逢―一論文發(fā)表專(zhuān)家一畫(huà)腫國(guó)掌木酬網(wǎng).qikanwang,nel提升電力系統(tǒng)現(xiàn)有網(wǎng)絡(luò)安全防御體系的解決方案摘要：對(duì)電力系統(tǒng)現(xiàn)有的網(wǎng)絡(luò)安全防御技術(shù)進(jìn)行了分析，得出當(dāng)前的安全防御技術(shù)雖能夠解決絕大部分已知的惡意代碼攻擊，但卻處于對(duì)新型的和未知的惡意代碼攻擊無(wú)法識(shí)別的被動(dòng)防御的狀態(tài)，并提出將現(xiàn)有的安全防御體系提升為主動(dòng)防御體系，實(shí)現(xiàn)差異化、縱深防御的解決方案。關(guān)鍵詞：未知攻擊；同質(zhì)化；被動(dòng)防御；主動(dòng)防御；防御體系solutiontoupgradetheexistingpowersystemnetworksecuritydefensesystemliyongkang1,zhoujunpeng2,chenyunfeng1([.departmentoftechnologyinformation,panzhihuaelectricpowerbureau,sichuanelectricpowercorporation,panzhihua617000,china;2.departmentoftechnology,chengduchinatechhuichuangtechnologyco.,ltd,chengdu610041,china)abstract:analyzedtechnologiesoftheexistingpowersystemnetworksecuritydefense,itshowsthecurrentsecurityanddefensetechnologycansolvethevastmajorityofknownmaliciouscodeattacks,butitisinastateofpassivedefense,whichcannotrecognizethenewandunknownmaliciouscode,itproposedtoupgradetheexistingsecuritydefensesystemfortheactivedefensesystem,toachievethesolutionofdifferentiationanddefenseindepth.keywords:unknownattack;homogenization;passivedefense;activedefense;defensesystem一、前言（一） 電力行業(yè)簡(jiǎn)介電力系統(tǒng)是由發(fā)電、輸電、變電、配電、用電設(shè)備及相應(yīng)的輔助系統(tǒng)組成的電能生產(chǎn)、輸送、分配、使用的統(tǒng)一整體。由輸電、變電、配電設(shè)備及相應(yīng)的輔助系統(tǒng)組成的聯(lián)系發(fā)電與用電的統(tǒng)一整體稱(chēng)為電力網(wǎng)。電力工業(yè)是國(guó)民經(jīng)濟(jì)發(fā)展中最重要的基礎(chǔ)能源產(chǎn)業(yè)，是關(guān)系國(guó)計(jì)民生的基礎(chǔ)產(chǎn)業(yè)。電力行業(yè)對(duì)促進(jìn)國(guó)民經(jīng)濟(jì)的發(fā)展和社會(huì)進(jìn)步起到重要作用，與社會(huì)經(jīng)濟(jì)和社會(huì)發(fā)展有著十分密切的關(guān)系，它不僅是關(guān)系國(guó)家經(jīng)濟(jì)安全的戰(zhàn)略大問(wèn)題，而且與人們的日常生活、社會(huì)穩(wěn)定密切相關(guān)。