都这麽大了还不快了解防病毒网关?
目錄
一、思考?
二、實驗
1、實驗拓撲
2、配置過程(網頁端配置)
三、總結
1. 什么是惡意軟件?
2. 惡意軟件有哪些特征?
3. 惡意軟件的可分為那幾類?
4. 惡意軟件的免殺技術有哪些?
5. 反病毒技術有哪些?
6. 反病毒網關的工作原理是什么?
7. 反病毒網關的工作過程是什么?
8. 反病毒網關的配置流程是什么??
一、思考?
1. 什么是惡意軟件?
2. 惡意軟件有哪些特征?
3. 惡意軟件的可分為那幾類?
4. 惡意軟件的免殺技術有哪些?
5. 反病毒技術有哪些?
6. 反病毒網關的工作原理是什么?
7. 反病毒網關的工作過程是什么?
8. 反病毒網關的配置流程是什么?
二、實驗
1、實驗拓撲
2、配置過程(網頁端配置)
???
三、總結
1. 什么是惡意軟件?
?定義:指有破壞目的的惡意行為的軟件,可以指代例如病毒、蠕蟲、特洛伊木馬、勒索軟件、間諜軟件、廣告軟件和其他類型的有害軟件,惡意軟件的主要區別就是它符合“故意而為之”,任何無惡意破壞目的的軟件均不屬于惡意軟件;
目的:惡意軟件的總體目標是破壞設備的正常運行,例如未經許可在設備上顯示廣告,或者獲得計算機 root 訪問權限。惡意軟件可能試圖向用戶進行自我掩飾,從而暗自收集信息,或者可能鎖定系統和截留數據以進行勒索;
2. 惡意軟件有哪些特征?
特征
(1)強制安裝:指未明確提示用戶或未經用戶許可,在用戶計算機或其他終端上安裝軟件的行為。
(2)卸載困難:指未提供通用的卸載方式,或在不受其他軟件影響、人為破壞的情況下,卸載后仍然有活動程序的行為。
(3)瀏覽器劫持:指未經用戶許可,修改用戶瀏覽器或其他相關設置,迫使用戶訪問特定網站或導致用戶無法正常上網的行為。
(4)廣告彈出:指未明確提示用戶或未經用戶許可,利用安裝在用戶計算機或其他終端上的軟件彈出廣告的行為。
(5)惡意收集用戶信息:指未明確提示用戶或未經用戶許可,惡意收集用戶信息的行為。
(6)惡意卸載:指未明確提示用戶、未經用戶許可,或誤導、欺騙用戶卸載其他軟件的行為。
(7)惡意捆綁:指在軟件中捆綁已被認定為惡意軟件的行為。
(8)其他侵害用戶軟件安裝、使用和卸載知情權、選擇權的惡意行為。
3. 惡意軟件的可分為那幾類?
類型
(1)病毒:病毒是一種可以嵌入到操作系統或軟件中的惡意程序;受害者需要運行操作系統或打開受感染的文件才能受到影響;(屬于被動類型)
(2)蠕蟲:蠕蟲病毒與普通病毒的區別在于蠕蟲會自我復制并通過網絡進行傳播,因此用戶無需運行任何軟件就能成為受害者,只要連接到受感染的網絡就會中招;(屬于主動類型)
(3)特洛伊木馬:隱藏在一些有用的軟件中,誘使用戶安裝(比如盜版的免付費軟件中感染概率很大)
(4)間諜軟件:間諜軟件用于窺探用戶的行為。間諜軟件可用于監視用戶的 Web 瀏覽活動,向用戶顯示不想要的廣告。一些間諜軟件使用所謂的“鍵盤記錄器”來記錄用戶的擊鍵,從而使攻擊者能夠訪問包括用戶名和密碼在內的敏感信息;
(5)勒索軟件:這種軟件可以對文件乃至計算機或網絡上的整個操作系統進行加密,并讓它們保持加密狀態,直到向攻擊者支付了贖金為止。隨著比特幣和其他加密貨幣的興起,勒索軟件攻擊泛濫成災,因為攻擊者可以匿名接受貨幣并且最大程度地降低被逮捕的風險;
(6)rootkit:Rootkit是一種特殊的惡意軟件,它的功能是在安裝目標上隱藏自身及指定的文件、進程和網絡鏈接等信息,比較多見到的是Rootkit一般都和木馬、后門等其他惡意程序結合使用;
4. 惡意軟件的免殺技術有哪些?
