提升電力系統(tǒng)現(xiàn)有網(wǎng)絡(luò)安全防御體系的解決方案

1、 提升電力系統(tǒng)現(xiàn)有網(wǎng)絡(luò)安全防御體系的解決方案摘要：對(duì)電力系統(tǒng)現(xiàn)有的網(wǎng)絡(luò)安全防御技術(shù)進(jìn)行了分析，得出當(dāng)前的安全防御技術(shù)雖能夠解決絕大部分已知的惡意代碼攻擊，但卻處于對(duì)新型的和未知的惡意代碼攻擊無法識(shí)別的被動(dòng)防御的狀態(tài),并提出將現(xiàn)有的安全防御體系提升為主動(dòng)防御體系，實(shí)現(xiàn)差異化、縱深防御的解決方案。關(guān)鍵詞:未知攻擊；同質(zhì)化；被動(dòng)防御；主動(dòng)防御；防御體系solution to upgrade the existing power system network security defense systemli yongkang1，zhou junpeng2,chen yunfeng1（1。depart

2、ment of technology information,panzhihua electric power bureau，sichuan electric power corporation，panzhihua 617000，china;2.department of technology,chengdu chinatech huichuang technology co。，ltd,chengdu 610041，china)abstract:analyzed technologies of the existing power system network security defense

3、,it shows the current security and defense technology can solve the vast majority of known malicious code attacks,but it is in a state of passive defense,which can not recognize the new and unknown malicious code，it proposed to upgrade the existing security defense system for the active defense syst

4、em，to achieve the solution of differentiation and defense in depth。keywords:unknown attack;homogenization；passive defense；active defense；defense system一、前言（一）電力行業(yè)簡(jiǎn)介電力系統(tǒng)是由發(fā)電、輸電、變電、配電、用電設(shè)備及相應(yīng)的輔助系統(tǒng)組成的電能生產(chǎn)、輸送、分配、使用的統(tǒng)一整體。由輸電、變電、配電設(shè)備及相應(yīng)的輔助系統(tǒng)組成的聯(lián)系發(fā)電與用電的統(tǒng)一整體稱為電力網(wǎng).電力工業(yè)是國(guó)民經(jīng)濟(jì)發(fā)展中最重要的基礎(chǔ)能源產(chǎn)業(yè),是關(guān)系國(guó)計(jì)民生的基礎(chǔ)產(chǎn)業(yè)。電力行業(yè)對(duì)促進(jìn)國(guó)

5、民經(jīng)濟(jì)的發(fā)展和社會(huì)進(jìn)步起到重要作用，與社會(huì)經(jīng)濟(jì)和社會(huì)發(fā)展有著十分密切的關(guān)系，它不僅是關(guān)系國(guó)家經(jīng)濟(jì)安全的戰(zhàn)略大問題，而且與人們的日常生活、社會(huì)穩(wěn)定密切相關(guān)。隨著我國(guó)經(jīng)濟(jì)的發(fā)展，對(duì)電的需求量不斷擴(kuò)大，電力銷售市場(chǎng)的擴(kuò)大又刺激了整個(gè)電力生產(chǎn)的發(fā)展。（二）電力行業(yè)信息化it系統(tǒng)架構(gòu)電力行業(yè)it系統(tǒng)按照“sg186體系部署，整體化分為一體化企業(yè)級(jí)平臺(tái)、八大業(yè)務(wù)應(yīng)用系統(tǒng)和六個(gè)保障系統(tǒng)，形成“縱向貫通、橫向集成”的龐大信息網(wǎng)絡(luò)。八大業(yè)務(wù)應(yīng)用分為建設(shè)財(cái)務(wù)(資金）管理、營(yíng)銷管理、安全生產(chǎn)管理、協(xié)同辦公管理、人力資源管理、物資管理、項(xiàng)目管理、綜合管理等。六個(gè)保障體系為信息化安全防護(hù)體系、標(biāo)準(zhǔn)規(guī)范體系、管理調(diào)控體系