隨著我國(guó)經(jīng)濟(jì)的發(fā)展，對(duì)電的需求量不斷擴(kuò)大，電力銷(xiāo)售市場(chǎng)的擴(kuò)大又刺激了整個(gè)電力生產(chǎn)的發(fā)展。（二） 電力行業(yè)信息化it系統(tǒng)架構(gòu)電力行業(yè)it系統(tǒng)按照“sg186”體系部署，整體化分為一體化企業(yè)級(jí)平臺(tái)、八大業(yè)務(wù)應(yīng)用系統(tǒng)和六個(gè)保障系統(tǒng)，形成“縱向貫通、橫向集成”的龐大信息網(wǎng)絡(luò)。八大業(yè)務(wù)應(yīng)用分為建設(shè)財(cái)務(wù)（資金）管理、營(yíng)銷(xiāo)管理、安全生產(chǎn)管理、協(xié)同辦公管理、人力資源管理、物資管理、項(xiàng)日管理、綜合管理等。六個(gè)保障體系為信息化安全防護(hù)體系、標(biāo)準(zhǔn)規(guī)范體系、管理調(diào)控體系、評(píng)價(jià)考核體系、技術(shù)研究體系和人才隊(duì)伍體系。二、當(dāng)前電力系統(tǒng)網(wǎng)絡(luò)防御技術(shù)分析（一） 電力網(wǎng)絡(luò)行為與內(nèi)容的安全情況。電力網(wǎng)絡(luò)行為與內(nèi)容的安全主要是指建立在行為可信性、有效性、完整性和對(duì)電力資源管理與控制行為方面，面對(duì)的威脅應(yīng)當(dāng)屬于是戰(zhàn)略性質(zhì)的，即電力系統(tǒng)威脅不僅要考慮一般的信息犯罪問(wèn)題，更主要是要考慮敵對(duì)勢(shì)力與恐怖組織對(duì)電力相關(guān)信息、通信與調(diào)度的攻擊，甚至要考慮戰(zhàn)爭(zhēng)與災(zāi)害的威脅。（二） 電力網(wǎng)絡(luò)系統(tǒng)安全情況。對(duì)于電力行業(yè)主要考慮以下系統(tǒng)：各類(lèi)發(fā)電企業(yè)、輸電網(wǎng)、配電網(wǎng)、電力調(diào)度系統(tǒng)、電力通信系統(tǒng)（微波、電力載波、有線、電力線含光纖）、電力信息系統(tǒng)等。這里主要考慮到電力調(diào)度數(shù)據(jù)網(wǎng)（spdnet）、電力通信網(wǎng)與電力信息網(wǎng)幾個(gè)方面的安全問(wèn)題。電力系統(tǒng)的安全建設(shè)以資源可用和資源控制的安全為中心，必須保障電力系統(tǒng)暢通的24小時(shí)服務(wù)。日前，大多數(shù)規(guī)模較大的發(fā)電企業(yè)和很多省市的電力公司在網(wǎng)絡(luò)安全建設(shè)方面已經(jīng)做了很多工作，通過(guò)防火墻、入侵檢測(cè)系統(tǒng)、vpn設(shè)備等關(guān)鍵的安全產(chǎn)品的部署和實(shí)施已經(jīng)初步地建立起了基礎(chǔ)性的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，并取得一定的效果，應(yīng)當(dāng)說(shuō)是有自主特色的。（三） 電力信息內(nèi)網(wǎng)安全防護(hù)體系。電力信息內(nèi)網(wǎng)屬于電力網(wǎng)絡(luò)的管理信息大區(qū)中，信息內(nèi)網(wǎng)定位為內(nèi)部業(yè)務(wù)應(yīng)用系統(tǒng)承載網(wǎng)絡(luò)和內(nèi)部辦公網(wǎng)絡(luò)，部署了大量的應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器、以及不需要外聯(lián)的辦公主機(jī)。