主动防御技术是最近几年网络安全领域新兴的一个技术,它的出现弥补了传统的病毒查杀技术和防火墙技术的不足。在病毒查杀方面,主动防御技术的应用使得杀毒引擎摆脱了仅仅依靠病毒特征码进行扫描的尴尬局面,它通过监控行为来及时发现病毒程序并阻止程序的运行。在国内,已经有4家安全厂商微点主动防御、奇虎360、江民杀毒软件、瑞星杀毒软件都具有了主动防御技术。它们采用了动态仿真反病毒专家系统,自动准确判定新病毒、程序行为监控并举,自动提取特征值实现多重防护、可视化显示监控信息等可信技术,实现了对未知病毒的自主识别、明确报出和自动清除,有效克服了传统杀毒软件的致命缺陷,可以说主动防御技术已经得到了广泛的应用和认可。本论文对主动防御技术进行了初步的探索和研究,以提高人们对于主动防御技术原理的认识。本论文首先介绍主动防御体系,包括防火墙系统、入侵检测系统、反病毒系统以及基于主机的入侵防御系统,再重点介绍基于行为的主动防御系统的技术及其实现细节。通过对系统服务分发表、用户态和内核态HOOK技术的分析来认识行为监控的原理,然后再通过对一些常见的病毒或者木马的行为进行分析,以了解区分正常的系统行为与异常的行为之前的区别。接着本论文通过进程创建行为监控、注册表访问行为监控、文件访问行为监控以及网络连接行为监控的具体实现细节进行讲解,进一步研究行为监控技术。在介绍行为监控技术的实现细节的同时,本论文更加注重该行为监控技术的实现原理以及由来,也就是为什么要采用这个技术来实现行为监控,知其然而知其所以然。接着本论文通过构建一个智能行为判断系统来解决传统的主动防御系统的弹框问题,进一步的完善主动防御系统。本论文接下来对主动防御工具进行研究和讲解,包括进程检测工具,DLL模块检测工具以及文件检测工具,通过对常见的病毒或者木马的一些隐藏技术进行分析,从而在根本上了解主动防御工具的实现原理,进一步加深了主动防御系统的理解。最后对主动防御系统进行了测试,以检验了主动防御系统的效率和稳定性。