6、、評(píng)價(jià)考核體系、技術(shù)研究體系和人才隊(duì)伍體系。二、當(dāng)前電力系統(tǒng)網(wǎng)絡(luò)防御技術(shù)分析（一)電力網(wǎng)絡(luò)行為與內(nèi)容的安全情況。電力網(wǎng)絡(luò)行為與內(nèi)容的安全主要是指建立在行為可信性、有效性、完整性和對(duì)電力資源管理與控制行為方面，面對(duì)的威脅應(yīng)當(dāng)屬于是戰(zhàn)略性質(zhì)的,即電力系統(tǒng)威脅不僅要考慮一般的信息犯罪問題，更主要是要考慮敵對(duì)勢(shì)力與恐怖組織對(duì)電力相關(guān)信息、通信與調(diào)度的攻擊，甚至要考慮戰(zhàn)爭(zhēng)與災(zāi)害的威脅.（二）電力網(wǎng)絡(luò)系統(tǒng)安全情況。對(duì)于電力行業(yè)主要考慮以下系統(tǒng)：各類發(fā)電企業(yè)、輸電網(wǎng)、配電網(wǎng)、電力調(diào)度系統(tǒng)、電力通信系統(tǒng)（微波、電力載波、有線、電力線含光纖）、電力信息系統(tǒng)等。這里主要考慮到電力調(diào)度數(shù)據(jù)網(wǎng)(spdnet）、電力通

7、信網(wǎng)與電力信息網(wǎng)幾個(gè)方面的安全問題.電力系統(tǒng)的安全建設(shè)以資源可用和資源控制的安全為中心，必須保障電力系統(tǒng)暢通的24小時(shí)服務(wù)。目前，大多數(shù)規(guī)模較大的發(fā)電企業(yè)和很多省市的電力公司在網(wǎng)絡(luò)安全建設(shè)方面已經(jīng)做了很多工作,通過防火墻、入侵檢測(cè)系統(tǒng)、vpn設(shè)備等關(guān)鍵的安全產(chǎn)品的部署和實(shí)施已經(jīng)初步地建立起了基礎(chǔ)性的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，并取得一定的效果，應(yīng)當(dāng)說是有自主特色的.（三)電力信息內(nèi)網(wǎng)安全防護(hù)體系。電力信息內(nèi)網(wǎng)屬于電力網(wǎng)絡(luò)的管理信息大區(qū)中，信息內(nèi)網(wǎng)定位為內(nèi)部業(yè)務(wù)應(yīng)用系統(tǒng)承載網(wǎng)絡(luò)和內(nèi)部辦公網(wǎng)絡(luò),部署了大量的應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器、以及不需要外聯(lián)的辦公主機(jī)。電力信息內(nèi)網(wǎng)對(duì)外連接包括：通過公用信息網(wǎng)與上下級(jí)電

8、力公司的信息內(nèi)網(wǎng)相連接；通過vpn連接互聯(lián)網(wǎng)，以保障移動(dòng)辦公終端的接入；通過邏輯強(qiáng)隔離設(shè)備與信息外網(wǎng)相連接；通過正/反向隔離裝置與生產(chǎn)控制大區(qū)相連.電力信息內(nèi)網(wǎng)部署有以下安全防護(hù)手段：防火墻系統(tǒng).信息內(nèi)網(wǎng)內(nèi)部不同安全區(qū)域之間部署防火墻，增強(qiáng)區(qū)域隔離和訪問控制力度，嚴(yán)格防范越權(quán)訪問、病毒擴(kuò)散等內(nèi)部威脅；信息內(nèi)網(wǎng)出口處部署防火墻系統(tǒng),實(shí)現(xiàn)網(wǎng)絡(luò)邊界防護(hù)，同時(shí)保護(hù)web服務(wù)器域；vpn系統(tǒng).信息內(nèi)網(wǎng)出口處部署vpn系統(tǒng)，為移動(dòng)辦公、營(yíng)銷系統(tǒng)遠(yuǎn)程訪問等提供接入防護(hù),客戶端應(yīng)當(dāng)采取硬件證書的方式進(jìn)行接入認(rèn)證;為了統(tǒng)一管理和維護(hù),電力的移動(dòng)辦公統(tǒng)一入口設(shè)在信息內(nèi)網(wǎng)的vpn網(wǎng)關(guān)處；入侵檢測(cè)系統(tǒng).信息內(nèi)網(wǎng)核心交

