安全防御第四天知识总结--(恶意软件、反病毒技术)
目录
1、什么是恶意软件?
(1)按照传播方式分类
(2)按照功能分类
2、 恶意软件的免杀技术有哪些?
3、 反病毒技术有哪些?
(1)单机反病毒
(2)网关反病毒
4、反病毒工作原理
5、 反病毒网关的工作过程是什么?
6、 反病毒网关的配置流程是什么?
1、什么是恶意软件?
恶意软件 (俗称“流氓软件”)是指未经用户明确提示或允许,在用户电脑或其他终端上安装运行,侵害用户合法权益的软件,但不包含中国法律法规规定的计算机病毒。
简单来说:恶意软件是介于病毒和正规软件之间的软件。
有些流氓软件只是为了达到某种目的,比如广告宣传。这些流氓软件虽然不会影响用户计算机的正常使用,但在当用户启动浏览器的时候会多弹出来一个网页,以达到宣传目的。
(1)按照传播方式分类
- 病毒
![](/assets/blank.gif)
例子:
![](/assets/blank.gif)
- 蠕虫
![](/assets/blank.gif)
原理:
- 木马
![](/assets/blank.gif)
![](/assets/blank.gif)
(2)按照功能分类
- 典型功能∶文件管理、屏幕监控、键盘监控、视频监控、命令执行等。
- 典型家族∶ 灰鸽子、pCshare
- 加密特点∶ 主要采用非对称加密方式 对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密
- 其他特点∶ 通过比特币或其它虚拟货币交易 利用钓鱼邮件和爆破rdp口令进行传播
- 典型家族∶Wannacry、GandCrab、Globelmposter
- 不会对感染设备的数据和系统造成破坏。
- 由于大量消耗设备资源,可能会对设备硬件造成损害。
2、 恶意软件的免杀技术有哪些?
- 修改文件特征码
- 修改内存特征码
- 行为免查杀技术
3、 反病毒技术有哪些?
(1)单机反病毒
- 单机反病毒可以通过安装杀毒软件实现,也可以通过专业的防病毒工具实现。
- 病毒检测工具用于检测病毒、木马、蠕虫等恶意代码,有些检测工具同时提供修复的功能。
- 常见的病毒检测工具包括:
- TCP View
- Regmon
- Filemon
- Process Explorer
- IceSword
- Process Monitor
- Wsyscheck
- SREng
- Wtool
- Malware Defender
![](/assets/blank.gif)
- 杀毒软件主要通过一些引擎技术来实现病毒的查杀,比如以下主流技术:
1.特征码技术
- 杀毒软件存在病毒特征库,包含了各种病毒的特征码,特征码是一段特殊的程序,从病毒样本中抽取而来,与正常的程序不太一样。把被扫描的信息与特征库进行对比,如果匹配到了特征库,则认为该被扫描信息为病毒。
2.行为查杀技术
- 病毒在运行的时候会有各种行为特征,比如会在系统里增加有特殊后缀的文件,监控用户行为等,当检测到某被检测信息有这些特征行为时,则认为该被检测信息为病毒。
(2)网关反病毒
- 内网用户可以访问外网,且经常需要从外网下载文件。
- 内网部署的服务器经常接收外网用户上传的文件。
![](/assets/blank.gif)
4、反病毒工作原理
- 首包检测技术
- 启发式检测技术
- 启发式检测是指对传输文件进行反病毒检测时,发现该文件的程序存在潜在风险,极有可能是病毒文件。比如说文件加壳(比如加密来改变自身特征码数据来躲避查杀),当这些与正常文件不一致的行为达到一定的阀值,则认为该文件是病毒。
- 启发式依靠的是"自我学习的能力",像程序员一样运用经验判断拥有某种反常行为的文件为病毒文件。
- 启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升网络环境的安全性,消除安全隐患,但该功能会降低病毒检测的性能,且存在误报风险,因此系统默认情况下关闭该功能。
- 启动病毒启发式检测功能∶heuristic-detect enable
- 文件信誉检测技术
- 文件信誉检测是计算全文MD5,通过MD5值与文件信誉特征库匹配来进行检测。文件信誉特征库里包含了大量的知名的病毒文件的MD5值。华为在文件信誉检测技术方面主要依赖于文件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。
- 文件信誉检测依赖沙箱联动或文件信誉库。
![](/assets/blank.gif)
5、 反病毒网关的工作过程是什么?
