對于目前層出不窮的惡意軟件攻擊，需要采用多種策略來(lái)提高系統的安全性。本文結合幾個(gè)案例對攻擊防護的相關(guān)內容進(jìn)行介紹。

1、防火墻

防火墻是眾多安全設備中的一種，是一種簡(jiǎn)單有效的防護方式。防火墻的應用存在兩個(gè)矛盾：一個(gè)是安全和方便的矛盾，另一個(gè)是效果與效能的矛盾。前者是指安全必然會(huì )帶來(lái)過(guò)程的繁瑣、造成使用的不便，后者是指想要達到更好的安全防護效果就需要消耗更多的資源。在設計合理可用的防火墻時(shí)往往需要考慮上述矛盾，并根據要求進(jìn)行權衡。

防火墻的提出和實(shí)現最早可以追溯到20世紀80年代。研究人員采用包過(guò)濾（Packet Filter）技術(shù)先后推出了電路層防火墻和應用層防火墻，開(kāi)發(fā)了基于動(dòng)態(tài)包過(guò)濾技術(shù)的第4代防火墻和基于自適應代理技術(shù)的防火墻。防火墻有其簡(jiǎn)單的核心原理和運行機制，以確保有效性。下面介紹防火墻的基本原理、分類(lèi)、技術(shù)架構等問(wèn)題。

（1）防火墻的基本原理

防火墻是可以對計算機或網(wǎng)絡(luò )訪(fǎng)問(wèn)進(jìn)行控制的一組軟件或硬件設備，也可以是固件。防火墻將網(wǎng)絡(luò )分為內部網(wǎng)絡(luò )和外部網(wǎng)絡(luò )兩部分，而其自身就是這兩個(gè)部分之間的一道屏障。一般認為防火墻就是隔離在內部網(wǎng)絡(luò )和外部網(wǎng)絡(luò )之間的一道執行控制策略的防御系統。如圖1所示，防火墻是一種形象的說(shuō)法，其科學(xué)本質(zhì)是建立在內部網(wǎng)絡(luò )和外部網(wǎng)絡(luò )之間的一個(gè)安全網(wǎng)關(guān)。

防火墻的核心原理是：分析出入的數據包，決定放行還是攔截，只允許符合安全設置的數據通過(guò)。從這一點(diǎn)來(lái)看，防火墻實(shí)質(zhì)上是一種隔離控制技術(shù)，是在不安全的網(wǎng)絡(luò )環(huán)境下構造一種相對安全的內部網(wǎng)絡(luò )環(huán)境，它既是一個(gè)分析器，又是一個(gè)限制器。

防火墻的必要性和有效性的基本假設是：外部存在潛在的安全威脅，內部絕對安全；內外互通的數據全部流經(jīng)防火墻。

防火墻的作用是通過(guò)訪(fǎng)問(wèn)控制來(lái)保證網(wǎng)絡(luò )安全，具體包括端口管理、攻擊過(guò)濾、特殊站點(diǎn)管理等。防火墻的具體作用如下。

1）強化安全策略，過(guò)濾掉不安全的服務(wù)和非法用戶(hù)，即過(guò)濾進(jìn)、出網(wǎng)絡(luò )的數據，管理進(jìn)、出網(wǎng)絡(luò )的訪(fǎng)問(wèn)行為，拒絕發(fā)往或者來(lái)自所選網(wǎng)點(diǎn)的請求通過(guò)防火墻。

2）監視網(wǎng)絡(luò )的安全性，并報警。

3）利用網(wǎng)絡(luò )地址轉換技術(shù)，將有限的動(dòng)態(tài)地址或靜態(tài)地址與內部的地址對應起來(lái)，以緩解地址空間短缺的問(wèn)題。

4）防火墻是進(jìn)出信息都必須通過(guò)的關(guān)口，適合收集關(guān)于系統和網(wǎng)絡(luò )使用和誤用的信息。利用此關(guān)口，防火墻能在網(wǎng)絡(luò )之間進(jìn)行信息記錄，其是審計和記錄使用費用的一個(gè)最佳地點(diǎn)。網(wǎng)絡(luò )管理員可以在此提供連接的費用情況，查出潛在的帶寬瓶頸位置，并能夠依據本機構的核算模式提供部門(mén)級的計費。

5）防火墻可以連接到一個(gè)單獨的網(wǎng)絡(luò )上，在物理上與內部網(wǎng)絡(luò )隔開(kāi)，并部署服務(wù)器以作為向外部發(fā)布內部信息的地點(diǎn)。

防火墻一般由服務(wù)訪(fǎng)問(wèn)規則、驗證工具、包過(guò)濾、應用網(wǎng)關(guān)4個(gè)部分構成，微觀(guān)上可以存在于路由器、服務(wù)器、PC端等多種設備中，宏觀(guān)上部署在兩個(gè)網(wǎng)絡(luò )環(huán)境之間，如內部網(wǎng)絡(luò )和外部網(wǎng)絡(luò )之間、專(zhuān)用網(wǎng)絡(luò )和公共網(wǎng)絡(luò )之間等。

防火墻在運行時(shí)原理上可選的安全認證策略有3種：一種是肯定的，認為只有被允許的訪(fǎng)問(wèn)才可以放行，這可能會(huì )造成對安全訪(fǎng)問(wèn)行為的誤殺；另一種是否定的，認為只有被禁止的訪(fǎng)問(wèn)才是不被允許的，這可能會(huì )導致未知的不安全訪(fǎng)問(wèn)發(fā)生；還有一種是以上兩種策略的協(xié)調，即動(dòng)態(tài)制定允許訪(fǎng)問(wèn)與禁止訪(fǎng)問(wèn)的條件。