9、換機(jī)和重要網(wǎng)段部署入侵檢測(cè)系統(tǒng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的動(dòng)態(tài)監(jiān)視、記錄和管理、對(duì)異常事件進(jìn)行告警等；日志審計(jì)系統(tǒng)。信息內(nèi)網(wǎng)部署一套日志審計(jì)系統(tǒng)，采用分級(jí)部署方式,實(shí)現(xiàn)全省信息內(nèi)網(wǎng)安全事件的集中收集和審計(jì)問題；主機(jī)管理系統(tǒng).電力信息內(nèi)網(wǎng)統(tǒng)一部署主機(jī)管理系統(tǒng),實(shí)現(xiàn)主機(jī)設(shè)備的統(tǒng)一管理和防護(hù)；防病毒系統(tǒng).電力公司信息內(nèi)網(wǎng)部署一套防病毒系統(tǒng)，采用分級(jí)部署方式，控管中心設(shè)在電力公司本部，地市供電公司分別安裝二級(jí)控管中心和防病毒服務(wù)器，接收控管中心的統(tǒng)一管理。安全管理分區(qū)。電力信息內(nèi)網(wǎng)依據(jù)業(yè)務(wù)系統(tǒng)保護(hù)等級(jí)，分為生產(chǎn)控制區(qū)(、區(qū)）、管理信息區(qū)(區(qū))和外部信息網(wǎng),各分區(qū)進(jìn)行相應(yīng)等級(jí)的安全防護(hù)。（四)目前防御系統(tǒng)的防御弱

10、點(diǎn)病毒檢測(cè)掃描類技術(shù)的防御弱點(diǎn)。從病毒到惡意代碼（木馬、蠕蟲、病毒、惡意腳本、shellcode、流氓間諜軟件)，無論是種類還是數(shù)量都是海量增長(zhǎng)，來自海量惡意代碼的海量攻擊使得基于以字符串crc效驗(yàn)、散列函數(shù)值等特征碼檢測(cè)為主;采用加密變形的啟發(fā)式算法、仿真技術(shù)檢測(cè)為輔的病毒檢測(cè)技術(shù)已無法有效檢測(cè)每天如潮水般增長(zhǎng)的惡意代碼。以超級(jí)病毒特征庫、超級(jí)白名單庫、超級(jí)惡意url庫、自動(dòng)化分析流程為主要特點(diǎn)的云安全技術(shù)在一定程度上改善互聯(lián)網(wǎng)用戶安全的同時(shí)，存在分析時(shí)延、病毒特征庫更新時(shí)延、惡意url搜索時(shí)間間隔等問題,同時(shí)海量提交的文件帶來的極大分析壓力使得分析失誤的概率大大增加，從而給用戶帶來極大的風(fēng)

11、險(xiǎn)，對(duì)于物理隔離的專網(wǎng)、內(nèi)網(wǎng)也無法使用云安全技術(shù)。該類產(chǎn)品的最大弱點(diǎn)是對(duì)未知惡意代碼缺乏有效的監(jiān)控和辨識(shí)能力。入侵檢測(cè)防御類技術(shù)的防御弱點(diǎn)。入侵檢測(cè)技術(shù)經(jīng)過多年發(fā)展，ids、ips、utm、應(yīng)用防火墻、防毒墻等產(chǎn)品能應(yīng)對(duì)大部分已知攻擊,對(duì)網(wǎng)絡(luò)安全起到了非常大的作用，但也存在辨識(shí)技術(shù)上的防御弱點(diǎn)。以基于規(guī)則描述的特征組合檢查為主,協(xié)議異常檢測(cè)、統(tǒng)計(jì)異常檢測(cè)為輔的入侵檢測(cè)引擎無法有效識(shí)別隱藏在合法應(yīng)用流量中的攻擊流量、基于未知漏洞的攻擊流量、加密變形的攻擊流量,更無法截?cái)酀摲谶@些流量中的有經(jīng)驗(yàn)黑客的深度攻擊。由ids(監(jiān)控報(bào)警子系統(tǒng))+安全工程師(辨識(shí)和決策）+防火墻（處理子系統(tǒng)）構(gòu)成的防御系統(tǒng)

