安全防御第四天知识总结 |
您所在的位置:网站首页 › 黑客病毒的前缀有哪些 › 安全防御第四天知识总结 |
目录 1、什么是恶意软件? (1)按照传播方式分类 (2)按照功能分类 2、 恶意软件的免杀技术有哪些? 3、 反病毒技术有哪些? (1)单机反病毒 (2)网关反病毒 4、反病毒工作原理 5、 反病毒网关的工作过程是什么? 6、 反病毒网关的配置流程是什么? 1、什么是恶意软件?恶意软件 (俗称“流氓软件”)是指未经用户明确提示或允许,在用户电脑或其他终端上安装运行,侵害用户合法权益的软件,但不包含中国法律法规规定的计算机病毒。 简单来说:恶意软件是介于病毒和正规软件之间的软件。 有些流氓软件只是为了达到某种目的,比如广告宣传。这些流氓软件虽然不会影响用户计算机的正常使用,但在当用户启动浏览器的时候会多弹出来一个网页,以达到宣传目的。 (1)按照传播方式分类 病毒 病毒是一种基于硬件和操作系统的程序,具有感染和破坏能力,这与病毒程序的结构有关。病毒攻击的宿主程序是病毒的栖身地,它是病毒传播的目的地,又是下一次感染的出发点。计算机病毒感染的一般过程为: 当计算机运行染毒的宿主程序时,病毒夺取控制权; 寻找感染的突破口; 将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似,它寄生在宿主程序中,进入计算机并借助操作系统和宿主程序的运行,复制自身、大量繁殖。 病毒感染目标包括:硬盘系统分配表扇区 ( 主引导区 ) 、硬盘引导扇区、软盘引导扇区、可执行文(.exe )、命令文件( .com )、覆盖文件( .ovl )、 COMMAND 文件、 IBMBIO 文件、 IBMDOS 文件。 原理: 计算机病毒感染的一般过程为: 当计算机运行染毒的宿主程序时,病毒夺取控制权; 寻找感染的突破 口; 将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似,它寄生在 宿主程序中,进入计算机并借助操作系统和宿主程序的运行,复制自身、大量殖。 主要传播方式∶感染文件传播![]() 例子: 熊猫烧香 " 是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中 exe, com , pif , src , html , asp 等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为 gho的文件。由于被其感染的文件图标会被替换成 " 熊猫烧香 " 图案,所以该病毒被称为 " 熊猫烧香 " 病毒。![]() ![]() 原理: ![]() ![]() ![]() 1.特征码技术 杀毒软件存在病毒特征库,包含了各种病毒的特征码,特征码是一段特殊的程序,从病毒样本中抽取而来,与正常的程序不太一样。把被扫描的信息与特征库进行对比,如果匹配到了特征库,则认为该被扫描信息为病毒。2.行为查杀技术 病毒在运行的时候会有各种行为特征,比如会在系统里增加有特殊后缀的文件,监控用户行为等,当检测到某被检测信息有这些特征行为时,则认为该被检测信息为病毒。 常见的杀毒软件举例 :瑞星金山毒霸 360 安全软件卡巴斯基赛门铁克 Macfee (2)网关反病毒 在以下场合中,通常利用反病毒特性来保证网络安全: 内网用户可以访问外网,且经常需要从外网下载文件。 内网部署的服务器经常接收外网用户上传的文件。 FW 作为网关设备隔离内、外网,内网包括用户 PC 和服务器。内网用户可以从外网下载文件,外网用户 可以上传文件到内网服务器。为了保证内网用户和服务器接收文件的安全,需要在FW 上配置反病毒功能。 在 FW 上配置反病毒功能后,正常文件可以顺利进入内部网络,包含病毒的文件则会被检测出来,并被采 取阻断或告警等手段进行干预。![]() ![]() 3.判断是否命中白名单。命中白名单后,FW将不对文件做病毒检测。 白名单由白名单规则组成,管理员可以为信任的域名、URL、IP地址或IP地址段配置白名单规 则,以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件,每个 反病毒配置文件都拥有自己的白名单。 4.针对域名和 URL ,白名单规则有以下 4 种匹配方式: 前缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的前缀是 “example”就命中白名单规则。后缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的后缀是 “example”就命中白名单规则。 关键字匹配:host-text或url-text配置为“example”的形式,即只要域名或URL中包含 “example”就命中白名单规则。 精确匹配:域名或URL必须与host-text或url-text完全一致,才能命中白名单规则。 5. 病毒检测: 智能感知引擎对符合病毒检测的文件进行特征提取,提取后的特征与病毒特征库中的特征进行 匹配。如果匹配,则认为该文件为病毒文件,并按照配置文件中的响应动作进行处理。如果不 匹配,则允许该文件通过。当开启联动检测功能时,对于未命中病毒特征库的文件还可以上送 沙箱进行深度检测。如果沙箱检测到恶意文件,则将恶意文件的文件特征发送给FW,FW将此 恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时,则按照配置文件中的响应 动作进行处理。 病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特 征进行了定义,同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库 后,即可识别出特征库里已经定义过的病毒。同时,为了能够及时识别出最新的病毒,设备上 的病毒特征库需要不断地从安全中心平台(sec.huawei.com)进行升级。 6.当 NGFW 检测出传输文件为病毒文件时,需要进行如下处理: 判断该病毒文件是否命中病毒例外。如果是病毒例外,则允许该文件通过。 病毒例外,即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生,当 用户认为已检测到的某个病毒为误报时,可以将该对应的病毒ID添加到病毒例外,使该病毒 规则失效。如果检测结果命中了病毒例外,则对该文件的响应动作即为放行。 如果不是病毒例外,则判断该病毒文件是否命中应用例外。如果是应用例外,则按照应用例外 的响应动作(放行、告警和阻断)进行处理。 应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上,同一协议上可以承载 多种应用。 由于应用和协议之间存在着这样的关系,在配置响应动作时也有如下规定: 如果只配置协议的响应动作,则协议上承载的所有应用都继承协议的响应动作。 如果协议和应用都配置了响应动作,则以应用的响应动作为准。 如果病毒文件既没命中病毒例外,也没命中应用例外,则按照配置文件中配置的协议和传输方 向对应的响应动作进行处理。 6、 反病毒网关的配置流程是什么? 反病毒的基本配置思路:![]() 1、 激活license操作 ![]() 2.、加载AV库 在线升级指USG连接到安全服务中心或内网升级服务器下载升级版本。 本地升级指将特征库下载到设备本地,然后进行升级。 设备出厂带有默认AV库和文件信誉库,存在于utm_update.zip文件中,下载该文件至设备, 在诊断试图下执行decompress sdb-default命令,解压默认库,然后执行命令updaterestore sdb-default av-sdb和update restore sdb-default file-reputation加载默认默认AV库 和默认文件信誉库。3、配置AV Profile ![]() ![]() 6.、配置安全策略。进入“策略 > 安全策略 > 新建 > 新建安全策略”。引用反病毒策略。 ![]() 配置文件信誉老化时间 ![]() ![]() |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |