圆锥主机行为防御系统

一 为什么要部署主机行为防御系统

面临的挑战
　　随着Internet的不断发展，信息技术已成为促进经济发展、社会进步的巨大推动力；当今社会高度的计算机化信息资源对任何人无论在任何时候、任何地方都变得极有价值。不管是存储在工作站中、服务器里还是流通于Internet上的信息都已转变成为一个关系事业成败关键的策略点，这就是保证信息的安全变得极其重要。计算机病毒、木马、黑客攻击的疯狂肆虐已经触动了信息网络脆弱的安全神经。

受到攻击的影响
　　黑客将会利用各种漏洞，以及结合社会工程学，采取新技术来对企业网络进行攻击，一旦企业网络遭到攻击，将会受到以下影响：
造成资源浪费、使网络性能下降：非法占用主机的运行资源，降低主机的性能；不断向网络发送数据，使网络性能下降或使网络陷于瘫痪。
数据被监听：在主机中植入木马、脚本程序，对主机实施长期监控。窃取各种密码，盗取机密文件，让国家，企业蒙受巨大损失。
文件被偷取：通过主机盗取重要文件，机密文件和个人隐私
威胁企业发展：由于公司重要决策资料被盗，致使企业发展受阻，直接导致企业面临经营危机。

传统的解决方案
　　目前常见的网络安全解决措施:主要采用防火墙,入侵检测系统,防病毒等安全产品。防火墙的最大缺点就是它的防外不防内，这样实际上防火墙并不能从根本上解决主机安全问题。入侵检测系统可以检测到许多已知的入侵行为,但是,目前的许多入侵检测系统主要采用基于入侵特征模式库来识别入侵行为,对于新近出现的入侵行为或未知的入侵行为就无法识别。防病毒软件也只是一种被动的防御措施，它并不能查杀未知的病毒。操作系统虽然提供了一些安全措施，但是其功能非常有限，并且存在各种漏洞，这只有经验丰富的系统管理员才能保证操作系统的安全。因此,不能单纯依赖于传统的安全技术或产品,而需要对主机建立一套完整的主动防御系统，只有主机安全才能保护文件和帐号密码不被盗取，企业的核心价值才能得到保护。

主机行为防御系统
　　随着计算机与网络的发展，网络的弊端----安全性越来越困扰着企业用户。黑客可以通过网络入侵主机，然后偷取文件和帐号密码。对于大多企业来说保护文件是最主要的，所以网络的安全于可归结于主机安全，主机安全可归结于文件安全。 即信息安全的最终目的就是保护主机安全，保护文件和帐号密码的安全。主机行为防御系统将对主机实施全方位的行为监控，并对主机资源进行保护，防止非法程序对主机实施非法操作，非法使用资源，如非法读取文件，非法更改系统代码等。主机行为防御系统将对这些非法行为与正常用户行为进行区分，并对非法行为进行监视、拦截和阻止，从而让那些非法程序和木马无从施展，保护主机资源安全。因此, 主机行为防御系统加强对主机的安全控制,增强了主机的总体安全性和数据的保护。

二 维信圆锥主机行为防御系统

1.1产品概述
　　圆锥主机行为防御系统主要是立足于系统内核的行为防御技术，在保护系统内核不被病毒或木马入侵的同时，根据应用程序的行为进行判断，从而达到对系统和文件安全构成威胁的行为进行预警和阻止，保护主机的安全。圆锥主机行为防御系统同时还提供强大的帮助系统来丰富用户自身的信息安全知识，增强用户的信息安全意识，从而更加有效地使用本产品对主机进行安全防护。

1.2产品架构
　　本系统主要包括用户界面模块，系统服务模块，内核防护模块，规则库，和升级模块。

• 用户界面模块：提供用户交互界面，并将交互的结果生成规则存入规则库；
• 系统服务模块：读取规则库中的规则，传入内核防护模块；
• 内核防护模块：监视系统，进程的各种行为，根据规则作出询问、放行、阻止的动作；
• 规则库：存储用户在交互中形成的和用户直接添加的规则；
• 升级模块：提供系统升级服务。



1.3主要功能
 内核保护：主要是对操作系统内核镜像文件和系统服务描述符表（SSDT）的保护，不被非法读取，实现防御系统的自我保护，使得其他程序无法使本防御系统失效或绕过本防御系统执行有安全威胁的操作。

 驱动加载控制：驱动程序是主机中运行权限最高的程序，一旦木马加载了自己的驱动程序，所有的防护都有可能是无能为力的，因此要实现行为防御的安全性和可靠性就必须对驱动程序的加载进行控制，防止恶意软件通过驱动程序绕过和破坏行为防御系统，因此检测和阻止非法驱动程序的加载，保护重要的系统驱动不被非法读取， 可以有效抵御木马的攻击。针对操作系统启动所需驱动以及一些常用驱动设置默认规则放行，从而保证操作系统的正常启动和运行。

 进程（可执行文件）保护：对进程的可执行文件进行文件DNA（MD5值）检测，对其权限范围进行限定，从而阻止非法程序的启动，并防止木马或病毒对可执行文件的非法修改。对已启动的进程进行防注入检查，从而防止木马程序通过傀儡进程来读取文件、连接网络等行为。进程加载进程的保护，进程访问网络的控制，进程注入的控制，进程访问文件的控制。

