安全新思路：通用防攻击？

在 Microsoft 描述的 XP SP2 之后的安全前景时，提出要加强主动防护（Active Protection），它主要包括以下主要技术：

• 动态系统保护（ Dynamic System Protection）

根据计算机“状态”的变化主动调整防御措施。这些状态例如，新软件安装、配置的必要更新，或者连接到其它网络，那样的话计算机更容易受到攻击。动态的系统保护可以侦测到这些变化并且对保护等级作出相应的调整。现在，客户受益于Windows 的“自动更新”功能，因为它可以探测到计算机对安全更新的需要。在未来，微软设想的计算机不仅能够侦测到变化，而且能够针对变化主动作出反应。例如，当一台笔记本电脑从公司的网络转移到家庭的电缆调制解调器或DSL连接时，它的防火墙就会关闭更多的端口，以提供更多的保护。

• 破坏行为屏蔽（ Behavior Blocking）

这种措施可以拦截可疑行为并对其进行判断，如果发现异常就加以阻止，从而限制了计算机受到“蠕虫”或病毒感染的可能性，防止病毒造成更多的破坏。例如，Blaster（冲击波）“蠕虫”就是探索到一个缺陷，导致Windows将“蠕虫”复制到其他计算机。而行为屏蔽可以遏制这种攻击。

• 应用感知的防火墙与入侵保护（Application-aware firewall and intrusion prevention ）

其目的是识别并屏蔽恶意的传输。隐藏在合法的网络传输中的病毒和“蠕虫”可以绕过传统的防火墙。但这项新的技术将对网络传输进行深层次的检查并阻止或限制恶意内容的扩散。

无独有偶，其它安全技术公司也想出了一些类似的想法，美其名曰：通用防攻击。

通用防攻击的原理和传统防病毒的原理类似：传统的防病毒软件在得到病毒的特征码后之后，将其加入到特征库里之后，就可以查杀病毒了（前些年还有些反病毒公司经常宣称：查杀各种未知病毒，挺搞笑的），但现在的很多恶意程序，甚至病毒则经常是在某个系统公布漏洞后，软件公司尚没有正式发布补丁，或者用户没有给系统打补丁前就产生并破坏系统，所以如何保证在这个时间差内的系统安全就成了首要的问题。

通用防攻击的思路就是在漏洞刚公布后，就把与此漏洞有关的签名发送给用户的网络和桌面防火墙，进而通过对相关数据包的扫描来有效阻止非法数据包，以达到保护系统的目的，其核心就是把现在的漏洞当做病毒对待。

依我看来，此方法还是没有完全解决一个重要问题，如何及时有效地更新用户的网络和桌面防火墙？不过，即使大量用户不能及时更新桌面防火墙，如果网络管理员负责一点，及时更新，至少能保证病毒不会大规模在网络中泛滥。

Anyway ，“主动防护”总要比现在的保护方法要好很多。

查看：“通用防攻击”阻止威胁传播