（2）防火墻的分類(lèi)

防火墻的實(shí)現有多種類(lèi)型，基于其核心思想，根據分析數據的不同和安全防護機制的不同，其可以劃分為3種基本類(lèi)型，基于這些基本類(lèi)型可以構建復合類(lèi)型。各類(lèi)型的防火墻介紹如下。

1）包過(guò)濾型防火墻

包過(guò)濾型防火墻工作在網(wǎng)絡(luò )層，因此又稱(chēng)為網(wǎng)絡(luò )級防火墻。包過(guò)濾技術(shù)是指根據網(wǎng)絡(luò )層和傳輸層的原則對傳輸的信息進(jìn)行過(guò)濾，其是最早出現的防火墻技術(shù)。在網(wǎng)絡(luò )上傳輸的每個(gè)數據包都可以分為兩部分：數據部分和包頭。包過(guò)濾技術(shù)就是在網(wǎng)絡(luò )的出口（如路由器）處分析通過(guò)的數據包中的包頭信息，判斷該包是否符合網(wǎng)絡(luò )管理員設定的規則，以確定是否允許數據包通過(guò)。一旦發(fā)現不符合規則的數據包，防火墻就會(huì )將其丟棄。包過(guò)濾規則一般會(huì )基于某些或全部包頭信息，如數據的源地址和目標地址、TCP源端口和目標端口、IP類(lèi)型、IP源地址等。

包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用、處理速度快、實(shí)現成本低、數據過(guò)濾對用戶(hù)透明等。同時(shí)其也有很多缺點(diǎn)，主要的缺點(diǎn)是安全性較低，不能徹底防止地址欺騙，正常的數據包過(guò)濾路由技術(shù)無(wú)法執行某些安全策略。包過(guò)濾技術(shù)工作在網(wǎng)絡(luò )層和傳輸層，與應用層無(wú)關(guān)，因此，其無(wú)法識別基于應用層的惡意侵入。

2）應用代理（Application Proxies）型防火墻

代理服務(wù)器技術(shù)也稱(chēng)為應用層防火墻技術(shù)，它控制對應用程序的訪(fǎng)問(wèn)，能夠代替網(wǎng)絡(luò )用戶(hù)完成特定的TCP/IP功能。一個(gè)代理服務(wù)器實(shí)質(zhì)上是一個(gè)為特定網(wǎng)絡(luò )應用而連接兩個(gè)網(wǎng)絡(luò )的網(wǎng)關(guān)。當內部客戶(hù)機要使用外部服務(wù)器的數據時(shí)，首先會(huì )將數據請求發(fā)送給代理服務(wù)器，代理服務(wù)器接收到該請求后會(huì )檢查其是否符合規則，如果符合，則代理服務(wù)器會(huì )向外部服務(wù)器索取數據，然后外部服務(wù)器返回的數據會(huì )經(jīng)過(guò)代理服務(wù)器的檢測，由代理服務(wù)器傳輸給內部客戶(hù)機。由于代理服務(wù)器技術(shù)徹底隔斷了內部網(wǎng)絡(luò )與外部網(wǎng)絡(luò )的直接通信，因此外部網(wǎng)絡(luò )的惡意侵害也就很難進(jìn)入內部網(wǎng)絡(luò )。

代理服務(wù)器技術(shù)的優(yōu)點(diǎn)是安全性較高，實(shí)施較強的數據流監控、過(guò)濾和日志功能，可以方便地與其他安全手段集成等。同時(shí)其也有很多缺點(diǎn)，主要的缺點(diǎn)是訪(fǎng)問(wèn)速度慢、對于每項服務(wù)代理可能會(huì )要求不同的服務(wù)器、代理對用戶(hù)不透明等。

3）網(wǎng)絡(luò )地址轉化代理（NAT Proxies）型防火墻

網(wǎng)絡(luò )地址轉換技術(shù)是一種通過(guò)在防火墻上裝一個(gè)合法的IP地址集，把內部私有網(wǎng)絡(luò )地址（IP地址）翻譯成合法網(wǎng)絡(luò )IP地址的技術(shù)。當不同的內部網(wǎng)絡(luò )用戶(hù)向外連接時(shí)，使用一個(gè)公用的IP地址；當內部網(wǎng)絡(luò )用戶(hù)互相通信時(shí)，則使用內部IP地址。

內部網(wǎng)絡(luò )的IP地址對外部網(wǎng)絡(luò )來(lái)說(shuō)是不可見(jiàn)的，這極大地提高了內部網(wǎng)絡(luò )的安全性，同時(shí)這種技術(shù)也緩解了少量的IP地址和大量主機間的矛盾。當然這種技術(shù)也有很多的局限，例如，內部網(wǎng)絡(luò )可以通過(guò)木馬程序利用網(wǎng)絡(luò )地址轉換技術(shù)與外部連接而穿越防火墻。

4）狀態(tài)檢測防火墻

狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機制，能夠對各層的數據進(jìn)行主動(dòng)的、實(shí)時(shí)的檢測。當防火墻接收到初始化連接的數據包時(shí)，會(huì )根據事先設定的規則對該數據包進(jìn)行檢查，如果該數據包被接受，則在狀態(tài)表中記錄下該連接的相關(guān)信息，并將其作為以后制定安全決策的參考。對于后續的數據包，將它們與狀態(tài)表中記錄的連接內容進(jìn)行比較，以決定是否接受它們。狀態(tài)檢測技術(shù)的優(yōu)點(diǎn)是提高了系統的性能、安全性高等。同時(shí)其也有很多缺點(diǎn)，主要的缺點(diǎn)是實(shí)現成本高、配置復雜、會(huì )降低網(wǎng)速等。

