防御第五次作业

news2025/1/23 10:28:40

一、结合以下问题对当天内容进行总结
1. 什么是恶意软件?

可以指代病毒、蠕虫、特洛伊木马、勒索软件、间谍软件、广告软件和其他类型的有害软件。恶意软件的主要区别在于它必须是故意为恶;任何无意间造成损害的软件均不视为恶意软件。恶意软件的总体目标是破坏设备的正常运行。种破坏目的范围这很广,例如未经许可在设备上显示广告,或者获得计算机 root 访问权限。恶意软件可能试图向用户进行自我掩饰,从而暗自收集信息,或者可能锁定系统和截留数据以进行勒索。在 DDoS 攻击中,Mirai 等恶意软件会感染易受攻击的设备,在攻击者的控制下将其转变为机器人。遭到篡改后,这些设备便可作为僵尸网络的一部分来用于进行 DDoS 攻击。

2. 恶意软件有哪些特征?

间谍软件 - 顾名思义,间谍软件用于窥探用户的行为。间谍软件可用于监视用户的 Web 浏览活动,向用户显示不想要的广告,以及修改联盟营销推广流。一些间谍软件使用所谓的“键盘记录器”来记录用户的击键,从而使攻击者能够访问包括用户名和密码在内的敏感信息。
病毒 - 病毒是一种可以嵌入到操作系统或软件中的恶意程序;受害者需要运行操作系统或打开受感染的文件才能受到影响。
蠕虫 - 与病毒不同,蠕虫会自我复制并通过网络传播,因此用户无需运行任何软件就能成为受害者,只要连接到受感染的网络便已足够。
特洛伊木马 - 这一类恶意软件隐藏在其他有用的软件中,诱使用户安装它们。流行软件的盗版副本常常会感染特洛伊木马。
Rootkit - 这些软件包旨在修改操作系统,以便对用户隐藏他们不想要的安装。一个著名的例子是 2005 年的 Sony Rootkit 丑闻,Sony 售出的 2200 万张音乐 CD 感染了 Rootkit,可以秘密安装旨在破坏购买者计算机上 CD 复制功能的软件。这个 Rootkit 为其他攻击者打开了大门,让他们能够通过其他恶意软件使受感染的计算机成为攻击目标。
勒索软件 - 这种软件可以对文件乃至计算机或网络上的整个操作系统进行加密,并让它们保持加密状态,直到向攻击者支付了赎金为止。随着比特币和其他加密货币的兴起,勒索软件攻击泛滥成灾,因为攻击者可以匿名接受货币并且最大程度地降低被逮捕的风险

3. 恶意软件的可分为那几类?

按照功能分类
后门
具有感染设备全部操作权限的恶意代码。
典型功能∶
文件管理、屏幕监控、键盘监控、视频监控、命令执行等。
典型家族∶
灰鸽子、pCshare
勒索
通过加密文件,敲诈用户缴纳赎金。
加密特点∶
主要采用非对称加密方式
对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密
其他特点∶
通过比特币或其它虚拟货币交易
利用钓鱼邮件和爆破rdp口令进行传播
典型家族∶
Wannacry、GandCrab、Globelmposter
挖矿

攻击者通过向被感染设备植入挖矿工具,消耗被感染设备的计算资源进行挖矿,以获取数字货币收益的
恶意代码。特点∶
不会对感染设备的数据和系统造成破坏。
由于大量消耗设备资源,可能会对设备硬件造成损害。


4. 恶意软件的免杀技术有哪些?

免杀技术又称为免杀毒(Anti Anti- Virus)技术,是防止恶意代码免于被杀毒设备查杀的技术。主流免杀技术如下∶
修改文件特征码
修改内存特征码
行为免查杀技术


5. 反病毒技术有哪些?

单机反病毒、网关反病毒


6. 反病毒网关的工作原理是什么?