電力信息內(nèi)網(wǎng)對(duì)外連接包括：通過(guò)公用信息網(wǎng)與上下級(jí)電力公司的信息內(nèi)網(wǎng)相連接；通過(guò)vpn連接互聯(lián)網(wǎng)，以保障移動(dòng)辦公終端的接入；通過(guò)邏輯強(qiáng)隔離設(shè)備與信息外網(wǎng)相連接；通過(guò)正/反向隔離裝置與生產(chǎn)控制大區(qū)相連。電力信息內(nèi)網(wǎng)部署有以下安全防護(hù)手段：防火墻系統(tǒng)。信息內(nèi)網(wǎng)內(nèi)部不同安全區(qū)域之間部署防火墻，增強(qiáng)區(qū)域隔離和訪問(wèn)控制力度，嚴(yán)格防范越權(quán)訪問(wèn)、病毒擴(kuò)散等內(nèi)部威脅；信息內(nèi)網(wǎng)出口處部署防火墻系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)邊界防護(hù)，同時(shí)保護(hù)web服務(wù)器域；vpn系統(tǒng)。信息內(nèi)網(wǎng)出口處部署vpn系統(tǒng)，為移動(dòng)辦公、營(yíng)銷(xiāo)系統(tǒng)遠(yuǎn)程訪問(wèn)等提供接入防護(hù)，客戶(hù)端應(yīng)當(dāng)采取硬件證書(shū)的方式進(jìn)行接入認(rèn)證；為了統(tǒng)一管理和維護(hù)，電力的移動(dòng)辦公統(tǒng)一入口設(shè)在信息內(nèi)網(wǎng)的vpn網(wǎng)關(guān)處；入侵檢測(cè)系統(tǒng)。信息內(nèi)網(wǎng)核心交換機(jī)和重要網(wǎng)段部署入侵檢測(cè)系統(tǒng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的動(dòng)態(tài)監(jiān)視、記錄和管理、對(duì)異常事件進(jìn)行告箜竺.警、等；日志審計(jì)系統(tǒng)。信息內(nèi)網(wǎng)部署一套日志審計(jì)系統(tǒng)，采用分級(jí)部署方式，實(shí)現(xiàn)全省信息內(nèi)網(wǎng)安全事件的集中收集和審計(jì)問(wèn)題；主機(jī)管理系統(tǒng)。電力信息內(nèi)網(wǎng)統(tǒng)一部署主機(jī)管理系統(tǒng)，實(shí)現(xiàn)主機(jī)設(shè)備的統(tǒng)一管理和防護(hù)；防病毒系統(tǒng)。電力公司信息內(nèi)網(wǎng)部署一套防病毒系統(tǒng)，采用分級(jí)部署方式，控管中心設(shè)在電力公司本部，地隹?一論文發(fā)表專(zhuān)氯一畫(huà)腫國(guó)掌木酬網(wǎng).qikanwang.nel市供電公司分別安裝二級(jí)控管中心和防病毒服務(wù)器，接收控管中心的統(tǒng)一管理。安全管理分區(qū)。電力信息內(nèi)網(wǎng)依據(jù)業(yè)務(wù)系統(tǒng)保護(hù)等級(jí)，分為生產(chǎn)控制區(qū)（i、ii區(qū)）、管理信息區(qū)（iii區(qū)）和外部信息網(wǎng)，各分區(qū)進(jìn)行相應(yīng)等級(jí)的安全防護(hù)。（四）日前防御系統(tǒng)的防御弱點(diǎn)病毒檢測(cè)掃描類(lèi)技術(shù)的防御弱點(diǎn)。從病毒到惡意代碼（木馬、蠕蟲(chóng)、病毒、惡意腳本、shellcode、流氓間諜軟件），無(wú)論是種類(lèi)還是數(shù)量都是海量增長(zhǎng)，來(lái)自海量惡意代碼的海量攻擊使得基于以字符串crc效驗(yàn)、散列函數(shù)值等特征碼檢測(cè)為主；采用加密變形的啟發(fā)式算法、仿真技術(shù)檢測(cè)為輔的病毒檢測(cè)技術(shù)已無(wú)法有效檢測(cè)每天如潮水般增長(zhǎng)的惡意代碼。