5）復合型防火墻

把前述的基于各種技術(shù)的防火墻整合成一個(gè)系統，即為復合型防火墻，其可構筑多道防御，確保更高的安全。

（3）防火墻的技術(shù)架構

從實(shí)現原理上分，防火墻的技術(shù)架構可分為4類(lèi)：網(wǎng)絡(luò )級防火墻（也叫包過(guò)濾型防火墻）、應用級網(wǎng)關(guān)、電路級網(wǎng)關(guān)和規則檢查防火墻。它們各有所長(cháng)，具體使用哪一種或是否混合使用，要根據具體需要確定。

1）網(wǎng)絡(luò )級防火墻

網(wǎng)絡(luò )級防火墻一般是基于源地址和目的地址、應用、協(xié)議以及每個(gè)IP包的端口來(lái)做出通過(guò)與否的判斷的。一個(gè)路由器便是一個(gè)“傳統”的網(wǎng)絡(luò )級防火墻，大多數路由器都能通過(guò)檢查信息來(lái)決定是否將所收到的包轉發(fā)，但它不能判斷出一個(gè)IP包來(lái)自何方、去向何處。防火墻會(huì )檢查每條規則直至發(fā)現包中的信息與某規則相符。如果沒(méi)有一條規則能符合，則防火墻就會(huì )使用默認規則，一般情況下，默認規則就是要求防火墻丟棄該包。其次，通過(guò)定義基于TCP或UDP數據包的端口號，防火墻能夠判斷是否允許建立特定的連接，如Telnet連接、FTP連接等。

2）應用級網(wǎng)關(guān)

應用級網(wǎng)關(guān)能夠檢查進(jìn)出的數據包，通過(guò)網(wǎng)關(guān)復制傳遞數據，防止受信任服務(wù)器和客戶(hù)機與不受信任的主機直接建立聯(lián)系。應用級網(wǎng)關(guān)能夠理解應用層上的協(xié)議，能夠做復雜的訪(fǎng)問(wèn)控制，以及精細的注冊和稽核。應用級網(wǎng)關(guān)針對特別的網(wǎng)絡(luò )應用服務(wù)協(xié)議，即數據過(guò)濾協(xié)議，并且能夠對數據包進(jìn)行分析以形成相關(guān)的報告。應用級網(wǎng)關(guān)會(huì )給予某些易于登錄和控制所有輸出輸入的通信環(huán)境嚴格的控制，以防有價(jià)值的程序和數據被竊取。在實(shí)際工作中，應用級網(wǎng)關(guān)一般由專(zhuān)用工作站系統來(lái)充當。但每一種協(xié)議都需要相應的代理軟件，使用時(shí)工作量大，效率不如網(wǎng)絡(luò )級防火墻。應用級網(wǎng)關(guān)有較好的訪(fǎng)問(wèn)控制性能，是最安全的防火墻技術(shù)，但其實(shí)現困難，而且有的應用級網(wǎng)關(guān)缺乏“透明度”。在實(shí)際使用中，用戶(hù)在受信任的網(wǎng)絡(luò )上通過(guò)防火墻訪(fǎng)問(wèn)Internet時(shí)，經(jīng)常會(huì )出現時(shí)延問(wèn)題并且必須進(jìn)行多次登錄才能訪(fǎng)問(wèn)Internet或Intranet。

3）電路級網(wǎng)關(guān)

電路級網(wǎng)關(guān)用來(lái)監控受信任的客戶(hù)或服務(wù)器與不受信任的主機間的TCP握手信息，進(jìn)而來(lái)決定該會(huì )話(huà)（Session）是否合法。電路級網(wǎng)關(guān)在OSI模型中的會(huì )話(huà)層上過(guò)濾數據包，這樣比包過(guò)濾防火墻要高兩層。電路級網(wǎng)關(guān)還提供了一個(gè)重要的安全功能：代理服務(wù)器（Proxy Server）。代理服務(wù)器是設置在Internet防火墻網(wǎng)關(guān)中的專(zhuān)用應用級代碼。這種代理服務(wù)準許網(wǎng)絡(luò )管理員允許或拒絕特定的應用程序或一個(gè)應用程序的特定功能。包過(guò)濾技術(shù)和應用級網(wǎng)關(guān)是通過(guò)特定的邏輯判斷來(lái)決定是否允許特定的數據包通過(guò)的，一旦判斷條件滿(mǎn)足，防火墻內部網(wǎng)絡(luò )的結構和運行狀態(tài)便會(huì )“暴露”在外來(lái)用戶(hù)面前，這就引入了代理服務(wù)的概念，即防火墻內外計算機系統應用層的“鏈接”由兩個(gè)終止于代理服務(wù)的“鏈接”來(lái)實(shí)現，這就成功地實(shí)現了防火墻內外計算機系統的隔離。同時(shí)，代理服務(wù)還可用于實(shí)施較強的數據流監控、過(guò)濾、記錄和報告等功能。代理服務(wù)技術(shù)主要通過(guò)專(zhuān)用計算機硬件（如工作站等）來(lái)實(shí)現。