12、，嚴(yán)重依賴安全工程師的經(jīng)驗(yàn)和分析水平。對(duì)未知攻擊流量和隱藏在應(yīng)用流量中的惡意流量缺乏辨識(shí)能力，使得試圖在網(wǎng)絡(luò)層完全阻擋入侵攻擊、惡意代碼的傳播是不現(xiàn)實(shí)的。其它非防御類安全產(chǎn)品的弱點(diǎn)。加密技術(shù)類安全產(chǎn)品可以解決泄密問題，卻無法阻御攻擊者和惡意代碼對(duì)加密信息的破壞.行為管理類安全產(chǎn)品能管理用戶的行為，卻無法阻擋有意者的惡意攻擊行為，對(duì)惡意代碼和黑客攻擊的后臺(tái)行為，更無法察覺和控制。身份認(rèn)證類安全產(chǎn)品能解決身份可信問題,卻無法保證合法者偽造的惡意攻擊和對(duì)惡意代碼的滲透和傳播。防火墻類產(chǎn)品的訪問控制能力更適合作為處理控制手段，而不是攻擊和惡意代碼的識(shí)別工具，更無法解除流量中的威脅，桌面級(jí)的防火墻更是帶

13、來網(wǎng)絡(luò)管理上的不方便。漏洞掃描類安全產(chǎn)品能發(fā)現(xiàn)存在的漏洞風(fēng)險(xiǎn),卻沒有防御攻擊的手段。主機(jī)安全產(chǎn)品，偏重于主機(jī)使用者的行為控制,它本身不能防御惡意代碼的攻擊和破壞.以上安全類產(chǎn)品由于解決的主要問題是在安全的其它方面，從防御組成來看,本身缺乏防御能力，更需要安全防御系統(tǒng)來保護(hù)這類安全資產(chǎn)。（五)當(dāng)前電力防御體系總結(jié)分析當(dāng)前由防火墻、入侵檢測(cè)系統(tǒng)、殺毒軟件組成的防御體系已經(jīng)不能阻擋每天如潮水般增長(zhǎng)的惡意代碼，其技術(shù)壁壘也逐漸顯露,其被動(dòng)性的原因主要有以下幾點(diǎn)：1。惡意樣本和攻擊的海量增長(zhǎng)。據(jù)國(guó)內(nèi)安全廠商江民科技對(duì)近年來惡意代碼數(shù)量的統(tǒng)計(jì),2011年上半年全年共增加病毒特征代碼48萬余條。2010年上

14、半年及2011年上半年新增病毒特征數(shù)量示意圖1圖12.對(duì)抗傳統(tǒng)防御體系的特征碼免殺技術(shù)、網(wǎng)絡(luò)攻擊逃避技術(shù)近年來不斷持續(xù)發(fā)展和傳播。攻擊方由以前那種單一作戰(zhàn)已經(jīng)逐漸演變?yōu)橐粋€(gè)集團(tuán)利益團(tuán)體甚至國(guó)家利益的團(tuán)體，在經(jīng)濟(jì)、政治利益的驅(qū)使下，免殺、逃逸技術(shù)發(fā)展迅速。3.對(duì)攻擊和威脅的識(shí)別能力不足，對(duì)未知攻擊和威脅無法識(shí)別.要防御攻擊帶來的威脅,首先要解決對(duì)攻擊和威脅的識(shí)別，傳統(tǒng)的特征碼識(shí)別技術(shù)對(duì)未知的攻擊和威脅無法識(shí)別。4。同質(zhì)化技術(shù)構(gòu)成的防御體系容易導(dǎo)致技術(shù)一點(diǎn)被破、全局皆破。隨著電力系統(tǒng)在信息化建設(shè)方面的不斷加大，信息安全問題也逐漸凸顯，病毒、蠕蟲、木馬等惡意代碼在網(wǎng)絡(luò)中肆意傳播，嚴(yán)重威脅著電力系統(tǒng)的

