安全防御(四)--- 恶意软件及其特征、分类、免杀技术,反病毒技术,反病毒网关工作过程及其配置

目录

一、什么是恶意软件?

二、恶意软件有哪些特征?

三、恶意软件的可分为那几类?

四、恶意软件的免杀技术有哪些?

五、反病毒技术有哪些?

六、反病毒网关的工作原理是什么?

七、反病毒网关的工作过程是什么?

八、检测所有用户从公网下载的文件是否携带病毒

反病毒网关的配置流程

1、新建策略

2、新建反病毒配置文件

3、全局配置


一、什么是恶意软件?

恶意软件是旨在恶意破坏网络、计算机、服务器、客户端的正常运行或对其造成损害的软件的统称

二、恶意软件有哪些特征?

  • 下载特征
  • 后门特征
  • 信息收集特性
  • 自身隐藏特性
  • 文件感染特性
  • 网络攻击特性

三、恶意软件的可分为那几类?

按照传播方式分类

  • 病毒
  • 蠕虫
  • 木马

按照功能分类

  • 后门
  • 勒索
  • 挖矿

四、恶意软件的免杀技术有哪些?

  • 修改文件特征码
  • 修改内存特征码
  • 行为免查技术

五、反病毒技术有哪些?

  • 首包检测技术
  • 启发式检测技术
  • 文件信誉检测技术

六、反病毒网关的工作原理是什么?

通过首包检测技术、启发式检测技术、文件信誉检测技术来检测带病毒的文件,然后采取阻断或警告的手段进行干预,从而保证内网用户和服务器接收文件的安全

七、反病毒网关的工作过程是什么?

1、网络流量进入智能感知引擎后,首先智能感知引擎对流量进行深层分析,识别出流量对应的协议类型和文件传输的方向。

2、判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。

3、判断是否命中白名单。命中白名单后,FW将不对文件做病毒检测。

针对域名和URL,白名单规则有以下4种匹配方式:

  • 前缀匹配
  • 后缀匹配
  • 关键字匹配
  • 精确匹配

4、病毒检测:设备对传输文件进行特征提取,并将提取后的特征与病毒特征库中的特征进行匹配。如果匹配成功,则判定该文件为病毒文件,并送往反病毒处理模块进行处理;如果特征不匹配,则直接放行该文件

5、响应处理:设备检测出传输的文件为病毒文件后,通常有如下2种处理动作。

  • 告警:允许病毒文件通过,同时记录病毒日志,供网络管理员分析并采取进一步措施。
  • 阻断:禁止病毒文件通过,同时记录病毒日志,供网络管理员分析并采取进一步措施。

安全防御(四)--- 恶意软件及其特征、分类、免杀技术,反病毒技术,反病毒网关工作过程及其配置_第1张图片

 

八、检测所有用户从公网下载的文件是否携带病毒

反病毒网关的配置流程

1、新建策略

安全防御(四)--- 恶意软件及其特征、分类、免杀技术,反病毒技术,反病毒网关工作过程及其配置_第2张图片

 

2、新建反病毒配置文件

安全防御(四)--- 恶意软件及其特征、分类、免杀技术,反病毒技术,反病毒网关工作过程及其配置_第3张图片

3、全局配置

安全防御(四)--- 恶意软件及其特征、分类、免杀技术,反病毒技术,反病毒网关工作过程及其配置_第4张图片

  • 阻止断点续传功能是为了防止文件下载中断的时候,这时防火墙对其流量是信任的,恢复下载后依然是信任的,然后黑客可以利用这个信任关系在恢复下载之前向文件植入病毒,进而对内网造成破坏
  • 文件解压配置是针对加壳免杀

你可能感兴趣的:(安全防御,安全,网络)