4）規則檢查防火墻

規則檢查防火墻結合了包過(guò)濾防火墻、電路級網(wǎng)關(guān)和應用級網(wǎng)關(guān)的特點(diǎn)。它同包過(guò)濾防火墻一樣，能夠在OSI網(wǎng)絡(luò )層上通過(guò)IP地址和端口號過(guò)濾進(jìn)出的數據包。規則檢查防火墻也像電路級網(wǎng)關(guān)一樣，能夠檢查SYN和ACK標志和序列數字是否邏輯有序。當然，其也像應用級網(wǎng)關(guān)一樣，可以在OSI應用層上檢查數據包的內容，查看這些內容是否符合企業(yè)網(wǎng)絡(luò )的安全規則。規則檢查防火墻雖然集成了前三者的特點(diǎn)，但是其不同于一個(gè)應用級網(wǎng)關(guān)的是，規則檢查防火墻并不打破客戶(hù)機/服務(wù)器模式來(lái)分析應用層的數據，它允許受信任的客戶(hù)機和不受信任的主機建立直接連接。規則檢查防火墻不依靠與應用層有關(guān)的代理，而是依靠某種算法來(lái)識別進(jìn)出的應用層數據，這些算法通過(guò)已知合法數據包的模式來(lái)比較進(jìn)出數據包，這樣在理論上其就能比應用級網(wǎng)關(guān)在過(guò)濾數據包上更有效。

（4）防火墻的問(wèn)題分析

防火墻自身有其局限性，它解決不了的問(wèn)題包括：① 不能防范不經(jīng)過(guò)防火墻的攻擊和威脅；② 只能對跨越邊界的信息進(jìn)行檢測、控制，而對網(wǎng)絡(luò )內部人員的攻擊不具備防范能力；③ 不能完全防止傳送已感染病毒的軟件或文件；④ 難于管理和配置，容易造成安全漏洞。

今后，防火墻技術(shù)的發(fā)展要求防火墻采用多級過(guò)濾措施，并輔以鑒別手段，使過(guò)濾深度不斷加強，從目前的地址過(guò)濾、服務(wù)過(guò)濾發(fā)展到頁(yè)面過(guò)濾、關(guān)鍵字過(guò)濾等，并逐漸具備病毒清除功能，安全管理工具、可疑活動(dòng)的日志分析工具不斷完善，對網(wǎng)絡(luò )攻擊的檢測和警告將更加及時(shí)和準確?，F行操作系統自身往往存在許多安全漏洞，而運行在操作系統之上的應用軟件和防火墻也不例外，一定會(huì )受到這些安全漏洞的影響和威脅。因此，其運行機制是防火墻的關(guān)鍵技術(shù)之一。為保證防火墻自身的安全和徹底堵住因操作系統的漏洞而帶來(lái)的各種安全隱患，防火墻的安全檢測核心引擎可以采用嵌入操作系統內核的形態(tài)運行，直接接管網(wǎng)卡，將所有數據包進(jìn)行檢查后再提交給操作系統。并且，可以預見(jiàn)，未來(lái)防火墻的發(fā)展趨勢有高性能防火墻、分布式防火墻、集成智能化防火墻等。

（5）安卓防火墻

下面以安卓（Android）系統下基于服務(wù)申請攔截的惡意軟件檢測防護工具為例介紹安卓防火墻。Android系統的重要系統資源都是以服務(wù)的形式提供給應用程序的，基于這一點(diǎn)，可以對服務(wù)進(jìn)行攔截、判定，從而防止惡意軟件非法申請資源。

Android系統下基于服務(wù)申請攔截的惡意軟件檢測防護工具的工作原理如圖2所示。

當Android系統啟動(dòng)后，惡意軟件檢測防護工具的服務(wù)管理器跟蹤和入侵系統的服務(wù)管理進(jìn)程，修改服務(wù)申請響應函數，攔截服務(wù)申請以供后續判斷；應用程序運行時(shí)，會(huì )申請其所需的各種服務(wù)，此時(shí)，服務(wù)管理器會(huì )對該服務(wù)申請進(jìn)行攔截，獲取服務(wù)申請的各個(gè)參數，判定服務(wù)的類(lèi)型；接下來(lái)，根據應用程序申請的服務(wù)類(lèi)型，查詢(xún)行為規則庫，判定該服務(wù)申請是否安全；若該服務(wù)申請危險，則拒絕服務(wù)申請，并中止提出申請的應用程序；若該服務(wù)申請的安全性未知，則提示用戶(hù)，由用戶(hù)自行拒絕或接受服務(wù)申請。通過(guò)這樣的方法，我們可以在運行應用程序時(shí)發(fā)現并阻止軟件的惡意行為，增強系統的安全性。

2、病毒查殺

計算機病毒的防治要從防毒、查毒、解毒3個(gè)方面進(jìn)行，系統對于計算機病毒的實(shí)際防治能力和效果也要從防毒能力、查毒能力和解毒能力3個(gè)方面來(lái)評判。防毒能力是指預防病毒侵入的能力，查毒能力是指發(fā)現和追蹤病毒的能力，解毒能力是指從感染對象中清除病毒、恢復被病毒感染前的原始信息的能力，該恢復過(guò)程不能破壞未被病毒修改的內容。

病毒查殺就是指利用各類(lèi)安全工具發(fā)現系統中隱藏的各類(lèi)可疑病毒程序，并且清除感染對象中的病毒，以恢復被病毒感染前的原始信息。病毒查殺的主要方式如下。

（1）主動(dòng)防御技術(shù)

主動(dòng)防御技術(shù)是指通過(guò)對病毒行為的規律進(jìn)行分析、歸納、總結，并結合反病毒專(zhuān)家判定病毒的經(jīng)驗提煉出病毒識別規則知識庫；模擬專(zhuān)家發(fā)現新病毒的機理，通過(guò)分布在用戶(hù)計算機系統上的各種探針動(dòng)態(tài)監視程序運行的動(dòng)作，并將程序的一系列動(dòng)作通過(guò)邏輯關(guān)系分析組成有意義的行為，再結合病毒識別規則知識，實(shí)現對病毒的自動(dòng)識別。

