FGT1_07_反病毒.pptx

反病毒课程内容概述术语启发式扫描（ Heuristic Scanning）沙箱（Sandboxing）僵尸网络连接（Botnet Connections）基于代理扫描（Proxy-Based scanning）基于流扫描（Flow-Based scanning）保护模式内存诊断更多。。。课程目标本课程结束之后，学员可以达到以下目标：了解保护模式的条件和AV系统行为明确FortiGate设备采用的病毒扫描技术代理扫描和流扫描的区别配置病毒扫描通过FortiGuard服务更新病毒库设置灰色软件和启发式扫描提交未知病毒样本到Fortinet描述的病毒扫描操作顺序术语：恶意软件分类（ Malware Classifications）恶意软件（Malware）恶意软件主要指：在未经授权的情况下可以改变计算机一些设置的软件病毒（Virus）感染计算机并且能够自我传播不需要用户参与仿照生物病毒行为大小：非常小灰色软件（Grayware）需要用户交互才能安装通常与免费软件进行捆绑安装大小：变化很大（通常较小）恶意软件类型：病毒类型木马传播到其他主机在同样的主机上不复制(仍有可能多重感染)蠕虫传播到其他主机在同一台主机上不断重复复制Types of Malware: Evasion TechniquesEncryptedPayload is encryptedPolymorphicPayload uses changing encryption with each infectionRequires polymorphic engine as part of payloadMetamorphicRewrites payload with each infectionRequires metamorphic engine as part of payload恶意软件类型：行为间谍软件跟踪用户的网站行为广告软件自动植入广告已获得额外的利益勒索限制用户访问和要求支付之后才给予清除后门获得root管理员访问键盘记录器捕获按键邮件群发软件发出大量的电子邮件Antivirus反病毒实时检测和消除病毒，蠕虫，木马和间谍软件组织威胁进入网络扫描 HTTP 和 FTP 流量以及SMTP, POP3,IMAP和其他协议。互联网内容适配协议（ICAP）支持FortiGate作为ICAP客户端和ICAP服务器进行通信，FortiGate能够实现卸载防病毒扫描服务首先在命令行下启用：conf sys global set gui-icap enable end然后在安全配置-?ICAP进行相关设置 Heuristic threshold启发式扫描Virus-like attribute+ Virus-like attribute+ Virus-like attribute启发式扫描测试 “病毒”或“危险”的行为通过匹配病毒特征相似性获得的分值。如果分值高于设置的阀值，此文件就会别标记为可疑有一定误报Suspicious启发式扫描：配置# config antivirus heuristic# set mode [pass|block|disable]# end放过（Pass）启用启发式扫描并且放过被检测的文件拦截（Block）启用启发式扫描并且拦截被检测的文件禁用（Disable）关闭启发式扫描灰色软件扫描# config antivirus setting# set grayware[enable|disable]# end只有启用和禁用两个选项作为病毒扫描流程的一部分将采取病毒扫描相应的动作沙箱通过启发式检测到的可疑文件将被发送到沙箱FortiGuard 或者 FortiSandbox使用沙箱技术实际上是指被检查文件通过在隔离环境中被执行并且监控它的行为，从而来判定他是否是一个新的病毒或者只是一个正常的软件安装。驱动安装也会修改注册表或者系统文件有助于帮助探测0Day漏洞和为FortiGuard反病毒分析提供数据僵尸网络连接FortiGuard 维护一个已知僵尸网络IP地址列表发送到已知的僵尸网络服务器的IP地址的连接将被丢弃僵尸网络的列表，定期通过FortiGuard进行更新需要购买相关服务可以在CLI查看数据库版本 diag autoupdate version基于代理扫描防病毒代理将缓存接收到的文件传输完成之后，才开始病毒扫描检查高精度检测率Comfort Clients 能够被用于避免超时多个数据库选项基于代理扫描：文件大小 VS 检测率大部分的恶意程序很小改变文件大小不会对安全有太大的影响改变文件大小对内存影响很大默认设置大小是10Mb?1mb2mb3mb4mb5mb6mb7mb8mb9mb10mbexploit99.83%99.95%99.97%99