反病毒网关

1. 什么是恶意软件？

恶意软件(Malware)是一类设计用来在未经授权的情况下访问、损害、控制或盗用计算机系统的软件。它是网络世界中的一个重大安全威胁。

 2. 恶意软件有哪些特征？

1. 恶意目的:是指通过软件来实现非法或恶意行为,如盗窃隐私信息、篡改系统、监视用户等。

2. 未经授权:是指未经系统或用户明确允许即安装自身或进行各种操作。

3. 隐蔽性:设计得非常隐蔽并具有一定的智能化绕过防护机制,不易被发现。

4. 自动化:具有自动复制、传播和执行恶意代码的能力,不需要人为干预。

3. 恶意软件的可分为那几类？

1. 病毒(Virus):可以自身复制并感染软件和系统的恶意代码。

2. 蠕虫(Worm):通过网络自我复制并传播的恶意软件。

3. 木马(Trojan):伪装成正规软件来获知用户权限的恶意软件。

4. 僵尸软件(Botnet):被入侵的设备中安装的远程控制恶意软件。

5. 勒索软件(Ransomware):加密用户数据和限制访问的恶意软件。

6. 远控工具(RAT):可以远程控制和监视的恶意工具软件。

7. 网络木马(Web Trojan):藏于网页或网站中用于感染用户的恶意代码。

8. 混合型(Hybrid):综合使用以上多种恶意软件的技术手段。

4. 恶意软件的免杀技术有哪些？

1. 文件隐藏:使用根系隐藏技术将恶意文件隐藏起来,隐藏文件属性、文件名等,使其不被杀毒软件枚举和检测到。、

2. 加壳技术:使用壳程序将恶意代码封装起来,通过自定义解包技术在运行时才释放代码,以绕过静态检测。

3. 进程隐藏:隐藏恶意进程名、PID等信息,修改进程属性等手段来隐藏恶意进程,逃避进程检测。

4. ROOTKIT技术:安装ROOTKIT来隐藏文件、进程和网络连接等,修改系统调用来操控操作系统,达到绕过杀毒软件检测的目的。

5. 加密变种:使用不同的加密算法来生成大量不同的恶意变种,使杀毒软件无法对所有变种进行检测。

6. 间接代码执行:不直接运行恶意代码,而是运行一段捆绑代码来解密和执行恶意代码,绕过静态检测。

7. 环境检测:在运行前先检测运行环境,如果发现杀毒软件或虚拟机环境则不执行,以避开检测。

8. 时间差执行:不是立即运行而是设置定时执行或条件触发执行,此时杀毒软件可能已经结束检测,造成检测漏洞。

9. 反调试技术:检查系统中是否运行调试器,如果运行则修改控制流以阻止调试,避免恶意代码被调试或跟踪。

10. «Zero-day»漏洞:使用最新的未公开漏洞来实现免杀,此时杀毒软件还无法对这些新漏洞进行检测,造成检测盲区。

5. 反病毒技术有哪些？

1. 病毒特征码签名 - 通过提取病毒文件的特征码来识别病毒,这是最常用的方法。反病毒软件维护一个病毒特征码数据库,通过比对文件特征码来判断是否病毒。

2. 沙盒技术 - 在一个隔离的虚拟环境中运行疑似病毒文件,监控其行为来判断是否病毒。如果在沙盒中检测到恶意行为,则判定为病毒。

3. 堆栈检查 - 监控程序运行时堆栈的变化,如果检测到病毒特征的系统调用或指令,则判定为病毒。4. 病毒定义检测 - 根据病毒的定义和特征来检测,比如检查 startup 目录的修改,注册表的修改等。

5. 病毒行为检测 - 监控程序运行时的行为,如果检测到典型的病毒行为,如修改大量文件、大量网络连接、修改系统设置等,则判定为病毒。

6. 病毒聚类与关联分析 - 通过对大量病毒特征和行为的统计分析,来找到病毒之间的相似性和关联,以发现新的病毒。

7. 基于机器学习的检测 - 使用机器学习算法来自动学习和检测病毒,这是近年来反病毒技术发展的方向。

6. 反病毒网关的工作原理是什么？

首包检测技术

通过提取PE（Portable Execute;Windows系统下可移植的执行体，包括exe、dll、“
sys等文件类型）文件头部特征判断文件是否是病毒文件。提取PE文件头部数据，这些数据通常带有某些特殊操作，并且采用hash算法生成文件头部签名，与反病毒首包规则签名进行比较，若能匹配，则判定为病毒。
启发式检测技术