主動(dòng)防御主要由以下模塊組成。

① 實(shí)時(shí)監控模塊：負責實(shí)時(shí)監控計算機系統內各個(gè)程序運行的動(dòng)作，并將這些動(dòng)作提交給程序行為分析模塊進(jìn)行分析。

② 病毒識別規則知識庫：對病毒行為的規律進(jìn)行分析、歸納、總結，并結合反病毒專(zhuān)家判定病毒的經(jīng)驗提煉出病毒行為識別規則知識庫。病毒識別規則知識庫主要包括惡意程序識別規則知識庫和正常程序識別規則知識庫。

③ 程序行為自主分析判斷模塊：依據實(shí)時(shí)監控模塊監控的各個(gè)程序運行的動(dòng)作，結合病毒識別規則知識庫，對程序動(dòng)作進(jìn)行關(guān)聯(lián)性分析，并結合反病毒專(zhuān)家判定病毒的經(jīng)驗進(jìn)行自主分析，如果某程序是病毒，則首先阻止病毒危害行為的發(fā)生，同時(shí)通知病毒處理模塊對病毒進(jìn)行清除處理。

④ 病毒處理模塊：負責對判定為病毒的程序進(jìn)行清除處理。

（2）云查殺技術(shù)

反病毒界提出的云查殺概念來(lái)源于云計算，試圖利用云計算的思路從另一個(gè)途徑解決越來(lái)越多的病毒危險問(wèn)題。目前，云查殺基本上分為兩類(lèi)。

① 作為一個(gè)最新的惡意代碼、垃圾郵件或釣魚(yú)網(wǎng)址等的快速收集、匯總和響應處理的系統。

② 病毒特征庫在云上的存儲與共享。作為收集響應系統，它可收集更多的病毒樣本。但是，因為“端”（用戶(hù)計算機）沒(méi)有自動(dòng)識別新病毒的能力，所以需要將用戶(hù)計算機中的文件上傳到“云”（反病毒公司）。

（3）基于云的終端主動(dòng)防御技術(shù)

奇虎360公司提出了基于云的終端主動(dòng)防御技術(shù)。該技術(shù)采用在服務(wù)器端進(jìn)行文件審計與行為序列的統計模型，在客戶(hù)端部署輕量的行為監控點(diǎn)，以透過(guò)服務(wù)器端的文件知識庫與行為序列實(shí)現惡意軟件行為的攔截。

1）客戶(hù)端的行為監控技術(shù)

以往安全軟件的主動(dòng)防御功能基本是基于客戶(hù)端的，即在客戶(hù)端本地具有一系列判定程序行為是否為惡意的規則，當某個(gè)程序的行為序列觸發(fā)了本地規則庫中的規則，并且超過(guò)權重評分系統的某個(gè)特定閾值時(shí)，即判斷該程序有惡意行為。這一方法的最大不足在于，惡意軟件作者通過(guò)逆向分析安全軟件程序及本地規則庫，較容易繞過(guò)安全軟件的行為監控點(diǎn)并實(shí)現“免殺”，這會(huì )降低安全軟件的防護能力，造成安全軟件的被動(dòng)應對。

基于云的主動(dòng)防御技術(shù)會(huì )在客戶(hù)端收集某一程序的行為特征，并將其發(fā)送到云端服務(wù)器，由云端服務(wù)器來(lái)判定客戶(hù)端程序的行為惡意與否。

2）服務(wù)器端的行為判定技術(shù)

將單體客戶(hù)端上的特定程序的特征/行為序列發(fā)送給服務(wù)器，由服務(wù)器在其數據庫中進(jìn)行分析比對，根據比對結果判定該程序的特征/行為序列的惡意與否，并將判定結果反饋給客戶(hù)端。這一過(guò)程的難點(diǎn)在于如何實(shí)現服務(wù)器端的判定。其具體可以分為兩個(gè)步驟：首先，取得程序文件的信譽(yù)評級，包括文件的等級（黑、白、灰、未知）、文件的流行度、文件的年齡等；其次，根據程序文件的行為序列與文件的信譽(yù)評級進(jìn)行綜合規則匹配。例如，若文件等級未知，流行度小于10個(gè)用戶(hù)，文件年齡小于2天，另外，行為規則符合特定行為特征串，那么返回“有風(fēng)險須注意”的標示。

服務(wù)器端行為序列與文件信譽(yù)兩者結合匹配是一個(gè)社區化聯(lián)防的創(chuàng )新方式。隨著(zhù)木馬手段趨向于社交工程方式攻擊，這套匹配方式可以快速提取行為特征并結合文件信譽(yù)評級，提高快速響應速度。

3）客戶(hù)端的響應處置技術(shù)

客戶(hù)端需要根據服務(wù)器端反饋的判定結果，決定是否對程序行為進(jìn)行攔截，終止執行該程序或清理該程序，恢復系統環(huán)境。

服務(wù)器端針對反饋的結果可以采取不同的策略，有些是清除文件、結束進(jìn)程，有些是指定放行，或配合其他新增的防御模塊提供新的動(dòng)作，例如，提示用戶(hù)使用沙箱運行該程序。這種機制不再局限于傳統規則匹配后只能有命中和不命中兩種處理策略。由于處理策略是在服務(wù)器端指定的，因此只須變更服務(wù)器端，即可變更針對不同行為特征的惡意軟件的處置方法，使系統針對新型未知惡意行為的防護能力和響應速度大大提升。

綜上所述，基于云的主動(dòng)防御技術(shù)將行為規則放在服務(wù)器端，提高了被突破的門(mén)檻，同時(shí)大大提高了響應速度，無(wú)須升級客戶(hù)端規則文件；并通過(guò)結合海量程序文件行為與屬性數據，可以實(shí)現行為攻擊預警與聯(lián)防。

（4）手機殺毒技術(shù)