首包检测技术
通过提取PE(Portable Execute;Windows系统下可移植的执行体,包括exe、dll、“
sys等文件类型)文
件头部特征判断文件是否是病毒文件。提取PE文件头部数据,这些数据通常带有某些特殊操作,并且采
用hash算法生成文件头部签名,与反病毒首包规则签名进行比较,若能匹配,则判定为病毒。
启发式检测技术
启发式检测是指对传输文件进行反病毒检测时,发现该文件的程序存在潜在风险,极
有可能是
病毒文件。比如说文件加壳(比如加密来改变自身特征码数据来躲避查杀),当这些与正常文
件不一致的行为达到一定的阀值,则认为该文件是病毒。
启发式依靠的是"自我学习的能力",像程序员一样运用经验判断拥有某种反常行为
的文件为病
毒文件。
启发式检测的响应动作与对应协议的病毒检测的响应动作相同。
启发式检测可以提升网络环境
的安全性,消除安全隐患,但该功能会降低病毒检测的
性能,且存在误报风险,因此系统默认
情况下关闭该功能。
启动病毒启发式检测功能∶heuristic-detect enable 。
文件信誉检测技术
文件信誉检测是计算全文MD5,通过MD5值与文件信誉特征库匹配来进行检测。文件信誉特
征库里包含了大量的知名的病毒文件的MD5值。华为在文件信誉检测技术方面主要依赖于文
件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。
文件信誉检测依赖沙箱联动或文件信誉库。
处理过程
1. 网络流量进入智能感知引擎后,首先智能感知引擎对流量进行深层分析,识别出流量对应的协议类
型和文件传输的方向。
2. 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。
NGFW支持对使用以下协议传输的文件进行病毒检测。
FTP(File Transfer Protocol):文件传输协议
HTTP(Hypertext Transfer Protocol):超文本传输协议
POP3(Post Office Protocol - Version 3):邮局协议的第3个版本
SMTP(Simple Mail Transfer Protocol):简单邮件传输协议
IMAP(Internet Message Access Protocol):因特网信息访问协议
NFS(Network File System):网络文件系统
SMB(Server Message Block):文件共享服务器
NGFW支持对不同传输方向上的文件进行病毒检测。
上传:指客户端向服务器发送文件。
下载:指服务器向客户端发送文件。
3. 判断是否命中白名单。命中白名单后,FW将不对文件做病毒检测。
白名单由白名单规则组成,管理员可以为信任的域名、URL、IP地址或IP地址段配置白名单规
则,以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件,每个
反病毒配置文件都拥有自己的白名单。
4. 针对域名和URL,白名单规则有以下4种匹配方式:
前缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的前缀是
“example”就命中白名单规则。
后缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的后缀是
“example”就命中白名单规则。
关键字匹配:host-text或url-text配置为“example”的形式,即只要域名或URL中包含
“example”就命中白名单规则。
精确匹配:域名或URL必须与host-text或url-text完全一致,才能命中白名单规则。
5. 病毒检测:
智能感知引擎对符合病毒检测的文件进行特征提取,提取后的特征与病毒特征库中的特征进行
匹配。如果匹配,则认为该文件为病毒文件,并按照配置文件中的响应动作进行处理。如果不
匹配,则允许该文件通过。当开启联动检测功能时,对于未命中病毒特征库的文件还可以上送
沙箱进行深度检测。如果沙箱检测到恶意文件,则将恶意文件的文件特征发送给FW,FW将此
恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时,则按照配置文件中的响应
动作进行处理。
病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特
征进行了定义,同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库
后,即可识别出特征库里已经定义过的病毒。同时,为了能够及时识别出最新的病毒,设备上
的病毒特征库需要不断地从安全中心平台(sec.huawei.com)进行升级。
6. 当NGFW检测出传输文件为病毒文件时,需要进行如下处理:
判断该病毒文件是否命中病毒例外。如果是病毒例外,则允许该文件通过。
病毒例外,即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生,当
用户认为已检测到的某个病毒为误报时,可以将该对应的病毒ID添加到病毒例外,使该病毒
规则失效。如果检测结果命中了病毒例外,则对该文件的响应动作即为放行。
如果不是病毒例外,则判断该病毒文件是否命中应用例外。如果是应用例外,则按照应用例外
的响应动作(放行、告警和阻断)进行处理。
应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上,同一协议上可以承载
多种应用。
由于应用和协议之间存在着这样的关系,在配置响应动作时也有如下规定:
如果只配置协议的响应动作,则协议上承载的所有应用都继承协议的响应动作。
如果协议和应用都配置了响应动作,则以应用的响应动作为准。
如果病毒文件既没命中病毒例外,也没命中应用例外,则按照配置文件中配置的协议和传输方
向对应的响应动作进行处理。


