新一代网络安全：主动防御HIPS与智能查杀技术

本文主要探讨了新一代网络安全防御体系的核心技术，特别是终端防御中的主动防御（HIPS）策略。HIPS通过监控和控制进程行为、系统行为、文件行为、网络行为和驱动行为，来提高系统的安全性。 新一代网络安全防御体系面对的是恶意代码数量的急剧增长和攻击手段的不断创新。每天都有约300万新的恶意代码诞生，攻击者包括从个人黑客到国家网络部队的各种角色，他们的目标从个人数据扩展到国家机密。因此，保护个人终端、企业网络和关键基础设施变得至关重要。 终端防御的核心需求包括三个方面：阻止攻击者进入系统（进不来）、防止敏感数据被窃取（拿不走）以及确保涉密文件无法被打开（打不开）。为了实现这些需求，文中提到了两项关键技术： 1. 智能查杀引擎（QVM）：这是一种基于人工智能的恶意代码检测引擎，采用大数据和机器学习技术，如支持向量机（SVM），在北美和欧洲的测试中表现出色，已获得多项国际专利。它能够对未知恶意代码进行有效检测，提高防御能力。 2. 应用级Sandbox（沙箱）：传统的防御策略如白名单管理和主机防火墙可能因为应用漏洞而失效。应用级沙箱通过在隔离环境中运行潜在危险的应用（如IE、Office），即便这些应用受到攻击，也不会影响宿主的Windows系统，从而提供额外的安全保障。 HIPS（Host Intrusion Prevention System）则全面监控以下几个方面： - **进程行为**：包括进程的创建、加载、销毁和注入，通过控制这些行为，可以防止恶意程序的执行和扩散。 - **系统行为**：如系统调用、注册表修改和用户权限提升，这些活动通常是攻击者尝试控制或破坏系统的关键步骤。 - **文件行为**：关注文件的打开、加载、网络I/O以及可疑文件的释放，防止恶意文件的操作。 - **网络行为**：涉及文件的网络传输、邮件发送和进程的网络行为，这些都是数据泄露和传播的重要途径。 - **驱动行为**：包括驱动的加载、hook行为和网络行为，驱动层的防护可以防止底层攻击。 综合运用这些核心技术，可以构建一个多层次、全方位的防御体系，以应对日益复杂的网络安全威胁。