隨著(zhù)手機的廣泛使用，病毒也開(kāi)始向手機傳播。下面以Android系統下基于包校驗的病毒查殺工具為例，介紹手機病毒查殺。在A(yíng)ndroid系統下，人們獲得軟件的渠道是不可控的，病毒、木馬和廣告程序等惡意代碼經(jīng)常會(huì )被植入正常軟件中。由于A(yíng)ndroid系統下軟件都是以APK包的形式傳輸和安裝的，因此可以通過(guò)軟件包校驗的方法獲知軟件是否被篡改過(guò)，同樣地，也可以檢測軟件是否為已知的惡意軟件。

Android系統下基于包校驗的病毒查殺工具的工作原理如圖3所示。

病毒查殺工具的高效運行依賴(lài)于軟件黑白名單的建立。通過(guò)搜集大量常用軟件的可信版本（如軟件的官方網(wǎng)站版本、大的軟件市場(chǎng)的高下載量無(wú)惡評版本等），并對Android安裝包（Android Package，APK）文件做MD5和SHA-1的Hash運算，用軟件名、版本、Hash值即可形成白名單。與此類(lèi)似，通過(guò)搜集大量惡意軟件的樣本，并對APK文件做MD5和SHA-1的Hash運算，用軟件名、版本、Hash值即可形成黑名單。

對待驗證的軟件，病毒查殺工具會(huì )獲得其APK文件的軟件名、版本、Hash值，并將它們與白、黑名單中的內容進(jìn)行對比分析，若白名單中有相應的軟件名、版本，且Hash值完全匹配，則說(shuō)明用戶(hù)要安裝的軟件是安全的；若白名單中有相應的軟件名、版本，但Hash值不匹配，則說(shuō)明用戶(hù)要安裝的軟件被篡改過(guò)，是危險的；如果白名單中沒(méi)有相應的軟件名、版本，則查詢(xún)黑名單，若黑名單中有相應的軟件名、版本，且Hash值完全匹配，則說(shuō)明用戶(hù)要安裝的軟件是已知的惡意軟件，是危險的（僅Hash值完全匹配也可以說(shuō)明是惡意軟件）；若黑名單中也沒(méi)有相應的軟件名、版本、Hash值，則說(shuō)明白、黑名單未收錄該軟件，安全性未知。通過(guò)這樣的方法，我們可以快速有效地識別軟件的安全性，直接查殺部分惡意軟件，歸類(lèi)未知軟件，為其他安全策略提供參考。

3、云安全體系架構

云安全系統是一個(gè)客戶(hù)端和服務(wù)器端（云端）配合實(shí)現的智能安全防護體系，由客戶(hù)端的云安全智能防護終端軟件和服務(wù)器端的云端智能協(xié)同計算平臺兩部分構成，如圖4所示。

（1）云安全智能防護終端

作為云安全體系的重要組成部分，客戶(hù)端發(fā)揮了“傳感器”和“處置器”的作用。

首先，客戶(hù)端的主要作用是充當惡意軟件/網(wǎng)頁(yè)樣本的采集傳感器。為了確保采集的全面性，需要盡可能多地對惡意軟件可能的行為、傳播途徑進(jìn)行監控和審計，主動(dòng)防御技術(shù)可以用于這一目的。在云安全的客戶(hù)端軟件中，從以下各個(gè)層面實(shí)現了針對惡意軟件的查殺、行為監控和審計。

1）惡意軟件云查殺

當用戶(hù)進(jìn)行系統掃描時(shí)，對系統的關(guān)鍵啟動(dòng)位置、內存、關(guān)鍵目錄、指定的文件目錄等進(jìn)行掃描，提取文件名稱(chēng)、路徑、大小、MD5指紋、簽名信息等文件特征信息，并通過(guò)實(shí)時(shí)聯(lián)網(wǎng)與云安全查詢(xún)引擎通信，將文件特征信息發(fā)送給云安全查詢(xún)引擎，然后根據云安全查詢(xún)引擎返回的結果或規則的分析，對被掃描文件進(jìn)行相應的處置。

2）網(wǎng)頁(yè)安全監控和防護

據統計，90%以上的惡意軟件是通過(guò)瀏覽惡意網(wǎng)頁(yè)傳播的，因此網(wǎng)頁(yè)安全瀏覽是終端安全防護的第一道關(guān)口。網(wǎng)盾采用靜態(tài)特征匹配和動(dòng)態(tài)行為監控相結合的技術(shù)，通過(guò)掛鉤系統關(guān)鍵應用程序編程接口（Application Programming Interface，API）實(shí)現行為監控，根據一系列規則判定被瀏覽網(wǎng)頁(yè)是否為惡意網(wǎng)頁(yè)。網(wǎng)頁(yè)惡意行為的特征包括：修改系統文件、寫(xiě)注冊表、下載可執行文件、創(chuàng )建進(jìn)程、加載驅動(dòng)程序、加載系統DLL等。當發(fā)現可疑的惡意網(wǎng)頁(yè)時(shí)，即將惡意網(wǎng)頁(yè)的統一資源定位符（Uniform Resource Locator，URL）地址及其行為特征上傳至云端服務(wù)器。

3）下載安全防護

惡意軟件傳播的另一個(gè)主要途徑是通過(guò)軟件的捆綁或后臺升級，下載器軟件就是典型的木馬傳播者。云安全智能防護終端會(huì )監控系統所有進(jìn)程的下載行為，一旦發(fā)現有從可疑地址下載文件的行為，就會(huì )將下載者的進(jìn)程文件樣本及其行為特征上傳至云端服務(wù)器。

