网络防御-防病毒(AV)

防病毒(AV)

防病毒(AV) —— 传统的AV防病毒的方式是对文件进行查杀。

  • 传统的防病毒的方式是通过将文件缓存之后,再进行特征库的比对,完成检测。但是,因为需
    要缓存文件,则将占用设备资源并且,造成转发延迟,一些大文件可能无法缓存,所以,直接
    放过可能造成安全风险。
    在这里插入图片描述

  • 代理扫描 ——文件需要全部缓存 — 可以完成更多的如解压,脱壳之类的高级操作,并且,检
    测率高,但是,效率较低,占用资源较大。

  • 流扫描 —— 基于文件片段进行扫描 — 效率较高,但是这种方法检测率有限。

病毒简介

病毒传播

病毒分类

在这里插入图片描述

病毒杀链

在这里插入图片描述

病毒的工作原理

在这里插入图片描述在这里插入图片描述
在这里插入图片描述

C&C服务器

C&C服务器 —— 命令控制服务器

在这里插入图片描述在这里插入图片描述
在这里插入图片描述

防病毒处理流量

在这里插入图片描述

  1. 进行应用和协议的识别

  2. 判断这个协议是否支持防病毒的检测,如果不是支持的防病毒协议,则文件将直接通过。
    在这里插入图片描述

  3. 之后,需要进行白名单的比对。如果命中白名单,则将不进行防病毒检测,可以同时进行
    其他模块的检测。

  4. 如果没有命中白名单,则将进行特征库的比对。如果比对上了,则需要进行后续处理。
    如果没有比对上,则可以直接放行。
    这个病毒库也是可以实时对接安全中心进行升级,但是,需要提前购买License进行激
    活。

  5. 如果需要进行后续处理,首先进行“病毒例外“的检测。 — 这个病毒例外,相当于是病
    毒的一个白名单,如果是添加在病毒例外当中的病毒,比对上之后,将直接放通。 ---- 过渡
    防护

  6. 之后,进行应用例外的比对。 — 类似于IPS模块中的例外签名。针对例外的应用执行和整
    体配置不同的动作。

  7. 如果没有匹配上前面两种例外,则将执行整体配置的动作。

  • 宣告:仅针对邮件文件生效。仅支持SMTP和POP3协议。对于携带病毒的附件,设备允许
    文件通过,但是,会在邮件正文中添加病毒的提示,并生成日志。
  • 删除附件:仅针对邮件文件生效,仅支持SMTP和POP3协议。对于携带病毒的附件,设备
    会删除掉邮件的附件,同时会在邮件正文中添加病毒的提示,并生成日志。

URL过滤

  • URL ---- 资源定位符
    在这里插入图片描述
  1. 静态网页
  2. 动态网页 ---- 需要于数据库进行结合
    URI ---- 统一资源标识符

URL过滤的方法

  1. 黑白名单 — 如果匹配白名单,则允许该URL请求;如果匹配黑名单,则将拒绝URL请
    求。
  2. 白名单的优先级高于黑名单。

预定义的URL分类

  1. 本地缓存查询
  2. 远程分类服务查询 — 如果进行了远程的查询,则会将查询结果记录在本地的缓存
    中,方便后续的查询。 — 需要购买license才能被激活。

自定义的URL分类 ---- 自定义的优先级高于预定义的优先级的

  • 如果远程分类服务查询也没有对应分类,则将其归类为“其他”,则按照其他的处理逻
    辑执行。
    在这里插入图片描述

URL的识别方式

  • HTTP
    在这里插入图片描述在这里插入图片描述

DNS过滤

在这里插入图片描述
在这里插入图片描述

  • 38
    点赞
  • 43
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CyberSecure

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值