- 网络流量进入智能感知引擎后,首先智能感知引擎对流量进行深层分析,识别出流量对应的协议类 型和文件传输的方向。
- 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。
- FTP(File Transfer Protocol):文件传输协议
- HTTP(Hypertext Transfer Protocol):超文本传输协议
- POP3(Post Office Protocol - Version 3):邮局协议的第3个版本
- SMTP(Simple Mail Transfer Protocol):简单邮件传输协议
- IMAP(Internet Message Access Protocol):因特网信息访问协议
- NFS(Network File System):网络文件系统
- SMB(Server Message Block):文件共享服务器
- 上传:指客户端向服务器发送文件。
- 下载:指服务器向客户端发送文件。
3.判断是否命中白名单。命中白名单后,FW将不对文件做病毒检测。
- 白名单由白名单规则组成,管理员可以为信任的域名、URL、IP地址或IP地址段配置白名单规 则,以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件,每个 反病毒配置文件都拥有自己的白名单。
- 前缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的前缀是
- “example”就命中白名单规则。后缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的后缀是 “example”就命中白名单规则。
- 关键字匹配:host-text或url-text配置为“example”的形式,即只要域名或URL中包含 “example”就命中白名单规则。
- 精确匹配:域名或URL必须与host-text或url-text完全一致,才能命中白名单规则。
- 智能感知引擎对符合病毒检测的文件进行特征提取,提取后的特征与病毒特征库中的特征进行 匹配。如果匹配,则认为该文件为病毒文件,并按照配置文件中的响应动作进行处理。如果不 匹配,则允许该文件通过。当开启联动检测功能时,对于未命中病毒特征库的文件还可以上送 沙箱进行深度检测。如果沙箱检测到恶意文件,则将恶意文件的文件特征发送给FW,FW将此 恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时,则按照配置文件中的响应 动作进行处理。
- 病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特 征进行了定义,同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库 后,即可识别出特征库里已经定义过的病毒。同时,为了能够及时识别出最新的病毒,设备上 的病毒特征库需要不断地从安全中心平台(sec.huawei.com)进行升级。
- 判断该病毒文件是否命中病毒例外。如果是病毒例外,则允许该文件通过。
- 病毒例外,即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生,当 用户认为已检测到的某个病毒为误报时,可以将该对应的病毒ID添加到病毒例外,使该病毒 规则失效。如果检测结果命中了病毒例外,则对该文件的响应动作即为放行。
- 如果不是病毒例外,则判断该病毒文件是否命中应用例外。如果是应用例外,则按照应用例外 的响应动作(放行、告警和阻断)进行处理。
- 应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上,同一协议上可以承载 多种应用。
- 由于应用和协议之间存在着这样的关系,在配置响应动作时也有如下规定:
- 如果只配置协议的响应动作,则协议上承载的所有应用都继承协议的响应动作。
- 如果协议和应用都配置了响应动作,则以应用的响应动作为准。
- 如果病毒文件既没命中病毒例外,也没命中应用例外,则按照配置文件中配置的协议和传输方 向对应的响应动作进行处理。
6、 反病毒网关的配置流程是什么?
![](/assets/blank.gif)
1、 激活license操作
2.、加载AV库
- 在线升级指USG连接到安全服务中心或内网升级服务器下载升级版本。
- 本地升级指将特征库下载到设备本地,然后进行升级。
- 设备出厂带有默认AV库和文件信誉库,存在于utm_update.zip文件中,下载该文件至设备, 在诊断试图下执行decompress sdb-default命令,解压默认库,然后执行命令updaterestore sdb-default av-sdb和update restore sdb-default file-reputation加载默认默认AV库 和默认文件信誉库。
3、配置AV Profile
![](/assets/blank.gif)
![](/assets/blank.gif)
6.、配置安全策略。进入“策略 > 安全策略 > 新建 > 新建安全策略”。引用反病毒策略。
![](/assets/blank.gif)
- 配置SMTP和POP3协议反病毒检测响应方式为宣告时的宣告信息。
- 配置SMTP和POP3协议反病毒检测响应方式为删除附件时的宣告信息。
- 配置HTTP协议反病毒检测响应方式为阻断时的宣告信息。
配置文件信誉老化时间
- FW对压缩文件进行病毒检测时,先解压缩获得原始文件,然后检测文件是否携带病毒。
- 网络中经常会传输多重压缩文件,FW对这类文件进行病毒检测时,需要经过多层解压缩后才能获得原始 文件,会影响处理性能。
- 选择“对象 > 安全配置文件 > 全局配置”。
- 配置“最大解压层数”,本案例中设置最大解压层数为4层,如下所示。
![](/assets/blank.gif)
- 选择“对象 > 安全配置文件 > 全局配置”。2. 配置“最大解压文件大小”,本案例中设置最大解压文件大小为80M,如下所示。
- 配置“最大解压文件大小”,本案例中设置最大解压文件大小为80M,如下所示。
![](/assets/blank.gif)
安全防御第四天知识总结--(恶意软件、反病毒技术)相关推荐
- 安全防御第四天:防病毒网关
一.恶意软件 1.按照传播方式分类 (1)病毒 病毒是一种基于硬件和操作系统的程序,具有感染和破坏能力,这与病毒程序的结构有关.病毒攻击的宿主程序是病毒的栖身地,它是病毒传播的目的地,又是下一次感染的 ...