4）移動(dòng)介質(zhì)安全防護

大量惡意軟件利用AutoRun的機制通過(guò)U盤(pán)等移動(dòng)介質(zhì)進(jìn)行傳播，U盤(pán)防火墻功能將自動(dòng)監測移動(dòng)介質(zhì)的連接及其自動(dòng)運行的程序，一旦發(fā)現其有可疑行為，就會(huì )將其文件樣本和行為特征上傳至云端服務(wù)器。

5）惡意行為智能攔截

惡意行為智能攔截即主動(dòng)防御功能，又稱(chēng)系統防火墻。木馬等惡意軟件入侵系統時(shí)總會(huì )試圖執行若干特定操作以便實(shí)現駐留系統并開(kāi)機運行的目的，這些基本上都是通過(guò)修改系統關(guān)鍵啟動(dòng)項、修改文件關(guān)聯(lián)、增加瀏覽器插件、劫持通信協(xié)議等方式實(shí)現的。有效發(fā)現文件的可疑行為，并將其樣本和行為特征上傳至云端服務(wù)器。

6）網(wǎng)絡(luò )防火墻

網(wǎng)絡(luò )防火墻可以對可疑軟件的網(wǎng)絡(luò )通信行為進(jìn)行監控，例如，ARP攻擊、劫持通信協(xié)議、連接惡意網(wǎng)址等，一旦發(fā)現即可將其樣本和行為特征上傳至云端服務(wù)器。

7）用戶(hù)隱私數據保護

絕大部分木馬惡意軟件的目的是實(shí)施盜號，因此，它們必然會(huì )對特定的應用（如網(wǎng)絡(luò )游戲、網(wǎng)上銀行等）實(shí)施掛鉤、注入、直讀內存等行為。賬號保險箱軟件對針對特定應用程序的敏感操作進(jìn)行了監控，一旦發(fā)現即可將其樣本和行為特征上傳至云端服務(wù)器。

由上述分析可知，云安全智能防護終端在惡意軟件傳播的各個(gè)主要途徑都進(jìn)行了攔截監控，一旦發(fā)現有某個(gè)文件的行為觸發(fā)了一定的規則，就會(huì )判定其行為可疑，經(jīng)過(guò)與云安全中心確認該文件尚未采集，即可將其文件樣本和客戶(hù)端對其行為特征的初步分析結果上傳至云端服務(wù)器。這就保證了對新的可疑文件的最全面的采集能力，同時(shí)將對可疑文件行為分析的一部分工作分散至終端完成，從而節約了服務(wù)器端的計算資源。

（2）云端智能協(xié)同計算平臺

云端智能協(xié)同計算平臺是云安全體系的服務(wù)器端核心技術(shù)。它可以完成惡意軟件/網(wǎng)頁(yè)的云計算分析，即不僅可以對文件/網(wǎng)頁(yè)樣本進(jìn)行自動(dòng)分析，還可以結合客戶(hù)端分析該樣本初步行為的結果，以及大量用戶(hù)對客戶(hù)端處置的人工交互反饋結果（如對安全告警的選擇），這實(shí)際上體現了群體智慧或協(xié)同計算的概念。云端智能協(xié)同計算平臺包括文件/網(wǎng)頁(yè)安全分析中心、海量白名單采集與自動(dòng)更新系統、高性能云安全查詢(xún)引擎、智能海量數據挖掘系統、全網(wǎng)安全威脅預警系統、大規模分布式計算平臺、海量數據存儲平臺等幾個(gè)部分。各部分功能說(shuō)明如下。

1）文件/網(wǎng)頁(yè)安全分析中心

文件/網(wǎng)頁(yè)安全分析中心主要包括海量樣本自動(dòng)分析系統、惡意網(wǎng)頁(yè)監測系統和惡意行為監控和審計系統3部分。

① 海量樣本自動(dòng)分析系統：采用靜態(tài)特征碼匹配、啟發(fā)式掃描、機器學(xué)習等方法，對客戶(hù)端采集并上傳的海量可疑文件/網(wǎng)頁(yè)樣本，或者通過(guò)搜索引擎蜘蛛程序抓取的網(wǎng)頁(yè)，進(jìn)行自動(dòng)分析，判定每個(gè)樣本的安全級別。

② 惡意網(wǎng)頁(yè)監測系統：監測整個(gè)中國互聯(lián)網(wǎng)，檢測識別掛馬、釣魚(yú)、欺詐等惡意網(wǎng)頁(yè)，同時(shí)發(fā)現新的操作系統和應用軟件漏洞。

③ 惡意行為監控和審計系統：對于無(wú)法通過(guò)自動(dòng)靜態(tài)分析判定安全級別的文件/網(wǎng)頁(yè)樣本，將其放入虛擬機環(huán)境運行，監控并記錄其所有行為，若其行為特征觸發(fā)特定的惡意行為規則且超過(guò)指定閾值，則判定其為惡意行為。

2）海量白名單采集與自動(dòng)更新系統

文件/網(wǎng)頁(yè)安全分析中心的結果是形成惡意軟件/網(wǎng)頁(yè)的黑名單，但是對于惡意軟件的判定，無(wú)論是采用靜態(tài)特征碼匹配，還是采用動(dòng)態(tài)行為監控技術(shù)，都不可能保證100%的準確性，因而可能導致誤報。此外，基于一個(gè)假設“惡意軟件的數量可能會(huì )遠遠超過(guò)可信正常軟件的數量”，這個(gè)黑名單的數量可能會(huì )非常龐大。這時(shí)，更為有效的解決方案是建立可信正常軟件的白名單技術(shù)，亦即盡可能多地采集用戶(hù)常用的各類(lèi)軟件（包括操作系統軟件、硬件驅動(dòng)程序、辦公軟件、第三方應用軟件等）的文件白名單，且保持白名單的實(shí)時(shí)更新。事實(shí)上，只要白名單技術(shù)足夠有效，云安全系統就完全可以采用“非白即黑”的策略（即前述可信軟件的配置管理方案），也就是任何不在白名單內的文件即可認為其是可疑的惡意軟件（黑）。

