反病毒技术——UTM
UTM简介
UTM(Unified Threat Management)统一威胁管理。 2004年9月,IDC首度提出“统一威胁管理”的概念,即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理(Unified Threat Management,简称UTM)新类别。
UTM是指由硬件、软件和网络技术组成的具有专门UTM用途的设备,它主要提供一项或多项安全功能,将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。
UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。
在华为NGFW中,UTM模块中主要包括了:反病毒AV,入侵检测IPS,URL过滤、文件过滤、内容过滤、邮件过滤、应用行为控制等技术。
反病毒概念:
反病毒是一种安全机制,它可以通过识别和处理病毒文件来保证网络安全,避免由病毒文件而引起的数据破坏、权限更改和系统崩溃等情况的发生。
反病毒功能可以凭借庞大且不断更新的病毒特征库有效地保护网络安全,防止病毒文件侵害系统数据。将病毒检测设备部署在企业网的入口,可以真正将病毒抵御于网络之外,为企业网络提供了一个坚固的保护层。
反病毒原理
智能感知引擎(IAE):
传统UTM是把多个盒子的功能,放在了一个盒子里面。物理上,盒子少了;但是逻辑上仍然是全串行处理,一个盒子里面还是多个盒子的处理流程,每一个安全检测都由一个单独的引擎来处理,每一个报文流都要经过多次检测,每一次检测都必然增加了网络延迟。
病毒检测–基于流的文件检测:
NGFW采用了基于流的文件处理机制,能够接收文件片段并执行安全检测。IAE引擎的安全检测是并行的,这样,文件传输时延小,整体性能更高,用户体验也比较好。
接受到文件后,首先会进行应用识别,然后由对应协议解码模块深度解码,将解码后的各个字段和内容分类送给不同的环节。对于这些片段进行文件识别,如果是压缩的则进行解压,接着对文件进行相应的解码,然后进行安全扫描,通过扫描接触,执行相应的响应动作。
防火墙反病毒检测技术:
首包规则检测技术:首包检测技术通过提取PE文件头部特征判断文件是否是病毒文件。
高危特征检测技术:通过查看整个文件内容,查询更加严格。
NGFW的病毒检测是依靠智能感知引擎来进行的。流量进入智能感知引擎后:
首先智能感知引擎对流量进行深层分析,识别出流量对应的协议类型和文件传输的方向。
判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。
NGFW支持对使用以下7个协议传输的文件进行病毒检测
FTP(File Transfer Protocol):文件传输协议
HTTP(Hypertext Transfer Protocol):超文本传输协议
POP3(Post Office Protocol - Version 3):邮局协议的第3个版本
SMTP(Simple Mail Transfer Protocol):简单邮件传输协议
IMAP(Internet Message Access Protocol):因特网信息访问协议
NFS(Network File System):网络文件系统
SMB(Server Message Block):文件共享服务器
NGFW支持对不同传输方向上的文件进行病毒检测。
上传:指客户端向服务器发送文件。
下载:指服务器向客户端发送文件。
判断是否命中白名单。
命中白名单后,将不对文件做病毒检测。
病毒检测。
智能感知引擎对符合病毒检测的文件进行特征提取,提取后的特征与病毒特征库中的特征进行匹配。如果匹配,则认为该文件为病毒文件,并按照配置文件中的响应动作进行处理。如果不匹配,则允许该文件通过。
了避免由于系统误报等原因造成文件传输失败等情况的发生,当用户认为已检测到的某个病毒为误报时,可以将该对应的病毒ID添加到病毒例外,使该病毒规则失效。如果检测结果命中了病毒例外,则对该文件的响应动作即为放行。
如果不是病毒例外,则判断该病毒文件是否命中应用例外。如果是应用例外,则按照应用例外的响应动作(放行、告警和阻断)进行处理。
应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上,同一协议上可以承载多种应用。例如,HTTP协议上可以承载163.com的应用,也可以承载yahoo.com的应用。
由于应用和协议之间存在着这样的关系,在配置响应动作时也有如下规定:
如果只配置协议的响应动作,则协议上承载的所有应用都继承协议的响应动作。
如果协议和应用都配置了响应动作,则以应用的响应动作为准。
反病毒技术——UTM相关推荐
- 恶意软件与反病毒技术
1.什么是恶意软件 恶意软件是任何软件故意设计造成损害到计算机.服务器.客户端或计算机网络(相比之下,软件导致无意的伤害由于一些缺陷通常被描述为一个软件错误).各种各样的类型的恶意软件存在的,包括计算 ...
