反病毒简介
定义
病毒是一种恶意代码,一般通过邮件或文件共享的相关协议进行传播,可感染或附着在应用程序或文件中。病毒可能会占用网络带宽、窃取数据、控制主机权限甚至对主机硬件造成破坏,严重威胁用户设备和网络的安全。除了已知威胁的病毒和漏洞,近年来未知威胁病毒也被广泛应用在APT(Advanced Persistent Threat)攻击事件中。
反病毒(Antivirus)是一种安全机制,包括基于已知威胁的病毒特征检测的反病毒功能以及应对未知威胁的APT防御功能,支持木马、蠕虫、间谍软件、漏洞利用程序、广告软件、黑客工具、Rootkit攻击、后门、灰色软件、僵尸网络程序、勒索软件、钓鱼软件、挖矿软件、网页后门(web shell)程序等的检测。
目的
随着网络技术的不断发展,企业用户越来越频繁地在网络上传输、下载和共享文件,随之而来的病毒威胁也越来越大。
如图1所示,内网用户经常需要访问外网并从外网下载文件,同时,内网部署的服务器也经常会接收到外网用户上传的文件。将设备部署在企业网络的入口处并配置基于特征库的反病毒功能和APT防御后,设备会放行正常文件进入内部网络,并通过阻断、告警等手段对检测出的病毒文件进行干预或提醒。
图1 反病毒示意图
受益
设备上配置的反病毒功能和APT防御在功能上协作互补,由于针对的威胁不同,二者同时使用可以更有力的保障用户主机和网络的安全。
- 通过配置基于特征库的反病毒功能,凭借庞大且不断更新的病毒特征库有效检测和处理恶意软件和间谍软件文件,保护内网用户和服务器免受已知病毒文件的侵害。
- APT防御则需联动沙箱。对于病毒特征库中未更新的未知病毒,设备先向沙箱发送待检测文件,沙箱收到后将该文件的行为和沙箱独有的行为特征库进行匹配,判断出该文件是否为恶意程序。
发表评论