智能主動防御系統(tǒng)(08-100)

　　本系統(tǒng)的“智能”主要體現(xiàn)在：

　　1) 自主學(xué)習(xí)：主動收集未知入侵特征，防御未知入侵。

　　2) 主動防御：變被動為主動，將未知病毒扼殺于搖籃中。

　　此外，本系統(tǒng)還提供了功能強大的系統(tǒng)輔助工具，例如：進(jìn)程管理，網(wǎng)絡(luò)連接管理，服務(wù)管理，啟動項管理，HOSTS文件管理等。

　　2 系統(tǒng)原理與實現(xiàn)

　　2.1 智能防火墻原理與實現(xiàn)

　　本防火墻的智能主要體現(xiàn)在：它能夠通過自主學(xué)習(xí)實現(xiàn)對未知入侵的防御。

　　2.1.1 傳統(tǒng)防火墻的工作原理

　　傳統(tǒng)防火墻有一個入侵特征庫和一個過濾規(guī)則表。當(dāng)網(wǎng)絡(luò)數(shù)據(jù)包到來時，防火墻會將包中的數(shù)據(jù)與特征庫和過濾規(guī)則進(jìn)行匹配，符合要求的放行，不符合規(guī)則的就丟棄。

　　傳統(tǒng)防火墻的特征庫是由防火墻開發(fā)商維護(hù)并提供給用戶下載的。庫中的數(shù)據(jù)都是對已知入侵的特征提取。因此傳統(tǒng)的防火墻也只能防御已知的入侵。然而，網(wǎng)絡(luò)中無時無刻不在產(chǎn)生著新的威脅，殺毒軟件開發(fā)商能夠分析到的危險只是其中很少的一部分。因此，傳統(tǒng)的防火墻防御入侵的能力是非常有限的。

　　2.1.2 智能防火墻的工作原理

　　智能防火墻也有一個入侵特征庫，不過維護(hù)這個特征庫的不是防火墻的開發(fā)人員而是防火墻本身。

　　對于已知的威脅我們可以事先將其特征寫入到特征庫中。對于未知的新的安全威脅，智能防火墻可以根據(jù)黑客入侵的特征，比如在入侵的開始階段往往是盲目的，黑客會進(jìn)行大范圍的攻擊掃描，由此不可避免的會給不存活I(lǐng)P地址發(fā)送數(shù)據(jù)包。智能防火墻認(rèn)為對不存活主機的連接是具有惡意的，是入侵的前兆。防火墻的內(nèi)部維護(hù)著一張局域網(wǎng)內(nèi)的存活主機列表，當(dāng)它檢測到網(wǎng)內(nèi)有向不存活主機發(fā)送的ARP請求時，會偽裝成目的主機發(fā)出ARP應(yīng)答，并與入侵者進(jìn)行進(jìn)一步的交互，從交互的數(shù)據(jù)中提取特征，存入特征數(shù)據(jù)庫。

　　在上述的過程中，智能防火墻雖然不知道具體的入侵類型，但是由于它掌握了入侵的數(shù)據(jù)特征，因此下次對本網(wǎng)的相同威脅就能被檢測到。其原理如圖2所示。

　　圖2 智能防火墻工作原理