15、正常運(yùn)行。而現(xiàn)有的防御體系則主要以協(xié)議過濾、特征簽名包和特征碼比對(duì)技術(shù)為主構(gòu)建的傳統(tǒng)的防御體系，能夠有效的防御已知的惡意代碼攻擊（已有的特征簽名包和特征碼),但對(duì)于多變的未知的惡意代碼攻擊卻顯得無能為力。因此,需要一種技術(shù)能夠?qū)崟r(shí)有效的防止未知的惡意代碼攻擊，從而提升整個(gè)網(wǎng)絡(luò)的安全防御體系。傳統(tǒng)的防御手段所采用的技術(shù)是導(dǎo)致其被動(dòng)性的根源，面對(duì)當(dāng)下如此嚴(yán)峻的安全形勢(shì)，亟需構(gòu)建一個(gè)實(shí)時(shí)主動(dòng)的網(wǎng)絡(luò)防御體系。三、構(gòu)建主動(dòng)防御體系（一)防御系統(tǒng)的構(gòu)成標(biāo)準(zhǔn)在網(wǎng)絡(luò)信息對(duì)抗中，一個(gè)完善防御系統(tǒng)的防御鏈必須由監(jiān)控、辨識(shí)決策、處理三大子系統(tǒng).防御系統(tǒng)的抗攻擊、反入侵能力高低取決于監(jiān)控能力強(qiáng)弱、辨識(shí)決策是否足夠智慧

16、、處理子系統(tǒng)是否完善有效、三個(gè)子系統(tǒng)的自動(dòng)化聯(lián)動(dòng)程度四個(gè)方面,其中最核心的是辨識(shí)決策技術(shù).目前的安全產(chǎn)品，能有效構(gòu)建防御系統(tǒng)主要是以病毒檢測(cè)掃描類技術(shù)和入侵檢測(cè)防御類技術(shù)為主，但這兩類技術(shù)都存在防御弱點(diǎn)。（二)構(gòu)建電力系統(tǒng)主動(dòng)防御體系在構(gòu)建主動(dòng)防御體系之前,不防先回顧一下防御系統(tǒng)產(chǎn)生的原因:有了信任與欺騙的斗爭(zhēng),于是便產(chǎn)生了可信任體系；出現(xiàn)了攻與防的斗爭(zhēng)，也就有了防御體系。那如何構(gòu)建一個(gè)防御體系，不防借鑒歷史戰(zhàn)爭(zhēng)，其無非分為三種：事前防御、事中防御和事后防御.于是建立如下的主動(dòng)防御體系：主動(dòng)防御中心圖2從圖中可以看出，防御體系的強(qiáng)弱取決于攻擊事件正在進(jìn)行時(shí)防御系統(tǒng)的防御能力，也就是事中防御.而

17、從傳統(tǒng)的防御體系可以看出，無論是漏洞檢測(cè)技術(shù)、網(wǎng)絡(luò)準(zhǔn)入技術(shù)、特征碼掃描技術(shù)都偏向于事前防御，在事中實(shí)時(shí)防御上，特別是事中主機(jī)防御上存在嚴(yán)重不足。因此，要提升整體網(wǎng)絡(luò)的防御能力，必須加入主機(jī)事中防御的技術(shù)。四、主機(jī)主動(dòng)防御技術(shù)的實(shí)現(xiàn)在主機(jī)層面要做到事中防御，必須摒棄傳統(tǒng)的特征碼比對(duì)技術(shù)，做到“敵動(dòng)我動(dòng)的實(shí)時(shí)防御。經(jīng)過業(yè)界專家的研究,提出了基于行為檢測(cè)的主動(dòng)防御技術(shù)。即不依賴于程序的特征，而是根據(jù)程序所表現(xiàn)出來的行為來預(yù)先判斷其合法性.這在理論上是可行的。給出主動(dòng)防御的概念：在監(jiān)控、分析、偵測(cè)等環(huán)節(jié)中采用主動(dòng)感知未知威脅行為識(shí)別、行為智能處理、行為防御加固等主動(dòng)性技術(shù)來進(jìn)行防御。（一)惡意程序行為

18、的提取惡意代碼一般的行為包括注冊(cè)表操作、文件操作、進(jìn)程的行為和網(wǎng)絡(luò)行為等；在windows操作系統(tǒng)上，可執(zhí)行文件基本上都是通過api的調(diào)用來執(zhí)行，以上任何行為都要通過導(dǎo)出函數(shù)或者系統(tǒng)調(diào)用接口3.可通過對(duì)惡意代碼行為進(jìn)行搜集和數(shù)據(jù)挖掘，建立如下的行為算法模型:行為算法模型表1格式1行為 行為描述 危險(xiǎn)等級(jí)格式2行為序列 行為描述 危險(xiǎn)等級(jí)說明1。格式1適用于單個(gè)行為的規(guī)則建模；2。格式2適用于由多個(gè)行為組成的行為序列的規(guī)則建模；3。m表示函數(shù)的參數(shù)個(gè)數(shù),n表示行為序列包含的行為個(gè)數(shù);4.四個(gè)危險(xiǎn)等級(jí):低、中、較高、極高，代表不同級(jí)別的惡意程序；5?！皡?shù)取值特征”表示對(duì)應(yīng)的函數(shù)調(diào)用行為表現(xiàn)出惡意

