文档介绍:第 26卷第 7期计算机应用与软件 Vol
2009年 puterApplicationsandSoftware
基于行为分析的主动防御技术及其脆弱性研究
罗晓波王开建徐良华
(江南计算技术研究所江苏无锡 214083)
摘要主动防御技术的出现弥补了传统的病毒扫描技术和防火墙技术的不足,给计算机系统提供了更加严密的保护。首先阐
述了基于行为分析的主动防御技术的原理和实现,然后从几个方面对其脆弱性进行了分析,并研究了突破这种主动防御系统的可行
性,最后提出了一些方法来增强主动防御。
关键词主动防御病毒扫描防火墙挂钩 SSDT
ONACTIVEDEFENCETECHNOLOGYBASEDONBEHAVIOURANALYZINGAND
ITSVULNERABILITIES
LuoXiaobo WangKaijian XuLianghua
(puterTechnology,Wuxi214083,Jiangsu,China)
Abstract Theemergenceofactivedefencetechnologymakesupthepitfallsoftraditionvirusscanandfirewalltechnologies,andgivesan
all-,theprincipleandimplementationofactivedefencetechnologybasedonbehaviouranalyzing
arediscussed,andthenthevulnerabilitiesofthistechnologyareanalyzedfromseveralaspects,thepossibilityofbreakingthroughthesystemof
activedefencetechnologyarestudiedaswell,andatlastseveralmethodsarepresentedforstrengtheningtheactivedefencetechnology.
Keywords Activedefence Virusscan Firewall Hook Systemservicedescriptortable
是病毒。这种病毒扫描的缺点是明显的,由于病毒变化多样,其
0 引言特征码也是不断变化的,因此杀毒软件的病毒库更新总是落后
于病毒的更新。一个新生的病毒从产生到大规模爆发这一阶
计算机的普及和的飞速发展极大地推动了社会信段,在计算机系统上畅行无阻,等到杀毒软件收集到特征码并更
息化进程。人们在享受计算机网络所带来的便利的同时,却不新病毒库时,该病毒已经造成了巨大的损失。
得不面对网络攻击所导致的安全问题。破坏文件的病毒可能摧基于行为分析的行为杀毒技术(简称行为杀毒技术)主要
毁计算机上存储的所有文件,给用户造成无法挽回的损失;窃取是通过监视程序的行为来判断程序的危害性。程序运行时会调
信息的间谍程序可能导致账号密码的泄漏或丢失、商业敏感信用各种应用编程接口(API),行为杀毒技术通过监视这些 API
息被非法窃取、国家重要机关的涉密文件被盗等;木马程序[1] 的调用,即可