FGT1_07_反病毒.pptx

  1. 1、本文档共43页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
反病毒课程内容概述术语启发式扫描( Heuristic Scanning)沙箱(Sandboxing)僵尸网络连接(Botnet Connections)基于代理扫描(Proxy-Based scanning)基于流扫描(Flow-Based scanning)保护模式内存诊断更多。。。课程目标本课程结束之后,学员可以达到以下目标:了解保护模式的条件和AV系统行为明确FortiGate设备采用的病毒扫描技术代理扫描和流扫描的区别配置病毒扫描通过FortiGuard服务更新病毒库设置灰色软件和启发式扫描提交未知病毒样本到Fortinet描述的病毒扫描操作顺序术语:恶意软件分类( Malware Classifications)恶意软件(Malware)恶意软件主要指:在未经授权的情况下可以改变计算机一些设置的软件病毒(Virus)感染计算机并且能够自我传播不需要用户参与仿照生物病毒行为大小:非常小灰色软件(Grayware)需要用户交互才能安装通常与免费软件进行捆绑安装大小:变化很大(通常较小)恶意软件类型:病毒类型木马传播到其他主机在同样的主机上不复制(仍有可能多重感染)蠕虫传播到其他主机在同一台主机上不断重复复制Types of Malware: Evasion TechniquesEncryptedPayload is encryptedPolymorphicPayload uses changing encryption with each infectionRequires polymorphic engine as part of payloadMetamorphicRewrites payload with each infectionRequires metamorphic engine as part of payload恶意软件类型:行为间谍软件跟踪用户的网站行为广告软件自动植入广告已获得额外的利益勒索限制用户访问和要求支付之后才给予清除后门获得root管理员访问键盘记录器捕获按键邮件群发软件发出大量的电子邮件Antivirus反病毒实时检测和消除病毒,蠕虫,木马和间谍软件组织威胁进入网络扫描 HTTP 和 FTP 流量以及SMTP, POP3,IMAP和其他协议。互联网内容适配协议(ICAP)支持FortiGate作为ICAP客户端和ICAP服务器进行通信,FortiGate能够实现卸载防病毒扫描服务首先在命令行下启用:conf sys global set gui-icap enable end然后在安全配置-?ICAP进行相关设置 Heuristic threshold启发式扫描Virus-like attribute+ Virus-like attribute+ Virus-like attribute启发式扫描测试 “病毒”或“危险”的行为通过匹配病毒特征相似性获得的分值。如果分值高于设置的阀值,此文件就会别标记为可疑有一定误报Suspicious启发式扫描:配置# config antivirus heuristic# set mode [pass|block|disable]# end放过(Pass)启用启发式扫描并且放过被检测的文件拦截(Block)启用启发式扫描并且拦截被检测的文件禁用(Disable)关闭启发式扫描灰色软件扫描# config antivirus setting# set grayware[enable|disable]# end只有启用和禁用两个选项作为病毒扫描流程的一部分将采取病毒扫描相应的动作沙箱通过启发式检测到的可疑文件将被发送到沙箱FortiGuard 或者 FortiSandbox使用沙箱技术实际上是指被检查文件通过在隔离环境中被执行并且监控它的行为,从而来判定他是否是一个新的病毒或者只是一个正常的软件安装。驱动安装也会修改注册表或者系统文件有助于帮助探测0Day漏洞和为FortiGuard反病毒分析提供数据僵尸网络连接FortiGuard 维护一个已知僵尸网络IP地址列表发送到已知的僵尸网络服务器的IP地址的连接将被丢弃僵尸网络的列表,定期通过FortiGuard进行更新需要购买相关服务可以在CLI查看数据库版本 diag autoupdate version基于代理扫描防病毒代理将缓存接收到的文件传输完成之后,才开始病毒扫描检查高精度检测率Comfort Clients 能够被用于避免超时多个数据库选项基于代理扫描:文件大小 VS 检测率大部分的恶意程序很小改变文件大小不会对安全有太大的影响改变文件大小对内存影响很大默认设置大小是10Mb?1mb2mb3mb4mb5mb6mb7mb8mb9mb10mbexploit99.83%99.95%99.97%99

文档评论(0)

tiangou + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档