内容安全(AV)

防病毒网关(AV)简介

基于网络侧 识别 病毒文件,工作范围2~7层。这里的网关指的是内网和外网之间的一个关口,在此进行病毒的查杀。在深信服中就有一个EDR设备,该设备就是有两种部署,一个部署在网关,一个部署在终端设备上,能最大限度的保障网络安全。

防病毒(AV) -----传统的AV防病毒的方式是对文件进行查杀。
传统的防病毒的方式是通过将文件缓存之后,再进行特征库的比对,完成检测。但是,因为需要缓存文件,则将占用设备资源,并造成转发延迟。一些大文件可能造成无法缓存,无法缓存就不会进行防病毒检测,就会直接将其放过,可能造成安全风险。

两种扫描方式

代理扫描
文件需要全部缓存。可以完成更多的,如:解压,脱壳之类的高级操作,并且检测率高。但是效率较低,占用资源较大。

流扫描
基于文件片段进行扫描。效率较高,但是这种方法检测率有限。

病毒的分类

 病毒杀链

病毒的工作原理

以下是一些病毒的工作原理,大家可以看一看。

为什么需要反病毒?

        病毒是一种恶意代码,一般通过邮件或文件共享的相关协议进行传播,可附着在应用程序或文件中。有些病毒会耗尽主机资源、恶意占用网络带宽,有些病毒会控制主机权限、窃取用户数据,有些病毒甚至会对主机硬件造成破坏,严重威胁用户主机和网络的安全。随着网络技术的不断发展,网络用户越来越频繁地在网络上传输、下载和共享文件,随之而来的病毒威胁也越来越大。

        通过在网络出口处部署网络安全设备(如防火墙或专门的防病毒网关)并配置反病毒功能,设备会放行正常文件进入内部网络,并通过阻断、告警等手段对检测出的病毒文件进行干预或提醒。此外,网络安全设备上的反病毒功能和用户主机上安装的反病毒软件在功能上协作互补,由于部署位置和所用的病毒特征库不同,二者同时使用可以更有力的保障用户主机和网络的安全。

反病毒的工作流程

        华为网络安全设备利用专业高效的智能感知引擎和不断更新的病毒特征库实现对病毒文件的检测和处理,反病毒功能的工作流程大体可以分为3部分。(反病毒的核心就是与病毒特征库进行特征匹配)

反病毒处理流程

1、应用协议识别:病毒一般是通过邮件或文件共享等协议进行传播的,所以病毒检测的前提是识别出病毒文件使用的协议及文件传输的方向

2、病毒检测:设备对传输文件进行特征提取,并将提取后的特征与病毒特征库中的特征进行匹配。如果匹配成功,则判定该文件为病毒文件,并送往反病毒处理模块进行处理;如果特征不匹配,则直接放行该文件

3、响应处理:设备检测出传输的文件为病毒文件后,通常有如下2种处理动作。

        告警:允许病毒文件通过,同时记录病毒日志,供网络管理员分析并采取进一步措施。

        阻断:禁止病毒文件通过,同时记录病毒日志,供网络管理员分析并采取进一步措施。

几类常见的文件协议:

补充:反病毒库是可以进行升级的,但是需要提前购买License进行激活 

如何有效反病毒?

反病毒的关键在于构建完整的反病毒体系和提升网络用户的安全意识。

  1. 内网中所有的网络终端包括电脑主机、服务器和接入网络的手机等都需要安装杀毒软件。
  2. 网络关键位置如互联网出口和服务器区域出口需要部署网络安全设备(如防火墙或专门的防病毒网关),防止病毒在网络层面的传播和扩散。对安全性要求较高的系统还可以在每个局域网出口都部署网络安全设备,防止病毒在局域网间扩散。
  3. 网络管理系统能够集中管理终端的杀毒软件和网络中的网络安全设备,并能够及时更新它们的病毒特征库。
  4. 每个人要提升安全意识,不要随意打开外网邮件中的附件和链接,不要访问可能携带病毒的非法网站。

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/834004.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C# 局部静态函数,封闭方法中的最佳选择

C# 局部静态函数,封闭方法中的最佳选择 简介特性 应用场景辅助计算递归与尾递归优化筛选与过滤操作查找与映射操作 生命周期静态局部函数 vs 普通局部函数性能封装性可读性 简介 C# 局部静态函数(Local Static Functions)是一种函数作用域内…

51单片机keil编程中遇到的问题(持续更新)

字符无法打印报错 查看特殊功能寄存器名字的时候也会报错,因为无法编译通过,导致头文件的定义内容无法查找 keil编译中 error C127: ‘xx’: invalid storage class 这种一般是在编写头文件或源文件时,在声明函数的结尾没有添加分号&…

在阿里云K8S容器中,部署websocket应用程序的总结

一、背景 有一个websocket应用程序,使用spring boot框架开发,http端口号是6005,提供的是websocket服务,所以它还监听一个8889端口的tcp协议。 现在要把它部署到阿里云的k8s容器里,本文着重描述service层的配置。 因…

深度解析GoLand map原理及实现,手撕源码!(一)——基本介绍,初始化,读

深度解析GoLand map原理及实现,手撕源码!(一)——基本介绍,初始化,读 一、map(1) map的初始化:(2) map的基本方法:(3) map的核心原理(4) map源码详解4.1 结构体4.1.1 hmap4.1.2 mape…

