反病毒技术

统一威胁管理(Unified Threat Management)，将防病毒、入侵检测和防火墙安全设备划归统一威胁管理(Unified Threat Management，简称UTM)新类别. 目前，UTM常定义为由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，同时将多种安全特性集成于一个硬件设备里，形成标准的统一威胁管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。

虽然UTM集成了多种功能，但却不一定要同时开启。根据不同用户的不同需求以及不同的网络规模，UTM产品分为不同的级别。也就是说，如果用户需要同时开启多项功能，则需要配置性能比较高、功能比较丰富的产品。

反病毒概念

病毒:

病毒是一种恶意代码,可感染或附着在应用程序或文件中，一般通过邮件或文件共享等协议进行传播，威胁用户主机和网络的安全。有些病毒会耗尽主机资源、占用网络带宽;有些病毒会控制主机权限、窃取用户数据;有些病毒甚至会对主机硬件造成破坏。

反病毒:

反病毒是一种安全机制，它可以通过识别和处理病毒文件来保证网络安全，避免由病毒文件而引起的数据破坏、权限更改和系统崩溃等情况的发生。

病毒威胁场景

内网用户可以访问外网，且经常需要从外网下载文件。
内网部署的服务器经常接收外网用户上传的文件。

常见病毒传播途径

1.电子邮件：HTML正文可能被嵌入恶意脚本;邮件附件携带病毒压缩文件;

2.网络共享：病毒会搜索本地网络中存在的共享，包括默认共享，如ADMINS、IPC$、E$、D$、C$;

3.p2p共享软件：将自身复制到P2P共享文件夹;

4.系统漏洞:由于操作系统固有的一些设计缺陷，导致被恶意用户通过畸形的方式利用后，可执行任意代码。病毒往往利用系统漏洞进入系统，达到传播的目的。
5。广告软件/灰色软件：灰色软件是指不被认为是病毒木马，但对用户的计算机会造成负面影响的软件。比如说广告软件，它们有时候是由用户主动安装，更多的是与其他正常软件进行绑定而被安装。

计算机病毒分类

按照恶意代码功能分类:病毒、蠕虫、木马;
按照传播机制分类:可移动媒体、网络共享、网络扫描、电子邮件、P2P网络;
按照感染对象分类:操作系统、应用程序、设备;
按照携带者对象分类:可执行文件、脚本、宏、引导区。

病毒蠕虫木马对比

常见病毒行为特征

下载与后门
信息收集
自身隐藏
文件感染
网络攻击

反病毒技术原理

单机反病毒

单机反病毒可以通过安装杀毒软件实现，也可以通过专业的防病毒工具实现。

网关反病毒应用场景：

智能感知引擎（IAE）

传统UTM是把多个盒子的功能，放在了一个盒子里面。物理上，盒子少了;但是逻辑上仍然是全串行处理,一个盒子里面还是多个盒子的处理流程,每一个安全检测都由一个单独的引擎来处理,每一个报文流都要经过多次检测，每一次检测都必然增加了网络延迟。
NGFW使用高性能的智能感知引擎(IntelligentAwareness Engine,简称IAE)，实现一体化检测,一体化处理。对于上送的流量，IAE引擎会识别出准确的协议和应用,然后由对应的协议解码模块深度解码，并把解码以后的各个字段和内容分类送给后续的环节,不同类型的内容，检测项也不尽相同,但是多种检测是并行的，速度更快。

NGFW采用了基于流的文件处理机制，能够接收文件片段并执行安全检测。IAE引擎的安全检测是并行的，这样文件传输时延小,整体性能更高，用户体验也比较好。