以超級(jí)病毒特征庫(kù)、超級(jí)白名單庫(kù)、超級(jí)惡意url庫(kù)、自動(dòng)化分析流程為主要特點(diǎn)的云安全技術(shù)在一定程度上改善互聯(lián)網(wǎng)用戶(hù)安全的同時(shí)，存在分析時(shí)延、病毒特征庫(kù)更新時(shí)延、惡意url搜索時(shí)間間隔等問(wèn)題，同時(shí)海量提交的文件帶來(lái)的極大分析壓力使得分析失誤的概率大大增加，從而給用戶(hù)帶來(lái)極大的風(fēng)險(xiǎn)，對(duì)于物理隔離的專(zhuān)網(wǎng)、內(nèi)網(wǎng)也無(wú)法使用云安全技術(shù)。該類(lèi)產(chǎn)品的最大弱點(diǎn)是對(duì)未知惡意代碼缺乏有效的監(jiān)控和辨識(shí)能力。入侵檢測(cè)防御類(lèi)技術(shù)的防御弱點(diǎn)。入侵檢測(cè)技術(shù)經(jīng)過(guò)多年發(fā)展，ids、ips、utm、應(yīng)用防火墻、防毒墻等產(chǎn)品能應(yīng)對(duì)大部分已知攻擊，對(duì)網(wǎng)絡(luò)安全起到了非常大的作用，但也存在辨識(shí)技術(shù)上的防御弱點(diǎn)。以基于規(guī)則描述的特征組合檢查為主，協(xié)議異常檢測(cè)、統(tǒng)計(jì)異常檢測(cè)為輔的入侵檢測(cè)引擎無(wú)法有效識(shí)別隱藏在合法應(yīng)用流量中的攻隹?一論文發(fā)表專(zhuān)氯一畫(huà)腫國(guó)掌木酬網(wǎng).qikanwang.nel擊流量、基于未知漏洞的攻擊流量、加密變形的攻擊流量，更無(wú)法截?cái)酀摲谶@些流量中的有經(jīng)驗(yàn)黑客的深度攻擊。由ids（監(jiān)控報(bào)警子系統(tǒng)）+安全工程師（辨識(shí)和決策）+防火墻（處理子系統(tǒng)）構(gòu)成的防御系統(tǒng)，嚴(yán)重依賴(lài)安全工程師的經(jīng)驗(yàn)和分析水平。對(duì)未知攻擊流量和隱藏在應(yīng)用流量中的惡意流量缺乏辨識(shí)能力，使得試圖在網(wǎng)絡(luò)層完全阻擋入侵攻擊、惡意代碼的傳播是不現(xiàn)實(shí)的。其它非防御類(lèi)安全產(chǎn)品的弱點(diǎn)。加密技術(shù)類(lèi)安全產(chǎn)品可以解決泄密問(wèn)題，卻無(wú)法阻御攻擊者和惡意代碼對(duì)加密信息的破壞。行為管理類(lèi)安全產(chǎn)品能管理用戶(hù)的行為，卻無(wú)法阻擋有意者的惡意攻擊行為，對(duì)惡意代碼和黑客攻擊的后臺(tái)行為，更無(wú)法察覺(jué)和控制。身份認(rèn)證類(lèi)安全產(chǎn)品能解決身份可信問(wèn)題，卻無(wú)法保證合法者偽造的惡意攻擊和對(duì)惡意代碼的滲透和傳播。防火墻類(lèi)產(chǎn)品的訪問(wèn)控制能力更適合作為處理控制手段，而不是攻擊和惡意代碼的識(shí)別工具，更無(wú)法解除流量中的威脅，桌面級(jí)的防火墻更是帶來(lái)網(wǎng)絡(luò)管理上的不方便。漏洞掃描類(lèi)安全產(chǎn)品能發(fā)現(xiàn)存在的漏洞風(fēng)險(xiǎn)，卻沒(méi)有防御攻擊的手段。主機(jī)安全產(chǎn)品，偏重于主機(jī)使用者的行為控制，它本身不能防御惡意代碼的攻擊和破壞。