常见杀毒软软件与防火墙比较.ppt

常见杀毒软件与防火墙的比较 三,防火 软件的 Windows Sevens 四用户配 三么是杀毒软件 杀毒软件,也称反病毒软件或防毒软件, 是用于消除电脑病毒、特洛伊木马和恶意 软性的类软件。杀毒软件通常集成监控 识别、病毒扫描和清除和自动升级等功能, 有的杀毒软件还带有数据恢复等功能,是 算机防御系统(包含杀毒软件,防夾墙, 特洛伊木马和其他恶意软件的查杀程序, 入侵预防系统等)的重要组成部分。 杀毒软件的工作原理 在与病毒的对抗中,及早发现病毒很重要 早发现,早处置,可以减少损失。检测病 毒方法有 等。这些方法依 据的原理不同,实现时所需开销不同,检 测范围不同,各有所长。 特征代码法 打开被检测文件,在文件中搜索,检查文件中是 否含有病毒数据库中的病毒特征代码。如果发现 病毒特征代码,由于特征代码与病毒一一对应 便可以断定,被査文件中患有何种病毒。特征代 码法被早期应用于病毒检测工具中。国外专家认 为特征代码法是检测已知病毒的最简单、开销最 小的方法。 特征代码法的优点是:检测准确快速、可识别病 毒的名称、误报警率低、依据检测结果,可做解 毒处理 特征代码法的缺点是:不能检测未知病毒、搜集 已知病毒的特征代码,费用开销大、在网络上效 返回 校验和法 将正常文件的内容,计算其校验和,将该校验和 写入文件中或写入别的文件中保存。在文件使用 过程中,定期地或每次使用文件前,检査文件现 在内容算出的校验和与原来保存的校验和是否 致,因而可以发现文件是否感染,这种方法叫校 验和法,它既可发现已知病毒又可发现未知病毒 校验和法的优点是:方法简单能发现未知病毒 被査文件的细微变化也能发现。 校验和法的缺点是:发布通行记录正常态的校验 和、会误报警、不能识别病毒名称、不能对付隐 蔽型病毒。 返回 行为监测法 利用病毒的特有行为特征性来监测病毒的方法, 称为行为监测法。通过对病毒多年的观察、研究, 有一些行为是病毒的共同行为,而且比较特殊。 在正常程序中,这些行为比较罕见。当程序运行 时,监视其行为,如果发现了病毒行为,立即报 行为监测法的优点:可发现未知病毒、可相当准 确地预报未知的多数病毒, 行为监测法的缺点:可能误报警、不能识别病毒 名称、实现时有一定难度。 返回 启发式查毒技术 启发式指“自我发现的能力”或“运用某种方 式或方法去判定事物的知识和技能”,是杀毒 软件能够分析文件代码的逻辑结构是否含有恶意 程序特征,或者通过在一个虚拟的安全环境中前 摄性的执行代码来判断其是否有恶意行为。在业 界前者被称为静态代码分析,后者被成为动态虚 拟机。 启发式查毒技术的优点误报率低,能检测变形病 毒和病毒变种 启发式査毒技术的缺点:对未知病毒的检测能力 较返 什么是防火墙 所谓防火墙指的是一个由软 在网络中,所谓“防火 件和硬件设备组合而成、在内部墙”,是指一种将内部网和公众 网和外部 网与公共访问网(如 nternet)分 网之间的界面上构造的 技术。防火 法,它是一种计算机确件和软件 的结合,使 Internet与 Intranet之 人和数据 的网 全网 公司内部的人就无法访 分组成 Internet, Internet 也无法 防火墙就是一个位于计算机 1公司内部的人进行通信。 和它所连接的网络之间的软件或 流流串的所有 通信均要经过此 Picture frol 防火墙的基本类型 络层防火培可视为一应用层防火墙是在TCpP 种P封包过滤器,运作堆栈的“应用层”上运作 在底层的TCP/P协议堆栈您使用浏览器时所产生的 上。我们可以以枚举的方数据流或是使用FTP时的 式,只允许符合特定规则数据流都是属于这一层。 的封包通过,其余的一概应用层防火墙可以拦截进 禁止穿越防火墙。这些规出某应用程序的所有封包, 通常可以经由管理员定并且封锁其他的封包(通常 义或修改,不过某些防火是直接将封包丢弃)。理论 墙设备可能只能套用内置上,这一类的防火墙可以 的规则。 完全阻绝外部的数据流进 到受保护的机器里。 产。防火墙的功能 防火墙最基本的功能就是控制在计算机网络中 不同信任程度区域间传送的数据流。例如互联网 是不可信任的区域,而内部网络是高度信任的区 名域。以避免安全策略中禁正的一些通信,与建筑 中的防火墙功能相似。它有控制信息基本的任务 在不同信任的区域。典型信任的区域包括互联 网(一个没有信任的区域)和一个内部网络(个高 信任的区域)。最终目标是提供受控连通性在不 同水平的信任区域通过安全政策的运行和连通性 詝模型之间根据最少特权原则。