- AV(反病毒)技术的演进与规律思索观后感
AV(反病毒)技术的演进与规律思索观后感 首先老师给我们讲述了病毒的表现形式:计算机病毒是人为的编制的一种寄生性的计算机程序.它的危害主要表现为占用系统资源和破坏数据,具有寄生性.传染性.隐蔽性.潜伏 ...
- 【读书小结】—— 基于虚拟机的启发式扫描反病毒技术
既然谈得是虚拟机的启发式扫描反病毒技术,那么就该介绍下虚拟机.启发式扫描的概念. 虚拟机(VM),在反病毒界被称为通用解密器.具体做法是:用程序代码虚拟一个CPU来,同样也虚拟CPU的各个寄存器,甚至 ...
- 恶意软件、恶意软件反杀技术以及反病毒技术的详细介绍
1.恶意软件简单介绍 恶意软件是指在计算机系统上执行恶意任务的病毒.蠕虫和特洛伊木马的程序,通过破坏软件进程来实施控制.腾讯移动安全实验室发布的数据显示,恶意软件由多种威胁组成,会不断弹出,所以需要采 ...
- 计算机病毒与反病毒技术论文
计算机病毒与反病毒技术 摘要 提起计算机病毒,相信绝大多数用户都不会陌生(即使那些没有接触过计算机的人大多也听说过),有些用户甚至还对计算机病毒有着切肤之痛.为此,本人特将有关计算机病毒的定义.起源. ...
- 安全防御第四天知识总结--(恶意软件、反病毒技术)
目录 1.什么是恶意软件? (1)按照传播方式分类 (2)按照功能分类 2. 恶意软件的免杀技术有哪些? 3. 反病毒技术有哪些? (1)单机反病毒 (2)网关反病毒 4.反病毒工作原理 5. 反病毒 ...
- 入侵检测——恶意软件、病毒、防病毒、反病毒技术
目录 1. 什么是恶意软件? 2. 恶意软件有哪些特征? 3. 恶意软件的可分为那几类? 3.1.1按照传播方式分类: 3.1.2按照功能分类: 4. 恶意软件的免杀技术有哪些? 5. 反病毒技术有哪 ...
- 技术分享——反病毒技术介绍与发展
1.1 计算机病毒概念 计算机病毒(Computer Virus)是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码.这是目前对于计算 ...
- 反病毒软件技术简析与探索(2009年5月18日)
<下文是本人大三时期的一篇课外小论文,是基于大量的对杀毒软件杀毒能力的实验结果而写,请勿转载,谢谢.> 摘 要 为什么即使有杀毒软件的保护,还是有那么多的计算机系统遭到病毒的侵袭呢?答案 ...
最新文章
- libsvm 数据预处理 模块化程序
- 编码规范二 缩进与注释
- CV新赛事 | 水下鱼类物种识别
- redis常用命令getex_Redis常用命令
- Tricks(四十)—— 神经网络解决与(或)及异或问题
- cv python 画直线_Python进阶之Matplotlib入门(一)
- “智”在这里,图扑软件解码智慧选煤厂
- rhel7-firewalld端口转发
- 微信推送封面尺寸_微信公众号文章封面图尺寸是多少?如何快速制作封面图?...
- Q4财报净亏损8350.2万美元,Unity何时摆脱亏损“魔咒”?
- 基于XPDL2.0的过程定义
- sina股票接口更新:Kinsoku jikou desu
- 学java怎么做兼职?学Java什么程度才能找兼职?
- 投影仪用光学引擎行业现状调研及趋势分析报告
- 放大电路中的自激震荡及相位补偿方法
- games101 作业4
- Scrapy学习过程之二:架构及简单示例
- 聊聊Benchmark测试【转载】
- R语言之循环(解决老虎机钻石匹配所有符号问题)
- 视频识别训练2.3(实现TensorFlow视频识别)