智能主動防御系統(08-100)

　　本系統的“智能”主要體現在：

　　1) 自主學習：主動收集未知入侵特征，防御未知入侵。

　　2) 主動防御：變被動為主動，將未知病毒扼殺于搖籃中。

　　此外，本系統還提供了功能強大的系統輔助工具，例如：進程管理，網絡連接管理，服務管理，啟動項管理，HOSTS文件管理等。

　　2 系統原理與實現

　　2.1 智能防火墻原理與實現

　　本防火墻的智能主要體現在：它能夠通過自主學習實現對未知入侵的防御。

　　2.1.1 傳統防火墻的工作原理

　　傳統防火墻有一個入侵特征庫和一個過濾規則表。當網絡數據包到來時，防火墻會將包中的數據與特征庫和過濾規則進行匹配，符合要求的放行，不符合規則的就丟棄。

　　傳統防火墻的特征庫是由防火墻開發商維護并提供給用戶下載的。庫中的數據都是對已知入侵的特征提取。因此傳統的防火墻也只能防御已知的入侵。然而，網絡中無時無刻不在產生著新的威脅，殺毒軟件開發商能夠分析到的危險只是其中很少的一部分。因此，傳統的防火墻防御入侵的能力是非常有限的。

　　2.1.2 智能防火墻的工作原理

　　智能防火墻也有一個入侵特征庫，不過維護這個特征庫的不是防火墻的開發人員而是防火墻本身。

　　對于已知的威脅我們可以事先將其特征寫入到特征庫中。對于未知的新的安全威脅，智能防火墻可以根據黑客入侵的特征，比如在入侵的開始階段往往是盲目的，黑客會進行大范圍的攻擊掃描，由此不可避免的會給不存活IP地址發送數據包。智能防火墻認為對不存活主機的連接是具有惡意的，是入侵的前兆。防火墻的內部維護著一張局域網內的存活主機列表，當它檢測到網內有向不存活主機發送的ARP請求時，會偽裝成目的主機發出ARP應答，并與入侵者進行進一步的交互，從交互的數據中提取特征，存入特征數據庫。

　　在上述的過程中，智能防火墻雖然不知道具體的入侵類型，但是由于它掌握了入侵的數據特征，因此下次對本網的相同威脅就能被檢測到。其原理如圖2所示。

　　圖2 智能防火墻工作原理