以上安全類(lèi)產(chǎn)品由于解決的主要問(wèn)題是在安全的其它方面，從防御組成來(lái)看，本身缺乏防御能力，更需要安全防御系統(tǒng)來(lái)保護(hù)這類(lèi)安全資產(chǎn)。（五）當(dāng)前電力防御體系總結(jié)分析當(dāng)前由防火墻、入侵檢測(cè)系統(tǒng)、殺毒軟件組成的防御體系已經(jīng)不隹?一論文發(fā)表專(zhuān)氯一畫(huà)腫國(guó)掌木酬網(wǎng).qikanwang.nel能阻擋每天如潮水般增長(zhǎng)的惡意代碼，其技術(shù)壁壘也逐漸顯露，其被動(dòng)性的原因主要有以下幾點(diǎn)：1.惡意樣本和攻擊的海量增長(zhǎng)。據(jù)國(guó)內(nèi)安全廠商江民科技對(duì)近年來(lái)惡意代碼數(shù)量的統(tǒng)計(jì)，2011年上半年全年共增加病毒特征代碼48萬(wàn)余條。2010年上半年及2011年上半年新增病毒特征數(shù)量示意圖［1］圖1對(duì)抗傳統(tǒng)防御體系的特征碼免殺技術(shù)、網(wǎng)絡(luò)攻擊逃避技術(shù)近年來(lái)不斷持續(xù)發(fā)展和傳播。攻擊方由以前那種單一作戰(zhàn)已經(jīng)逐漸演變?yōu)橐粋€(gè)集團(tuán)利益團(tuán)體甚至國(guó)家利益的團(tuán)體，在經(jīng)濟(jì)、政治利益的驅(qū)使下，免殺、逃逸技術(shù)發(fā)展迅速。3.對(duì)攻擊和威脅的識(shí)別能力不足，對(duì)未知攻擊和威脅無(wú)法識(shí)別。要防御攻擊帶來(lái)的威脅，首先要解決對(duì)攻擊和威脅的識(shí)別，傳統(tǒng)的特征碼識(shí)別技術(shù)對(duì)未知的攻擊和威脅無(wú)法識(shí)別。4.同質(zhì)化技術(shù)構(gòu)成的防御體系容易導(dǎo)致技術(shù)一點(diǎn)被破、全局皆破。隨著電力系統(tǒng)在信息化建設(shè)方面的不斷加大，信息安全問(wèn)題也逐漸凸顯，病毒、蠕蟲(chóng)、木馬等惡意代碼在網(wǎng)絡(luò)中肆意傳播，嚴(yán)重威脅著電力系統(tǒng)的正常運(yùn)行。而現(xiàn)有的防御體系則主要以協(xié)議過(guò)濾、特征簽名包和特征碼比對(duì)技術(shù)為主構(gòu)建的傳統(tǒng)的防御體系，能夠有效的防御已知的惡意代碼攻擊（已有的特征簽名包和特征碼），但對(duì)于多變的未知的惡意代碼攻擊卻顯得無(wú)能為力。因此，需要一種技術(shù)能夠?qū)崟r(shí)有效的防止未知的惡意代碼攻擊，從而提升整個(gè)網(wǎng)絡(luò)的安全防御體系。傳統(tǒng)的防御手段所采用的技術(shù)是導(dǎo)致其被動(dòng)性的根源，面對(duì)當(dāng)下如此嚴(yán)峻的安全形勢(shì)，亟需構(gòu)建一個(gè)實(shí)時(shí)主動(dòng)的網(wǎng)絡(luò)防御體系。三、構(gòu)建主動(dòng)防御體系（一） 防御系統(tǒng)的構(gòu)成標(biāo)準(zhǔn)在網(wǎng)絡(luò)信息對(duì)抗中，一個(gè)完善防御系統(tǒng)的防御鏈必須由監(jiān)控、辨識(shí)決策、處理三大子系統(tǒng)。防御系統(tǒng)的抗攻擊、反入侵能力高低取決于監(jiān)控能力強(qiáng)弱、辨識(shí)決策是否足夠智慧、處理子系統(tǒng)是否完善有效、三個(gè)子系統(tǒng)的自動(dòng)化聯(lián)動(dòng)程度四個(gè)方面，其中最核心的是辨識(shí)決策技術(shù)。