3）高性能云安全查詢(xún)引擎

高性能云安全查詢(xún)引擎是云安全體系中的核心部件之一。云安全體系所要形成的主要結果為文件/網(wǎng)頁(yè)的安全級別和可信度信息（包括惡意軟件/網(wǎng)頁(yè)黑名單數據、正常軟件的白名單數據、未知安全級別文件數據），數據的規模十分龐大，而且具有極快的更新速度。服務(wù)器端需要為海量的文件/網(wǎng)頁(yè)的安全級別和可信度信息建立索引，并提供面向客戶(hù)端的高性能查詢(xún)引擎。

4）智能海量數據挖掘系統

智能海量數據挖掘系統會(huì )對文件/網(wǎng)頁(yè)安全分析中心的分析結果數據和白名單系統中的數據，以及用戶(hù)上傳和云查詢(xún)引擎的檢索日志與查詢(xún)結果數據進(jìn)行統計分析和挖掘，從中可以分析出大量有用的結果，如某個(gè)惡意軟件的感染傳播趨勢、某個(gè)惡意被網(wǎng)頁(yè)代碼的掛馬傳播趨勢、某個(gè)漏洞被利用的趨勢等，甚至可以分析并發(fā)現新的0day漏洞，這對云安全體系的整體效果的改善有著(zhù)重要的指導作用。

5）全網(wǎng)安全威脅預警系統

全網(wǎng)安全威脅預警系統利用智能海量數據挖掘系統的分析結果，對可能威脅公眾及國家網(wǎng)絡(luò )安全的大規模安全事件進(jìn)行預警分析與管理。這個(gè)系統可為國家有關(guān)部門(mén)、重要的信息系統等提供面向中國互聯(lián)網(wǎng)的安全威脅監測和預警服務(wù)。

6）大規模分布式計算平臺

為了實(shí)現對海量數據的高性能處理能力，云計算一般需要利用大規模分布式并行計算技術(shù)，這是云安全所需的核心技術(shù)之一。實(shí)現云安全所需的分布式并行計算平臺，需要考慮以下兩個(gè)因素：① 數據規模十分龐大；② 與惡意軟件的對抗是一個(gè)長(cháng)期的過(guò)程，對惡意軟件的分析與判定方法也會(huì )不斷變化，因此，這個(gè)分布式并行計算平臺應具備較強的可伸縮性和適應性，不僅可以擴展支持更大的數據處理規模，還可以將新的分析方法或加工過(guò)程靈活地加入系統，而不會(huì )導致系統體系結構出現較大變化。

7）海量數據存儲平臺

海量數據存儲平臺也是云計算體系中的核心平臺技術(shù)之一。海量樣本、整個(gè)云端處理流程中的各類(lèi)中間結果數據、用戶(hù)反饋數據、用戶(hù)查詢(xún)日志等，每一種數據的規模都是海量的。云安全系統建立了一個(gè)海量的分布式文件數據存儲平臺，并提供對上層應用的透明數據存取訪(fǎng)問(wèn)功能，可保證數據存儲的可靠性、一致性和容災性。

4、沙箱工具

沙箱（Sandbox）工具可為來(lái)源不可信、具有破壞力或無(wú)法判定程序意圖的程序提供運行環(huán)境，它是在受限的安全環(huán)境中運行應用程序的一種做法，這種做法是要限制授予應用程序的代碼訪(fǎng)問(wèn)權限。

沙箱技術(shù)是安全廠(chǎng)商和計算機安全研究人員常用的一種檢測惡意軟件和病毒的技術(shù)，下面以Android系統下的一個(gè)沙箱工具為例具體介紹沙箱技術(shù)。此沙箱工具結合服務(wù)申請監控和軟件自動(dòng)化測試方法，可以自動(dòng)化地檢測軟件運行時(shí)有無(wú)惡意行為，從而判定軟件的安全性，為黑白名單的擴充提供基礎。

Android系統下的軟件安全判定沙箱工具的工作原理如圖5所示。

軟件安全判定沙箱工具由行為規則庫、測試管理分析環(huán)境以及Android測試環(huán)境3個(gè)部分組成。首先，準備封閉可監控的Android測試環(huán)境，用于待測試軟件的運行。接下來(lái)，待測試軟件會(huì )被推送安裝到Android測試環(huán)境中。在A(yíng)ndroid測試環(huán)境中，通過(guò)采用各種手段（模擬用戶(hù)操作，如隨機操作、頁(yè)面爬行等；模擬關(guān)鍵事件；激發(fā)軟件惡意行為）自動(dòng)化測試應用程序，使其表現出運行時(shí)的行為，并對其行為進(jìn)行監控和記錄。當運行測試完成后，處理行為記錄，采用行為規則或數據挖掘等方法分析應用的行為，判定應用的安全性，其中，行為規則方法需要事先總結歸納惡意行為的一般特征，數據挖掘方法則需要依賴(lài)大量的樣本數據。最后，積累分析結果，結合其他分析結果擴充行為規則庫，擴充樣本集，從而持續提高行為分析的準確率。通過(guò)這樣的方法，我們可以自動(dòng)、大量地測試應用軟件，判定其安全性，獲取行為規則，以擴充行為規則庫和病毒庫。

圖6所示為Android系統下的軟件安全判定沙箱工具的原型，展示了對批量應用程序安全性判定的結果。