查殺技術原理
(1)檢測特征碼
殺毒軟件都有著一套特征庫,依靠檢索程序代碼是否和庫中特征碼是否吻合來判斷某段代碼是否屬于病毒。
(2)啟發式惡意軟件檢測
程序的特征和行為與病毒程序類似,其匹配程度達到一定值就可以認為該程序是病毒程序。
(3)基于行為檢測
與啟發式檢測類似,只是單純依靠監測程序行為來作為標準。通過監視惡意代碼運行過程,如利用系統監視工具觀察惡意代碼運行過程時系統環境的變化,或通過跟蹤惡意代碼執行過程使用的系統函數和指令特征分析惡意代碼功能,如出現惡意行為,則屬于惡意代碼。?
免殺的含義
免殺就是避免查殺,又叫免殺毒技術,是反病毒,反間諜的對立面,是一種能使得惡意軟件不被殺毒軟件查殺,使之共存的軟件;
免殺技術
<1>文件免殺
(1)改變特征碼:在不影響程序功能的情況下,依靠分片等方法嘗試找出特征碼區域,并對該區域代碼進行編碼(直接修改特征碼的十六進制法、修改字符串大小寫法、等價替換法、指令順序調換法、通用跳轉法);
(2)加花:加入一些花里胡哨(混亂)的指令來迷惑殺軟,讓殺軟檢測不到特征碼,但是一些厲害的殺軟還可以進行識別查殺的;
(3)加殼:給含有惡意軟件特征的程序添加包裝的保護殼,使其無法進行逆向比對病毒庫中的特征碼。但運行時需要載入內存,在載入內存之時,需要先自我脫殼才能運行,因此也能被查殺;
<2>內存免殺
<3>行為免殺---云查殺(預測、感知、查殺惡意行為)
5. 反病毒技術有哪些?
(1)單機反病毒
單機反病毒可以通過安裝殺毒軟件實現也可通過專業的防病毒工具實現
防毒工具:TCP View 、Regmon、Filemon、Process Explorer、Process Monitor等
殺毒軟件:瑞星、金山毒霸、360安全軟件、卡巴斯基、賽門鐵克Symantec、Mcafee等
(2)網關反病毒
通過在防火墻配置反病毒功能來確保正常交互的執行,并識別包含病毒的文件后采取阻斷或告警等方法進行干預
通常在下面的情況下需要使用網關反病毒技術:
- 內網用戶可以訪問外網,且經常需要從外網下載文件
- 內網部署的服務器經常接收外網用戶上傳的文件
6. 反病毒網關的工作原理是什么?
首包檢測技術 - 通過提取PE(Portable Execute;Windows系統下可移植的執行體,包括exe、dll、“sys等文件類型)文件頭部特征判斷文件是否是病毒文件。提取PE文件頭部數據,這些數據通常帶有某些特殊操作,并且采用hash算法生成文件頭部簽名,與反病毒首包規則簽名進行比較,若能匹配,則判定為病毒
- 啟發式檢測是指對傳輸文件進行反病毒檢測時,發現該文件的程序存在潛在風險,極有可能是病毒文件。比如說文件加殼(比如加密來改變自身特征碼數據來躲避查殺),當這些與正常文件不一致的行為達到一定的閥值,則認為該文件是病毒
- 啟發式依靠的是"自我學習的能力",像程序員一樣運用經驗判斷擁有某種反常行為的文件為病毒文件
- 啟發式檢測的響應動作與對應協議的病毒檢測的響應動作相同。啟發式檢測可以提升網絡環境的安全性,消除安全隱患,但該功能會降低病毒檢測的性能,且存在誤報風險,因此系統默認情況下關閉該功能。啟動病毒啟發式檢測功能∶heuristic-detect enable?