日前的安全產(chǎn)品，能有效構(gòu)建防御系統(tǒng)主要是以病毒檢測(cè)掃描類(lèi)技術(shù)和入侵檢測(cè)防御類(lèi)技術(shù)為主，但這兩類(lèi)技術(shù)都存在防御弱點(diǎn)。（二） 構(gòu)建電力系統(tǒng)主動(dòng)防御體系在構(gòu)建主動(dòng)防御體系之前，不防先回顧一下防御系統(tǒng)產(chǎn)生的原因：有了信任與欺騙的斗爭(zhēng)，于是便產(chǎn)生了可信任體系；出現(xiàn)了攻與防的斗爭(zhēng)，也就有了防御體系。那如何構(gòu)建一個(gè)防御體系，不防借鑒歷史戰(zhàn)爭(zhēng)，其無(wú)非分為三種：事前防御、事中防御和事后防御。于是建立如下的主動(dòng)防御體系：主動(dòng)防御中心圖2從圖中可以看出，防御體系的強(qiáng)弱取決于攻擊事件正在進(jìn)行時(shí)防御系統(tǒng)的防御能力，也就是事中防御。而從傳統(tǒng)的防御體系可以看出，無(wú)論是漏洞檢測(cè)技術(shù)、網(wǎng)絡(luò)準(zhǔn)入技術(shù)、特征碼掃描技術(shù)都偏向于事前防御，在事中實(shí)時(shí)防御上，特別是事中主機(jī)防御上存在嚴(yán)重不足。因此，要提升整體網(wǎng)絡(luò)的防御能力，必須加入主機(jī)事中防御的技術(shù)。四、主機(jī)主動(dòng)防御技術(shù)的實(shí)現(xiàn)在主機(jī)層面要做到事中防御，必須摒棄傳統(tǒng)的特征碼比對(duì)技術(shù)，做到“敵動(dòng)我動(dòng)”的實(shí)時(shí)防御。經(jīng)過(guò)業(yè)界專(zhuān)家的研究，提出了基于行為檢測(cè)的主動(dòng)防御技術(shù)。即不依賴(lài)于程序的特征，而是根據(jù)程序所表現(xiàn)出來(lái)的行為來(lái)預(yù)先判斷其合法性。這在理論上是可行的。給出主動(dòng)防御的概念：在監(jiān)控、分析、偵測(cè)等環(huán)節(jié)中采用主動(dòng)感知未知威脅行為識(shí)別、行為智能處理、行為防御加固等主動(dòng)性技術(shù)來(lái)進(jìn)行防御。（一）惡意程序行為的提取惡意代碼一般的行為包括注冊(cè)表操作、文件操作、進(jìn)程的行為和網(wǎng)絡(luò)行為等；在windows操作系統(tǒng)上，可執(zhí)行文件基本上都是通過(guò)api的調(diào)用來(lái)執(zhí)行，以上任何行為都要通過(guò)導(dǎo)出函數(shù)或者系統(tǒng)調(diào)用接口[3]?？赏ㄟ^(guò)對(duì)惡意代碼行為進(jìn)行搜集和數(shù)據(jù)挖掘，建立如下的行為算法模型：行為算法模型表1格式1行為行為描述危險(xiǎn)等級(jí)格式2行為序列行為描述危險(xiǎn)等級(jí)…說(shuō)明1.格式1適用于單個(gè)行為的規(guī)則建模；2.格式2適用于由多個(gè)行為組成的行為序列的規(guī)則建模;m表示函數(shù)的參數(shù)個(gè)數(shù)，n表示行為序列包含的行為個(gè)數(shù)；四個(gè)危險(xiǎn)等級(jí)：低、中、較高、極高，代表不同級(jí)別的惡意程序；“參數(shù)取值特征”表示對(duì)應(yīng)的函數(shù)調(diào)用行為表現(xiàn)出惡意性時(shí)的參數(shù)的具體取值?！皡?shù)0”表示只識(shí)別函數(shù)的調(diào)用行為，不對(duì)調(diào)用參數(shù)進(jìn)行分析；若“參數(shù)取值特征”為“null”，表示對(duì)應(yīng)參數(shù)的值等于null；若“參數(shù)取值特征值”為“null”與“參數(shù)0”配合使用，表示不需要分析對(duì)應(yīng)的實(shí)參。