 文件保护：随着当前木马日趋商业化，盗取有商业价值的文件成为了木马最重要的目的之一。相应地对文件的保护也成为安全保护的重点。文件保护可以让任何进程对在保护区域内的文件的访问都在用户的控制之下；同时提供一个“安全文件夹”提供最高级别的文件安全保护。安全文件夹功能中提供安全删除、安全粘贴功能，实现数据合法的内外交换方式。通过对相应系统文件的访问控制，可以监视进程的自动启动。

 注册表保护：注册表保存着最基本、最核心、最重要的Windows系统信息，是Windows系统的核心文件，通常很多木马也通过修改注册表来达到自启动的功能。对注册表保护可以防止木马恶意修改注册表而达到自启动或其它目的。

 网络访问控制：木马要窃取文件必须通过网络传输到指定的目的地，因此通过规则设定指定的进程允许访问指定的网络节点，未设定的网络访问行为一律要通过用户的确认才可执行。以达到最大可能地防止机密文件信息泄露。

 交互行为检测: 交互行为检测是来检测进程的行为是不是由用户人机交互操作(如鼠标，键盘的操作)所引起的。大多数木马都是隐藏在用户的电脑上，潜伏行动，从而对被保护对象的打开和读取等操作进行交互行为检测，可以防止木马在后台进行非法操作。

 文件粉碎（安全删除）：采用安全彻底地删除机密文件，防止他人用特殊技术手段恢复已被删除的文件。

1.4产品特性

 强大的自身保护功能，对系统本身自动保护程序目录、安全数据库，以及内核模块，防止本身系统被感染。

 内核级的行为防御，抢先进驻系统内核，对程序的行为进行检测和分析，可从程序的行为上来分析是不是木马，或有没有危险，实现对木马的行为检查、审核；

 实时的交互行为检测，通过交互行为检测，防止恶意软件在用户不知情的情况下打开和读取文件造成机密信息失窃；

 文件安全保护，对指定文件夹中的文件进行保护，文件只允许被指定软件进程访问，并通过用户交互确认，防范了恶意软件对重要文件的访问；

 多种升级方式，系统提供自动检测新版本并进行升级和手动点击更新进行升级。

 强大的用户帮助功能，系统提供了丰富的主机防护知识，在保护主机的同时还为用户提供学习主机防护知识的平台，增强用户的防护意识，使用户能够有效的利用主机行为防御系统来保护主机的安全。

1.5产品优势
1、易用。一般防御软件基于规则进行相应的技术处理，凡是触犯规则的程序动作都会要求用户确认，因此会频繁弹出对话框，要求用户进行选择。安装时也需要进行许多的配置，这给普通用户带来极大的困扰——不知道该怎么选，或者不知道选了之后会出现什么问题，这样的防御系统其实是缺乏可用性的。
圆锥主机行为防御系统集合了多年的防御经验，在系统中预置了一套成熟的预置规则来帮助用户做到对主机行为全方位的和轻松的防护，这样极大的提高主动防御的易用性和有效性。

2、专业、灵活，可定制规则。一般防御软件、带有主动防御的杀毒软件等，都会提供一定的用户交互功能，但是无法提供更深层次的配置，如对进程的防御，对网络访问的控制。
圆锥主机行为防御系统提供了非常丰富的配置选项和配置参数，用户可以控制任何程序的操作范围，这样，用户自己就可以手工处理并清除未知病毒、流氓软件等。

3、高安全性。一般的防病毒软件通常都是基于特征码来识别和检测病毒，但是无法检测到零日病毒和威胁。一旦出现零日威胁，这些防御软件将无从施计。根据这些问题，圆锥主机行为防御系统针对资源访问，主机行为、访问规则等进行了全面的防护，使主机不受任何威胁的入侵。

三 典型应用

圆锥主机行为防御系统适合部署在一个网络中的所有主机，只有把网络中的所有主机保护起来，才是构造安全网络的基石。在威胁入侵网络时不给它提供进行破坏的平台，自然这些威胁也就不能构成威胁了。所以，保证信息安全的前提是更好地保护主机的安全。

四 结论

随着信息技术的飞速发展，信息安全已变得越来越重要，保护网络、保护主机、保护数据已成为各企事业单位的一项重要决策，目前，在安全产品市场上常见的防火墙、入侵检测系统、防病毒软件以及还有一些保护数据的产品，只能够起到内外网隔离和实施监控的作用，但不能起到任何预防功效，而多数主机没有得到较好的保护，从而导致数据没有得以更好的保护。也就是说这些产品十分被动、效率也比较低。而圆锥主机行为防御系统是一种以保护主机安全为目的的系统，通过内核级行为防御、驱动程序加载控制、进程保护和文件安全保护机制来保护主机的安全，它是一种以保护主机安全、高效率、主动性强的信息安全产品。

五 应用行业

• 有网络安全需求的各企事业单位的以及互联网用户终端；
• 银行、政府等机构；
• 军队等特殊部门的应用；