19、性時(shí)的參數(shù)的具體取值。6。“參數(shù)0”表示只識(shí)別函數(shù)的調(diào)用行為，不對(duì)調(diào)用參數(shù)進(jìn)行分析;7。若“參數(shù)取值特征”為“null”，表示對(duì)應(yīng)參數(shù)的值等于null；若“參數(shù)取值特征值”為“null”與“參數(shù)0”配合使用，表示不需要分析對(duì)應(yīng)的實(shí)參。（二）深層監(jiān)控實(shí)現(xiàn)主機(jī)層面的防御又可分為六個(gè)方面：內(nèi)核子系統(tǒng)、服務(wù)子系統(tǒng)、應(yīng)用子系統(tǒng)、通信子系統(tǒng)、文件及資源子系統(tǒng)、賬號(hào)及認(rèn)證子系統(tǒng)。每個(gè)子系統(tǒng)又按照p2dr（policy、protection、detection and response）模型組成一個(gè)完整的、動(dòng)態(tài)的安全威脅相應(yīng)循環(huán)4。任何攻擊無非是攻擊操作系統(tǒng)以上的單個(gè)或者多個(gè)方面，因此通過對(duì)六大子系統(tǒng)實(shí)時(shí)監(jiān)控

20、，最終達(dá)到對(duì)主機(jī)威脅行為識(shí)別.識(shí)別技術(shù)是辨識(shí)和處理的前提。主動(dòng)防御引擎模型圖3（三）辨識(shí)技術(shù)的實(shí)現(xiàn)操作系統(tǒng)向外提供豐富的系統(tǒng)api接口,方便上層應(yīng)用程序?qū)ο到y(tǒng)資源的訪問,開發(fā)各類功能軟件，程序行為指程序或代碼對(duì)操作系統(tǒng)資源如文件系統(tǒng)、注冊(cè)表、內(nèi)存、內(nèi)核、網(wǎng)絡(luò)、服務(wù)、進(jìn)程等的訪問操作。惡意代碼行為特點(diǎn)：非授權(quán)性和破壞性，主要表現(xiàn)為惡意代碼對(duì)系統(tǒng)資源的非授權(quán)訪問或篡改，如信息竊取、建立后門、實(shí)施破壞等行為。了解程序行為和惡意代碼的行為后,通過對(duì)惡意代碼的行為分析，并將惡意代碼必經(jīng)的攻擊點(diǎn)進(jìn)行記錄和分類，豐富到行為庫中,形成一套行為算法庫,通過行為算法庫來判別程序的合法性。其他子系統(tǒng)的行為引擎,也可建立相應(yīng)的模型。識(shí)別技術(shù)是關(guān)鍵。（四）強(qiáng)大的處理能力。在判斷程序的危害性后，可通過取得操作系統(tǒng)底層權(quán)限,對(duì)惡意代碼進(jìn)行處理,對(duì)無法及時(shí)處理的可通過隔離,重啟后刪除。采用系統(tǒng)級(jí)主動(dòng)防御技術(shù)，在異常監(jiān)控技術(shù)上將監(jiān)控范圍擴(kuò)大到操作系統(tǒng)上的六大子系統(tǒng)，包括內(nèi)核系統(tǒng)、應(yīng)用系統(tǒng)、通訊系統(tǒng)、文件及資源系統(tǒng)、賬號(hào)及權(quán)限系統(tǒng)，采用分布式監(jiān)控技術(shù)實(shí)現(xiàn)對(duì)全系統(tǒng)的監(jiān)控。在辨識(shí)決策技術(shù)上是以程序行為算法庫分析判定、智能專家系統(tǒng)、程序可信性計(jì)算等技術(shù)為基礎(chǔ)，采用動(dòng)態(tài)行為跟蹤技術(shù)，依據(jù)惡意程序行為特征算法庫，判定程序的性質(zhì)