7. 反病毒网关的工作过程是什么?

1.网络流量进入智能感知引擎后,首先智能感知引擎对流量进行深层分析,识别出流量对应的协议类型和文件传输的方向。
2. 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。
NGFW支持对使用以下协议传输的文件进行病毒检测。
FTP(File Transfer Protocol):文件传输协议
HTTP(Hypertext Transfer Protocol):超文本传输协议
POP3(Post Office Protocol - Version 3):邮局协议的第3个版本
SMTP(Simple Mail Transfer Protocol):简单邮件传输协议
IMAP(Internet Message Access Protocol):因特网信息访问协议
NFS(Network File System):网络文件系统
SMB(Server Message Block):文件共享服务器
NGFW支持对不同传输方向上的文件进行病毒检测。
上传:指客户端向服务器发送文件。
下载:指服务器向客户端发送文件。
3. 判断是否命中白名单。

命中白名单后,FW将不对文件做病毒检测。白名单由白名单规则组成,管理员可以为信任的域名、URL、IP地址或IP地址段配置白名单规则,以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件,每个反病毒配置文件都拥有自己的白名单。
4. 针对域名和URL,白名单规则有以下4种匹配方式:

前缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的前缀是“example”就命中白名单规则。
后缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的后缀是“example”就命中白名单规则。
关键字匹配:host-text或url-text配置为“example”的形式,即只要域名或URL中包含“example”就命中白名单规则。
精确匹配:域名或URL必须与host-text或url-text完全一致,才能命中白名单规则。
5. 病毒检测:

智能感知引擎对符合病毒检测的文件进行特征提取,提取后的特征与病毒特征库中的特征进行匹配。如果匹配,则认为该文件为病毒文件,并按照配置文件中的响应动作进行处理。如果不匹配,则允许该文件通过。当开启联动检测功能时,对于未命中病毒特征库的文件还可以上送沙箱进行深度检测。如果沙箱检测到恶意文件,则将恶意文件的文件特征发送给FW,FW将此恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时,则按照配置文件中的响应动作进行处理。
病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特征进行了定义,同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库
后,即可识别出特征库里已经定义过的病毒。同时,为了能够及时识别出最新的病毒,设备上的病毒特征库需要不断地从安全中心平台(sec.huawei.com)进行升级。
6. 当NGFW检测出传输文件为病毒文件时,需要进行如下处理:

判断该病毒文件是否命中病毒例外。如果是病毒例外,则允许该文件通过。
病毒例外,即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生,当用户认为已检测到的某个病毒为误报时,可以将该对应的病毒ID添加到病毒例外,使该病毒规则失效。如果检测结果命中了病毒例外,则对该文件的响应动作即为放行。
如果不是病毒例外,则判断该病毒文件是否命中应用例外。如果是应用例外,则按照应用例外的响应动作(放行、告警和阻断)进行处理。
应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上,同一协议上可以承载多种应用。
由于应用和协议之间存在着这样的关系,在配置响应动作时也有如下规定:
如果只配置协议的响应动作,则协议上承载的所有应用都继承协议的响应动作。
如果协议和应用都配置了响应动作,则以应用的响应动作为准。如果病毒文件既没命中病毒例外,也没命中应用例外,则按照配置文件中配置的协议和传输方向对应的响应动作进行处理。


