主动防御

昊天塔主动防御系统PDS是新一代智慧型安全产品，具有国际领先的系统级主动防御技术。它是在研究国内外网络安全防御技术及产品不足的基础上，采用全新的技术原理和技术架构，通过自主创新，以程序行为算法库分析判定、智能专家系统、程序可信性计算等技术为基础。采用动态行为跟踪技术，依据恶意程序行为特征算法库，判定程序的性质和逻辑，预先判断程序的危害行为和风险，对恶意代码和恶意行为进行自主识别、判断，实现计算机的入侵防护、病毒防范、恶意代码主动防御、系统安全加固、系统损伤智能修复等功能。

该系统由事前防御、事中防御、事后防御共同构成主动防御。

事前防御：功能完整性检测、脆弱性分析、可信任检测、漏洞检测、安全加固

事中防御：防御模型构建、感知、识别、智能处理、行为对抗

事后防御：系统修复、取证、审计、行为学习、行为提取

1、内核系统纵深防御

主动防御系统PDS六大系统中对内核系统的恶意代码防御进行了深度保护，主动防御系统PDS防御包括引导系统文件保护检查、加载系统文件保护检查、驱动模块及硬件支撑模块保护检查等细粒度查杀，确保内核系统安全可信。

2、服务系统纵深防御

操作系统各类基本服务、用户应用服务决定了系统的可用性及稳定性，若出现异常，会威胁到系统的安全及用户数据安全。主动防御系统PDS六大恶意代码防御系统中服务系统全面保障操作系统稳定、安全运行，恶意代码防御包括安全模式下的基本服务集、网络模式下的基本服务集、正常模式下的基本服务集、独立进程服务及共享服务等的保护和检查等。

3、通信系统纵深防御

网络共享、数据传输、业务支撑等无不依赖通信系统，因此成为很多恶意代码攻击的主要目标，以达到破坏网络通信或窃取信息的目的。主动防御系统PDS六大抗未知攻击防御系统中通信系统通过ARP系统、协议栈、SPI系统、SOCKET系统、域名解析系统恶意代码查杀、修复，层层防御，深层保护通信系统的安全，彻底清除各类ARP恶意代码、网络蠕虫等恶意程序。

4、应用系统纵深防御

应用系统是用户和操作系统交互最多、环境最为复杂的系统，存在很多安全漏洞和安全盲点，因此应用系统往往会成为恶意代码的乐土。主动防御系统PDS中应用系统恶意代码防御通过独具特色的智能行为分析及专家知识库，在不影响用户操作性同时最大化提高应用系统的安全性，对恶意代码的入侵防御包括应用自动启动系统、应用关联系统、应用映像系统、应用插件系统、浏览器应用系统等多个方面，是主动防御系统PDS为终端建立起的第一道安全屏障。

5、账号及认证系统纵深防御

作为操作系统的权限控制系统，账号及认证系统是整个操作系统的安全阀门，需要极高安全保护策略。主动防御系统PDS中账号及认证系统恶意代码防御从对账号数据库、账号认证系统、账号授权系统及账号审计系统等方面抵御恶意代码攻击、并对账号系统进行自动安全加固，防止恶意代码创建匿名账号、隐藏账号、克隆账号等非法账号。

6、文件及资源系统纵深防御

主动防御系统PDS中文件及资源系统保护资源包括系统应用文件、操作系统文件、数据文件及共享文件，防止恶意代码或人为非法篡改文件及资源系统，能够实时保护和修复操作系统的应用文件、系统文件。主动防御系统PDS实时监查操作系统内存在共享文件夹或是新增磁盘、移动介质，从根本上解除网络恶意代码、U盘恶意代码等恶意代码的感染入侵。

7、系统配置安全加固

自动对主机系统安全配置进行感知和分析，可根据策略对系统主要安全配置进行调整和优化，具体加固对象包括：帐号及密码、网络与服务、核心文件、日志系统、IE浏览器及桌面资源管理器、SPI网络通信层、注册表主要安全配置项、网络配置项（防ARP欺骗）等。

8、系统健壮性保护

主动防御系统PDS提供主机系统健壮性保护功能，能够对操作系统核心资源进行保护，自动修复恶意代码对系统的配置破坏，降低系统故障发生的概率。保护对象具体包括：系统文件（包括操作系统启动文件）、系统驱动、系统服务、系统重要目录、系统进程、网络进程、SPI层网络通信协议、系统各启动项、文件关联项、共享系统、插件、账号系统（SID）等。

9、实时动态防御

一般来说，终端主机所面临的安全威胁会随着用户对计算机各种应用程序（尤其是上网应用、共享应用、移动存储介质）的不断使用而动态的发生变化，因此在终端主机的使用过程中，需要加强其安全动态防御能力，使主机系统从容面对各类安全威胁。主动防御系统PDS客户端集成恶意代码行为分析技术，可以针对主机系统的使用环境，从主机流量、文件系统、进程、注册表、账号系统等层面，提供不同粒度的动态安全防护。从而有效控制各种恶意代码的网络传播，清除各类网络暗流。

10 智能检测报表

主动防御系统PDS提供了完备的网络主机安全风险报表，使网络管理员对整个网络系统的恶意代码、木马、黑客等安全管理变得透明，系统管理员随时掌握整个网络的恶意代码等安全情况，网络恶意代码等安全管理不再处于混沌和黑洞状态。具体实现过程包括：

PDS防御检测事件审计

主动防御系统PDS通过开机安全自检，能够自动收集各个终端系统的安全状态，并进行本地存放。其检测指标包括：

系统安全检测事件审计：系统驱动、系统服务、系统重要目录、系统进程、网络进程、各种启动项、文件关联项等。

PDS防御终端安装事件审计：终端安装情况、客户端升级事件等

补丁、插件安全检测事件审计：BHO插件、系统插件、流氓软件、补丁更新情况等。

系统资源安全检测事件审计：账号系统、共享系统、危险服务、文件系统类型、重要网络端口、上网环境、计划任务等。

异常流量安全检测事件审计：Arp扫描及欺骗、Arp绑定状态、广播流量、恶意代码连接扫描、应用进程流量、应用进程会话连接数等。

PDS防御安全事件分析审计

包括两个步骤，一是终端主机系统安全事件的本地处理，客户端按照事件关键字及风险等级，在客户端环境下进行事件关联、过滤和精简，处理完后，以简洁的格式传送给主动防御系统PDS恶意代码防御安全监控中心；二是，安全中心的数据整合，将终端主机上传数据进行终端事件联合分析和安全评估并统一事件存储格式，转数据库存储。如发现重要主机安全异常立即会触发恶意代码报警。