词: 防火墙 ARP

评论

技术专区

关闭