8. 反病毒网关的配置流程是什么

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/807960.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

每天一个电商API分享:获取买家订单列表 API buyer_order_list

API name:buyer_order_list 功能介绍:此接口用于获取买家购买的商品订单列表,返回订单ID等数据。需要买家进行cookie授权。 请求参数: 请求参数:page1&tab_codeall 参数说明:page:页码 tab_code:all,…

教雅川学缠论03-分型

原著作者将K线走势分成四中类型,这四中类型,就叫做分型,注意,分型是K线的组合(至少3个K线),如下 下面我们以2023年7月武汉控股日K示例 四个分型用图来表示的话,还是很简单的&…

FPGA学习——查找表(LUT)

查找表又名LUT,英文全称 Look Up Table。查找表有多个输入端口,但只有一个输出端口。 查找表功能上类似于存储体,可以把输入看作地址线,地址对应的“表项”看作输出。 按照输入端口个数的不同,查找表又可具体细分为L…

【RTT驱动框架分析02】-串口驱动分析

串口驱动学习 0.串口驱动的使用方法 //定义一个时间 struct rt_event system_event; #define SYS_EVENT_UART_RX_FINISH 0x00000001 /* UART receive data finish event *//*串口接收回调函数 Receive data callback function */ static rt_err_t uart_input(rt_device_t …

centos7安装tomcat

安装tomcat 必须依赖 JDK 环境,一定要提前装好JDK保证可以使用 一、下载安装包 到官网下载 上传到linux 服务器 二、安装tomcat 创建tomcat 文件夹 mkdir -p /usr/local/tomcat设置文件夹权限 chmod 757 tomcat将安装包上传至 新建文件夹 解压安装包 tar zx…

乐划锁屏充分发挥强创新能力,打造内容业新生态

乐划锁屏作为新型内容媒体,在这一市场有着众多独特的优势,不仅能够通过多场景的联动给内容创作者带来了更多可能性,还促进了更多优质作品的诞生,为用户带来更加丰富多彩的锁屏使用体验。 作为OPPO系统原生的OS应用,乐划锁屏一直致力于打造为用户提供至美内容的内容平台,吸引了全…

Echarts入门实例

Echarts是一个基于JavaScript的开源可视化库,用于构建交互式和可定制的图表和图形。它由百度开发并维护,提供了丰富多样的图表类型和强大的功能,使开发者能够简单快速地创建各种各样的数据可视化。 Echarts支持常见的图表类型,如折…

730. 机器人跳跃问题

输入样例1: 5 3 4 3 2 4输出样例1: 4输入样例2: 3 4 4 4输出样例2: 4输入样例3: 3 1 6 4输出样例3: 3代码 //首先我们要分情况讨论 //1.后面的大:EE-(h-E)2E-h //2.后面的小:…

idea插件开发-自定义语言03-Parse and PSI

在 IntelliJ 平台中解析文件是一个两步过程: 首先,构建抽象语法树 (AST),定义程序的结构。AST 节点由 IDE 在内部创建,具体是由类ASTNode类来创建的。 每个 AST 节点都有一个关联的元素类弄IElementType实例,元素类型…

springboot整合myabtis+mysql

一、pom.xml <!--mysql驱动包--><dependency><groupId>mysql</groupId><artifactId>mysql-connector-java</artifactId></dependency><!--springboot与JDBC整合包--><dependency><groupId>org.springframework.b…

Banana Pi BPI-P2 Zero 开源硬件物联网开发板基准测试和评论

Banana Pi P2 Zero 和 P2 Maker 是基于 Allwinner 的 H3 和 H2 芯片组的廉价主板。它们以低廉的价格提供了一些有趣的功能&#xff0c;具有很大的吸引力&#xff0c;但由于其老化的 32 位架构和平庸的软件支持而有些令人失望。BPi-P2 板最适合作为无头边缘平台&#xff0c;具有…