- 知识图谱学习笔记四(知识抽取与挖掘)
知识抽取任务以及相关竞赛 知识抽取基本定义 实现自动化构建大规模知识图谱的重要技术.目的在于从不同来源.不同结构的数据中进行知识提取并存储在知识图谱中. 知识抽取子任务 命名实体识别(如: ...
- 信息系统项目管理师第四版知识摘编:第1章 信息化发展
第1章 信息化发展 在新一代信息技术的推动下,人类社会正在加速进入全新发展时期,以智能化.网络化.数字化等为典型特征的新模式.新经济.新业态等正在加速形成,电子政务.消费互联网.工业互联网.智能制造和 ...
- 信息系统项目管理师第四版知识摘编:第8章 项目整合管理
第8章 项目整合管理 项目整合管理包括识别.定义.组合.统一和协调项目管理过程组的各个过程和项目管理活动.在项目管理中,整合管理兼具统一.合并.沟通和建立联系的性质,项目整合管理贯穿项目始终.项目整合 ...
- 恶意软件检测技术综述
2018体系结构安全大作业 申明:转载请注明出处 恶意软件检测技术综述 摘要 本文介绍了恶意软件.恶意软件探测技术和探测器的定义,以及研究它们的现实意义.概述了恶意软件探测技术的具体分类和各个类别的研 ...
- 你需要学好知识图谱——用AI技术连接世界
立即参团 原价 ¥899.00 50人以上 ¥499.00 100人以上 ¥399.00 点击文末阅读原文,立即参团 <知识图谱>第一期 课程简介: 本次的知识图谱课程主要包括三大部 ...
- 详解预训练模型、信息抽取、文本生成、知识图谱、对话系统技术
我们正处在信息爆炸的时代.面对每天铺天盖地的网络资源和论文.很多时候我们面临的问题并不是缺资源,而是找准资源并高效学习.其次,即便网络上的资源非常多,学习是需要成本的,而且越有深度的内容越难找到好的学 ...
- 技术动态 | 藏经阁计划发布一年,阿里知识引擎有哪些技术突破?
本文转载自公众号:阿里技术. 导读:2018年4月阿里巴巴业务平台事业部--知识图谱团队联合清华大学.浙江大学.中科院自动化所.中科院软件所.苏州大学等五家机构,联合发布藏经阁(知识引擎)研究计划. ...
- 知识图谱综述及技术地图概览(智能问答系统)
知识图谱(Knowledge Graph)的概念由谷歌于2012年正式提出,旨在实现更智能的搜索引擎,并且于 2013 年以后开始在学术界和业界普及,并在智能问答.情报分析.反欺诈等应用中发挥重要作用 ...
最新文章
- java代码生成springdao_请JAVA高手推荐个SSH的后台代码生成工具!!要能生成Spring整合Hibernate的DAO类和Service类!...
- Latex注释快捷键
- docker安装Jenkins:查看安装版本信息
- 启动rabbitmq,提示ERROR: node with name rabbit already running on localhost(亲测)
- 使用Hexo搭建博客步骤详解
- OAuth2.0授权协议与客户端授权码模式详解
- Hp Dell服务器硬件监控
- ping,python实现批量ping包工具--小案例v4优化版本
- 手把手教你做个人 app
- ps切图教程 android,PS前端切图完整教程
- Android项目之利用手机传感器做惯性导航
- 精准填报志愿、一分不浪费……靠谱吗?
- Intellij IDEA的激活(使用破解补丁永久激活)
- 计算机应用类专业综合知识模拟卷(七),计算机应用专业综合知识模拟试卷5
- jquery 照片墙抽奖_使用jQuery滑动面板照片墙画廊
- 一起来看新浪的NBA图文直播摆乌龙
- django连接数据库获取数据
- 转行软件测试两年了,听大神说测试前途是IT里最low的,我慌了......
- 2020年度开发者工具Top 100名单!你用过几个...
- wordpress 插件的开发 入门
热门文章
- vue实现前端Excel分页显示
- 邀集业界精英, 威固“威曜会”首届峰会圆满落幕
- 网络方式打电话成趋势 VoLTE、QQ电话密集出现
- Java岗大厂面试百日冲刺 - 日积月累,每日三题【Day40】—— 数据库7
- C++-[override]关键字使用详解
- freemarker获取html模板进行渲染输出
- vo,po,pojo,dto区别
- linux扫描仪安装程序,Linux桌面的4种扫描工具
- 微信企业支付 公众号付款到零钱(二)代码实现
- 益银达-0成本副业月入过万?别跟小红书、抖音博主学,赚不到钱可能还得倒贴