智能主动防御系统(08-100)
本系统的“智能”主要体现在:
1) 自主学习:主动收集未知入侵特征,防御未知入侵。
2) 主动防御:变被动为主动,将未知病毒扼杀于摇篮中。
此外,本系统还提供了功能强大的系统辅助工具,例如:进程管理,网络连接管理,服务管理,启动项管理,HOSTS文件管理等。
2 系统原理与实现
2.1 智能防火墙原理与实现
本防火墙的智能主要体现在:它能够通过自主学习实现对未知入侵的防御。
2.1.1 传统防火墙的工作原理
传统防火墙有一个入侵特征库和一个过滤规则表。当网络数据包到来时,防火墙会将包中的数据与特征库和过滤规则进行匹配,符合要求的放行,不符合规则的就丢弃。
传统防火墙的特征库是由防火墙开发商维护并提供给用户下载的。库中的数据都是对已知入侵的特征提取。因此传统的防火墙也只能防御已知的入侵。然而,网络中无时无刻不在产生着新的威胁,杀毒软件开发商能够分析到的危险只是其中很少的一部分。因此,传统的防火墙防御入侵的能力是非常有限的。
2.1.2 智能防火墙的工作原理
智能防火墙也有一个入侵特征库,不过维护这个特征库的不是防火墙的开发人员而是防火墙本身。
对于已知的威胁我们可以事先将其特征写入到特征库中。对于未知的新的安全威胁,智能防火墙可以根据黑客入侵的特征,比如在入侵的开始阶段往往是盲目的,黑客会进行大范围的攻击扫描,由此不可避免的会给不存活IP地址发送数据包。智能防火墙认为对不存活主机的连接是具有恶意的,是入侵的前兆。防火墙的内部维护着一张局域网内的存活主机列表,当它检测到网内有向不存活主机发送的ARP请求时,会伪装成目的主机发出ARP应答,并与入侵者进行进一步的交互,从交互的数据中提取特征,存入特征数据库。
在上述的过程中,智能防火墙虽然不知道具体的入侵类型,但是由于它掌握了入侵的数据特征,因此下次对本网的相同威胁就能被检测到。其原理如图2所示。
图2 智能防火墙工作原理
加入微信
获取电子行业最新资讯
搜索微信公众号:EEPW
或用微信扫描左侧二维码