1.一種Windows下智能化主動防御系統，其特征在于包括主動防御子系統和機器學習子系統；主動防御子系統用于監測系統中程序的關鍵行為；機器學習子系統用于實現自我學習、惡意行為智能化判定的功能；

主動防御子系統具有惡意程序監視和惡意程序清除功能；主動防御子系統利用內核Hook過濾驅動等方式，進行程序關鍵行為的監視和過濾；惡意程序清除功能依靠一些常見的Anti?Rootkit手段，通過獲取到最高的系統權限，對惡意程序進行有效的清除；

機器學習子系統還包括機器學習引擎和沙盒Sandbox；其中，

機器學習引擎，是機器學習子系統的核心，用于進行惡意行為的自我學習和智能化判定，通過主動防御系統生成的行為狀態序列，交給機器學習引擎進行以學習到的知識進行判定，并可以人工進行結果的檢驗和校正；

Sandbox主要是創建一個虛擬化的執行環境，用于生成初始的調用狀態序列以便于機器學習引擎進行訓練；也是通過一些內核掛鉤和過濾驅動，但不僅需要進行監視程序行為，為了保證對真實的系統不產生影響，還需要對一些程序的關鍵行為重定向到可控制的存儲區，在程序結束后可進行清除。

2.應用權利要求1所述智能化主動防御系統進行防御的方法，其特征在于包括以下步驟：

步驟1，首先在服務器上部署整個機器學習引擎核心，并將服務器為中心與客戶機和后臺控制機連接；

步驟2，在后臺控制器上部署Sandbox模塊，并建立黑名單與白名單列表庫，并將已知的系統文件MD5值寫入白名單，將常見的惡意程序的MD5值寫入黑名單；

步驟3，在Sandbox中運行1000個左右的樣本，將產生的結果報告傳輸到機器學習引擎核心服務器，作為初始輸入；根據機器學習的結果與已知的樣本性質進行對比，將不一致的強制寫入黑白名單中，進行人工校準，保證訓練的準確性；

步驟4，完成初始化訓練后，可以在每個客戶機上部署主動防御系統，部署完畢即可隨系統而啟動；

步驟5，在部署的客戶機上由主動防御系統進行實時監控，對于當前內存中存在的所有可執行代碼文件的MD5值上傳至后臺控制器中；對于白名單中存在的文件直接放過，對于黑名單中存在的文件直接進行清除；

步驟6，將存在未知可執行文件的進程的狀態序列報告上傳至機器學習引擎服務器，由機器學習引擎進行智能判斷；如果屬于正常狀態轉至步驟7，存在異常行為轉至步驟8；

步驟7，將狀態正常的信息反饋給主動防御系統，系統放過該進程所有行為，并將未知文件上傳至后臺控制器中的隔離區；

步驟8，將異常的信息反饋給客戶機，由主動防御系統定位發生異常行為的可執行文件，并將其MD5寫入黑名單，然后再把所有未知的文件上傳至后臺控制器的隔離區；

步驟9，定期由技術人員檢查抽樣隔離區中的文件，并與機器學習的結果作對比，并修正黑白名單，保證機器學習訓練過程中的正確性，使其識別率愈來愈準確，越少需要人為干涉，只需少量的人力即可維護整個系統的正確性。