启发式检测是指对传输文件进行反病毒检测时，发现该文件的程序存在潜在风险，极有可能是病毒文件。比如说文件加壳（比如加密来改变自身特征码数据来躲避查杀），当这些与正常文件不一致的行为达到一定的阀值，则认为该文件是病毒。启发式依靠的是"自我学习的能力"，像程序员一样运用经验判断拥有某种反常行为的文件为病毒文件。启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升网络环境的安全性，消除安全隐患，但该功能会降低病毒检测的
性能，且存在误报风险，因此系统默认情况下关闭该功能。
启动病毒启发式检测功能∶heuristic-detect enable 。
文件信誉检测技术

文件信誉检测是计算全文MD5，通过MD5值与文件信誉特征库匹配来进行检测。文件信誉特征库里包含了大量的知名的病毒文件的MD5值。华为在文件信誉检测技术方面主要依赖于文件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。文件信誉检测依赖沙箱联动或文件信誉库。

7. 反病毒网关的工作过程是什么？

1. 流量监控 - 网关通过网络接口实时捕获、复制入站和出站数据包,并进行解析与检查,监控网络连接建立与结束等流量信息。

2. 流量过滤 - 根据预定义的规则对正常流量(如HTTP、DNS等)进行过滤,对疑似攻击流量(如DDOS)进行阻断,然后将剩余未知可疑流量进行下一步检测。

3. 特征码检测 - 比较流量数据包、文件特征码与病毒特征库,看是否存在匹配,如果找到匹配则表明包含病毒,应予以阻断。

4. 堆栈与行为检测 - 在沙盒中运行流量中的可执行文件,监控其系统调用、内存使用、注册表修改及其它行为特征,判断是否存在病毒行为。

5. 沙盒检测 - 在隔离的虚拟环境执行并监控文件或代码,看是否试图访问受限资源、修改系统文件或其它恶意行为,是则判定包含病毒。

6. 关联分析 - 根据曾感染主机、爆发时间与地点等,判断新检出事件是否与历史事件或高危主机存在关联,帮助判断其威胁等级。

7. 阻断与隔离 - 网关发现病毒后会立即拦截相关网络连接并阻断数据流传输,同时通知管理员隔离受感染主机,以防止病毒继续感染。

8. 报告与更新 - 网关会生成检测报告,包括检出事件、处理结果、威胁分析等信息。并从供应商处获取最新病毒特征与规则,持续更新网关的本地特征库与策略。

9. 日志记录 - 网关会记录流量监控、检测、过滤、阻断等详细过程信息,以支持对事件的审计与分析,并不断优化网关的策略与规则。

8. 反病毒网关的配置流程是什么？

1. 选择工作模式 - 可以选择防火墙模式(仅过滤流量)、IDS 模式(检测留痕)或 IPS 模式(检测并阻断)等。

2. 设置网络接口 - 配置网关的网络接口,包括入站接口、出站接口、管理接口、隔离接口等。设置 IP 地址、网段、速率限制等。

3. 配置病毒特征库 - 选择并启用病毒特征库,包括病毒名、病毒类型(木马、蠕虫等)以及更新频率等。

4. 创建沙盒参数 - 设置沙盒工作目录、容许运行时间、内存使用量上限、系统调用限制等参数。

5. 编辑检测规则 - 根据具体需求添加和编辑自定义检测规则,如针对特定文件的检测规则或流量检测规则等。

6. 设置过滤规则 - 添加网络流量过滤规则,如过滤正常DNS查询、HTTP访问等,阻断已知攻击如DDOS等。规则可以按主机、端口、协议、内容等进行匹配。

7. 配置阻断方式 - 设置在检测到病毒或攻击后,网关采取的响应行为,如阻断主机或网络、重定向流量等。

8. 日志记录 - 配置日志记录规则,包括日志类型(监控、检测、过滤等日志)、日志输出(控制台、文件、syslog 等)、记录时段等。

9. 其他设置 - 还需要配置系统时间、管理员账号、 SNMP 监控、邮件报警等其他设置。

10. 测试验证 - 完成配置后需要对网关进行全面测试,确认各项功能、规则和响应均工作正常,然后才正式上线提供防护。