- 文件信譽檢測是計算全文MD5,通過MD5值與文件信譽特征庫匹配來進行檢測。文件信譽特征庫里包含了大量的知名的病毒文件的MD5值。華為在文件信譽檢測技術方面主要依賴于文件信譽庫靜態升級更新以及與沙箱聯動自學習到的動態緩存
- 文件信譽檢測依賴沙箱聯動或文件信譽庫
7. 反病毒網關的工作過程是什么?
(1)網絡流量進入智能感知引擎后,首先智能感知引擎對流量進行深層分析,識別出流量對應的協議類型和文件傳輸的方向。
(2)判斷文件傳輸所使用的協議和文件傳輸的方向是否支持病毒檢測。
- NGFW支持對使用以下協議傳輸的文件進行病毒檢測。
- NGFW支持對不同傳輸方向上的文件進行病毒檢測。
- 白名單由白名單規則組成,管理員可以為信任的域名、URL、IP地址或IP地址段配置白名單規則,以此提高反病毒的檢測效率。白名單規則的生效范圍僅限于所在的反病毒配置文件,每個反病毒配置文件都擁有自己的白名單。
- 前綴匹配:host-text或url-text配置為“example”的形式,即只要域名或URL的前綴是 “example”就命中白名單規則。
- 后綴匹配:host-text或url-text配置為“example”的形式,即只要域名或URL的后綴是 “example”就命中白名單規則。
- 關鍵字匹配:host-text或url-text配置為“example”的形式,即只要域名或URL中包含 “example”就命中白名單規則。
- 精確匹配:域名或URL必須與host-text或url-text完全一致,才能命中白名單規則。
- 智能感知引擎對符合病毒檢測的文件進行特征提取,提取后的特征與病毒特征庫中的特征進行匹配。如果匹配,則認為該文件為病毒文件,并按照配置文件中的響應動作進行處理。如果不匹配,則允許該文件通過。當開啟聯動檢測功能時,對于未命中病毒特征庫的文件還可以上送沙箱進行深度檢測。如果沙箱檢測到惡意文件,則將惡意文件的文件特征發送給FW,FW將此惡意文件的特征保存到聯動檢測緩存。下次再檢測到該惡意文件時,則按照配置文件中的響應動作進行處理。
- 病毒特征庫是由華為公司通過分析各種常見病毒特征而形成的。該特征庫對各種常見的病毒特征進行了定義,同時為每種病毒特征都分配了一個唯一的病毒ID。當設備加載病毒特征庫后,即可識別出特征庫里已經定義過的病毒。同時,為了能夠及時識別出最新的病毒,設備上的病毒特征庫需要不斷地從安全中心平臺(sec.huawei.com)進行升級。
- 判斷該病毒文件是否命中病毒例外,如果是病毒例外,則允許該文件通過
- 病毒例外,即病毒白名單。為了避免由于系統誤報等原因造成文件傳輸失敗等情況的發生,當用戶認為已檢測到的某個病毒為誤報時,可以將該對應的病毒ID添加到病毒例外,使該病毒
- 規則失效,如果檢測結果命中了病毒例外,則對該文件的響應動作即為放行
- 如果不是病毒例外,則判斷該病毒文件是否命中應用例外,如果是應用例外,則按照應用例外的響應動作(放行、告警和阻斷)進行處理
- 應用例外可以為應用配置不同于協議的響應動作,應用承載于協議之上,同一協議上可以承載多種應用
- 由于應用和協議之間存在著這樣的關系,在配置響應動作時也有如下規定:
- 如果病毒文件既沒命中病毒例外,也沒命中應用例外,則按照配置文件中配置的協議和傳輸方向對應的響應動作進行處理
8. 反病毒網關的配置流程是什么??
詳見實驗過程
總結
以上是生活随笔為你收集整理的都这麽大了还不快了解防病毒网关?的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【NISP一级】3.3 边界安全防护设备
- 下一篇: 什么是防病毒网关 防病毒网关的功能特点