（二） 深層監(jiān)控實(shí)現(xiàn)主機(jī)層面的防御又可分為六個(gè)方面：內(nèi)核子系統(tǒng)、服務(wù)子系統(tǒng)、應(yīng)用子系統(tǒng)、通信子系統(tǒng)、文件及資源子系統(tǒng)、賬號(hào)及認(rèn)證子系統(tǒng)。每個(gè)子系統(tǒng)又按照p2dr（policy、protection、detectionandresponse）模型組成一個(gè)完整的、動(dòng)態(tài)的安全威脅相應(yīng)循環(huán)［4］。任何攻擊無(wú)非是攻擊操作系統(tǒng)以上的單個(gè)或者多個(gè)方面，因此通過(guò)對(duì)六大子系統(tǒng)實(shí)時(shí)監(jiān)控，最終達(dá)到對(duì)主機(jī)威脅行為識(shí)別。識(shí)別技術(shù)是辨識(shí)和處理的前提。主動(dòng)防御引擎模型圖3（三） 辨識(shí)技術(shù)的實(shí)現(xiàn)操作系統(tǒng)向外提供豐富的系統(tǒng)api接口，方便上層應(yīng)用程序?qū)ο到y(tǒng)資源的訪問(wèn)，開(kāi)發(fā)各類(lèi)功能軟件，程序行為指程序或代碼對(duì)操作系統(tǒng)資源如文件系統(tǒng)、注冊(cè)表、內(nèi)存、內(nèi)核、網(wǎng)絡(luò)、服務(wù)、進(jìn)程等隹?一論文發(fā)表專(zhuān)氯一畫(huà)腫國(guó)掌木酬網(wǎng).qikanwang.nel的訪問(wèn)操作。惡意代碼行為特點(diǎn)：非授權(quán)性和破壞性，主要表現(xiàn)為惡意代碼對(duì)系統(tǒng)資源的非授權(quán)訪問(wèn)或篡改，如信息竊取、建立后門(mén)、實(shí)施破壞等行為。了解程序行為和惡意代碼的行為后，通過(guò)對(duì)惡意代碼的行為分析，并將惡意代碼必經(jīng)的攻擊點(diǎn)進(jìn)行記錄和分類(lèi)，豐富到行為庫(kù)中，形成一套行為算法庫(kù)，通過(guò)行為算法庫(kù)來(lái)判別程序的合法性。其他子系統(tǒng)的行為引擎，也可建立相應(yīng)的模型。識(shí)別技術(shù)是關(guān)鍵。（四）強(qiáng)大的處理能力.在判斷程序的危害性后，可通過(guò)取得操作系統(tǒng)底層權(quán)限，對(duì)惡意代碼進(jìn)行處理，對(duì)無(wú)法及時(shí)處理的可通過(guò)隔離，重啟后刪除。采用系統(tǒng)級(jí)主動(dòng)防御技術(shù)，在異常監(jiān)控技術(shù)上將監(jiān)控范圍擴(kuò)大到操作系統(tǒng)上的六大子系統(tǒng)，包括內(nèi)核系統(tǒng)、應(yīng)用系統(tǒng)、通訊系統(tǒng)、文件及資源系統(tǒng)、賬號(hào)及權(quán)限系統(tǒng)，采用分布式監(jiān)控技術(shù)實(shí)現(xiàn)對(duì)全系統(tǒng)的監(jiān)控。在辨識(shí)決策技術(shù)上是以程序行為算法庫(kù)分析判定、智能專(zhuān)家系統(tǒng)、程序可信性計(jì)算等技術(shù)為基礎(chǔ)，采用動(dòng)態(tài)行為跟蹤技術(shù)，依據(jù)惡意程序行為特征算法庫(kù)，判定程序的性質(zhì)和邏輯，預(yù)先判斷程序的危害行為和風(fēng)險(xiǎn)，實(shí)現(xiàn)對(duì)惡意代