《intel开发手册卷1》学习笔记1

1、操作模式 IA-32架构支持三种基本操作模式:保护模式、实地址模式和系统管理模式。操作模式决定了哪些指令和体系结构功能是可访问的: 1)保护模式:该模式是处理器的自然状态。保护模式的功能之一是能够在受保护的多任务环境中直接执行“实地址模式”80…

Mac 电脑安装 Raptor 流程图软件的方法

0. 安装逻辑 (1)运行 raptor,本质上需要 mac 能够运行 windows 程序,因此需要安装 .NET Runtime 7.0,这是微软程序运行必须的文件。 (2)运行 raptor 还需要安装依赖文件 mono-libgdiplus。 &am…

RabbitMQ - 以 MQ 为例,手写一个 RPC 框架 demo

目录 前言 一、再谈自定义应用层协议 二、再谈 BrokerServer 三、再谈 Connection、Channel 四、Demo a)启动服务器 b)客户端连接 前言 本篇文章来自于笔者之前写过的一个系列 —— “根据源码,模拟实现 RabbitMQ” 系列&#xff0c…

Linux-笔记 常用命令

(持续更新) 1、压缩: tar -vcjf test1.tar.bz2 test1 tar -vczf test1.tar.gz test1 2、解压 tar -vxjf test1.tar.bz2 tar -vxzf test2.tar.gz 3、查找 find [路径] [参数] [文件名] : find / -name test* grep [参数] 关键字 路径&a…

JS中数组去重的几种方法

在JavaScript中,有多种方法可以实现数组去重。以下是一些常见的方法: 1,使用ES6的Set数据结构 Set数据结构只允许存储唯一的值(无论是原始值或者是对象引用),因此是数组去重的理想选择。 let arr [1, 2…

CentOs9编译C指令报错的一种解决方案

今天使用centos9编译c代码时,显示bash: gcc: command not found... 下图是我的报错页面,依据提示信息安装gcc之后依旧显示失败 找到其中一种解决方式,完美解决,供参考 输入以下指令更新软件包列表,这里需要等待几分…

MT3031 AK IOI

思路:把每个节点存到堆(大根堆)里。 如果节点放入后总时间没有超过m则放入堆中;如果总时间超过了,就看堆头元素是否比新元素大。如果大,则删除堆头(反悔贪心)。 注意别忘记开long l…

keystone学习小结

1 keystone middleware 1.1 工作流程 middleware在客户端和服务端之间,会拦截客户端请求并判断请求身份是否是正确合法的,若是,则继续将请求发给其他middleware或app 具体看,干了这些事 1将请求里的auth header去除&#xff0c…

毕业论文画图软件推荐

给大家分享了一些毕业论文画图软件,仅供参考! 1.Microsoft visio 推荐指数:⭐️⭐️⭐️⭐️ ✅优点: -功能真的多且强大 -反正功能真的挺全的比较细节,但好像没有模板? ❌缺点: -不好安装,需要激活使用 -文件大&…

爬虫:爬取豆瓣电影

文章目录 前言一、pandas是什么?二、使用步骤 1.引入库2.读入数据总结 前言 上篇我们将到如何利用xpath的规则,那么这一次,我们将通过案例来告诉读者如何使用Xpath来定位到我们需要的数据,就算你不懂H5代码是怎么个嵌套或者十分复…

C++新特性-线程

主要内容 thread、condition、mutexatomicfunction、bind使用新特性实现线程池(支持可变参数列表)异常协程其他 1 C11多线程thread 重点: join和detach的使用场景thread构造函数参数绑定c函数绑定类函数线程封装基础类互斥锁mutexconditi…

计算机组成原理网课笔记

无符号整数的表示与运算 带符号整数的表示与运算 原反补码的特性对比 移码

搜狗输入法 PC端 v14.4.0.9307 去广告绿化版.

软件介绍 搜狗拼音输入法作为众多用户计算机配置的必备工具,其功能的全面性已为众所周知,并且以其高效便捷的输入体验受到广大使用者的青睐。然而,该软件在提供便利的同时,其内置的广告元素常常为用户带来一定的干扰。为此&#…

Linux中动态库的用法及优缺点?怎样制作动态库和静态库?

一、什么是gcc gcc的全称是GNU Compiler Collection,它是一个能够编译多种语言的编译器。最开始gcc是作为C语言的编译器(GNU C Compiler),现在除了c语言,还支持C、java、Pascal等语言。gcc支持多种硬件平台. 在 Linux…

PostgreSQL-常用函数和操作符

PostgreSQL 中文社区 PL/pgSQL 是 PostgreSQL 中的一种存储过程语言,它支持许多常用的函数和操作符。下面列举了一些常用的 PL/pgSQL 函数和操作符: 1. 常用函数: RAISE:用于在存储过程中抛出异常。 RAISE EXCEPTION Error oc…

航空电子ARINC818采集卡

ARINC818采集卡是针对航空电子数字视频总线协议(Avionics Digital Video BUS,ADVB)的高性能PCIe视频光纤采集测试设备。ARINC818协议主要应用于机载设备间的实时高清图像传输,目前已经成功应用于多款民用、军用机型当中&#xff0…