查看: 32723|回复: 244
收起左侧

[讨论] 真真假假的边界防御(入口防御)

  [复制链接]
jefffire
头像被屏蔽
发表于 2011-6-23 15:13:54 | 显示全部楼层 |阅读模式
本帖最后由 jefffire 于 2011-6-23 15:35 编辑

一夜之间,在铁军哥的引领下,国内区掀起了一股讨论边界防御的热潮。
根据铁军哥的描述,边界防御就是在病毒的入侵路径上部下防御。
铁军哥说病毒入侵路径有五条,所以毒霸2012在五条路径上都设置了防御,组成了边界防御。


很有道理的说法,从截图看金山毒霸2012防御能力有了飞跃性的提高。但我仔细一琢磨总觉得不对劲,一时又不知道不对劲在哪里。

于是我逐条和金山毒霸2011中的功能进行比较

金山2012
金山 2011
上网安全保护
网盾
聊天安全保护
聊天软件下载文件保护
看片安全保护
自动沙盘
网络下载保护
浏览器,下载工具 下载文件保护
U盘实时保护
U盘自动运行阻止,U盘严格查杀模式

恍然大悟,原来金山2011也有了边界保护了呀,不过分散在各个功能中没有集中体现出来,也没有“边界防御”这一新名词。

再和其他软件比较
金山2012
卡巴 2011
小红伞
上网安全保护
网络流量监控,web信誉
webguard防御
聊天安全保护
文件实时监控
文件实时监控
看片安全保护
安全桌面(沙盘)
网络下载保护
文件实时监控
文件实时监控
U盘实时保护
U盘自动运行阻止,U盘自动查杀
文件实时监控

对比完终于明白了,很多功能其实就是实时监控功能的变种。有人说边界防御是御敌于国门之外,其实大错特错。
铁军哥的“边界防御”,样本实际上都进入了本地硬盘(缓存),靠的是一些小功能去调用扫描鉴别,最终还是依靠的还是传统的特征码,启发式,或者发送到云端鉴别(最终还是需要给出微特征来定位)。而样本进入了本地硬盘,那么实际上就能靠实时监控来解决问题。


那么什么才是真真的边界防御呢??其实,这个理念早就被趋势,赛门铁克等国际厂商所运用,也叫做入口防御。

比如赛门铁克的诺顿,就是以IPS著称。IPS它不依赖于传统特征码和启发式,它用于检测和防御网络层的各种漏洞利用和攻击手段。只要被检测出漏洞利用代码,网络攻击代码则自动阻断网络连接,不给木马病毒进入本地硬盘的任何机会,当然也就不需要下载保护的马后炮了。

比如趋势的云安全软件,就更体现了入口防御的精髓。趋势利用云服务器自动对各个网站进行信誉评级,并和各大企业合作在邮件网关设置过滤服务器将邮件中发现的恶意网址及时反馈到云服务端,并对恶意软件的URL及时分析入库实时跟踪,形成一个庞大的web信誉库。当安装有趋势安全软件的客户端访问网络时,会自动与云服务端匹配,直接阻断恶意网址,样本完全没有被下载的机会,真真的御敌于国门之外。

总结:边界防御名不副实,对病毒的识别依然要靠传统的特征(当然中间有一个云鉴定并返回相关特征的过程),启发式,黑白名单。大部分边界防御的功能利用实时监控就能替代。




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 12经验 +40 人气 +11 收起 理由
andylau + 1 支持姐夫,十分精彩
aqingge + 1 感谢支持,欢迎常来: )
不知道这是剑 + 1 支持一下姐夫~
あ掵㊣峫淰℡ + 1 根据版规,加1分以示鼓励
蝉鸣时 + 1 打酱油路过...

查看全部评分

XMonster
发表于 2011-6-23 15:15:58 | 显示全部楼层
支持下,姐夫
fujet
发表于 2011-6-23 15:16:50 | 显示全部楼层
坐等牛人
jason_jiang
发表于 2011-6-23 15:22:32 | 显示全部楼层
换个叫法炒炒概念,离perimeter defense还差得远
hsezbmh
发表于 2011-6-23 15:23:07 | 显示全部楼层
正准备回的,502了。。。

其实只要本地监控做的好,很多东西不过是概念和炒作而已
XMonster
发表于 2011-6-23 15:25:24 | 显示全部楼层
jason_jiang 发表于 2011-6-23 15:22
换个叫法炒炒概念,离perimeter defense还差得远

没有实质的进步…
寂静de雨季
发表于 2011-6-23 15:27:17 | 显示全部楼层
支持姐夫
jefffire
头像被屏蔽
 楼主| 发表于 2011-6-23 15:30:22 | 显示全部楼层
hsezbmh 发表于 2011-6-23 15:23
正准备回的,502了。。。

其实只要本地监控做的好,很多东西不过是概念和炒作而已

正解。各种下载保护,实际上是对那些没有实时监控能力的辅助软件设计的。
星空下的吻
发表于 2011-6-23 15:31:10 | 显示全部楼层
看来我的星星有希望了......
WeeVee
发表于 2011-6-23 15:33:15 | 显示全部楼层
说的不错,这些都属于实时监控范畴
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 09:21 , Processed in 0.146998 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表