JAVA SE -- 第十一天

&#xff08;全部来自“韩顺平教育”&#xff09; 异常-Exception 一、异常介绍 1、基本介绍 Java语言中&#xff0c;将程序执行中发生的不正常情况为“异常”&#xff08;开发过程中的语法错误和逻辑错误不是异常&#xff09; 2、执行过程中发生的异常事件可分为两大类 …

ChatGPT与高等教育变革:价值、影响及未来发展

最近一段时间&#xff0c;ChatGPT吸引了社会各界的目光&#xff0c;它可以撰写会议通知、新闻稿、新年贺信&#xff0c;还可以作诗、写文章&#xff0c;甚至可以撰写学术论文。比尔盖茨、马斯克等知名人物纷纷为此发声&#xff0c;谷歌、百度等知名企业纷纷宣布要提供类似产品。…

Windows系统远程桌面访问统信Uos社区版Deepin系统的正确方法

文章目录 0、前言1、安装X11vnc2、安装xrdp3、在Windows中以远程桌面连接3.1、可以以xorg方式远程桌面连接3.2、以vnc方式远程桌面连接黑屏 0、前言 前段时间写了篇博文【UnRaid虚拟机安装Uos家庭版并由Windows远程桌面访问的成功流程】&#xff0c;成功实现远程桌面方式登录U…

用asp.net开发h5网页版视频播放网站,类似优酷,jellyfin,emby

之前用jellyfin开源软件搞了一个视频播放服务器,用来共享给家里人看电影和电视剧,jellyfin虽然各方面功能都很强大,但是界面和使用习惯都很不适合,于是就想着利用下班休息时间做一套自己喜欢的视频网站出来. 本来是打算直接用jellyfin的源码进行修改,源码是用C# netcore 写的服…

安全学习DAY10_HTTP数据包

文章目录 HTTP数据包![请添加图片描述](https://img-blog.csdnimg.cn/32eb72ceb2d6453b94487edb1a940a43.png)Request请求数据包结构Request请求方法&#xff08;方式&#xff09;请求头&#xff08;Header&#xff09;Response响应数据包结构Response响应数据包状态码状态码作…

SQL-每日一题【1050. 合作过至少三次的演员和导演】

题目 ActorDirector 表&#xff1a; 查询合作过至少三次的演员和导演的 id 对 (actor_id, director_id) 示例 1&#xff1a; 解题思路 1.题目要求我们查询出合作过至少三次的演员和导演的 id 对&#xff0c;我们可以 group by 两次来解决这个问题。 2.首先我们按照 actor_id 进…

Pycharm debug程序,跳转至指定循环条件/循环次数

在断点出右键&#xff0c;然后设置条件 示例 for i in range(1,100):a i 1b i 2print(a, b, i) 注意&#xff1a; 1、你应该debug断点在循环后的位置而不是循环上的位置&#xff0c;然后你就可以设置你的条件进入到指定的循环上了 2、设置条件&#xff0c;要使用等于符号…

【C++ 进阶】第 1 章:[C 语言基础] C 语言概述与数据类型

目录 一、C 语言的概述 &#xff08;1&#xff09;计算机结构组成 &#xff08;2&#xff09;计算机系统组成 &#xff08;3&#xff09;ASCII 码 &#xff08;4&#xff09;计算机中的数制及其转换 &#xff08;5&#xff09;程序与指令 &#xff08;6&#xff09;语…

Diffusion扩散模型学习3——Stable Diffusion结构解析-以图像生成图像(图生图,img2img)为例

Diffusion扩散模型学习3——Stable Diffusion结构解析-以图像生成图像&#xff08;图生图&#xff0c;img2img&#xff09;为例 学习前言源码下载地址网络构建一、什么是Stable Diffusion&#xff08;SD&#xff09;二、Stable Diffusion的组成三、img2img生成流程1、输入图片编…