分享:向你介绍金山网盾的技术原理!! 适合小白观看!

qwe12301

金山网盾是由4层防御构成!


其中,1层静态,3层动态分析!!


绝非大家认为的主要靠静态防御来实现的


以下内容为转载！



昨天众多媒体报道瑞星误报google分析站点为恶意网址

相关报道链接：http://security.ccidnet.com/art/1099/20090429/1753569_1.html

挂马集团在运行时，也会和商业网站一样进行浏览分析，会使用google、cnzz、vdoing等页面统计工具分析流量。碰

巧，这些统计代码连同恶意网址被一起提交，系统就此作出了错误的判断。

在使用google搜索时，google会对相关链接进行安全性判断，同样是基于这个链接在一段时间（通常是一周）有没有被

指控带恶意代码，这通常需要维护一个庞大的恶意网址库。当被挂马的网站已经将被攻击者植入的恶意代码删除时，这

个恶意网址库不会更新的很及时，仍然会阻止用户访问曾经被挂马的网站。

金山安全实验室认为维护这样的恶意网址库代价过高，而攻击者只需要不断变换使用新的URL，就可以用非常低的成本

突破恶意网址拦截。尽管网盾也会收集恶意网址，但只需要维护一个非常小的恶意网址库，而不需要把被挂马的网站全部列入。








恶意行为拦截：主要拦截漏洞的shellcode，对缓冲区溢出漏洞攻击有很好的效果。


异常参数检测：分析最流行的约30种web漏洞挂马


恶意脚本拦截：只用了简单的几条特征就能够识别90%的恶意脚本。


从用户浏览网页的角度看防护效果：


google或firefox检测到恶意网址时，会阻止访问，提醒用户离开；瑞星是提醒网页有风险，建议离开；而金山网盾的作法是，正常浏览该页面的内容，自动将有害代码过滤。
网盾已经进入alpha2测试阶段，从各方面的反馈看，拦截的效果令人满意。
网页挂马完全绕过金山网盾的条件为：



新Web漏洞
且新域名
且新ShellCode
且不用Heap Spray
且新脚本变形
且不能与老漏洞混用

[ 本帖最后由 qwe12301 于 2009-5-2 13:10 编辑 ]

dl123100

什么都不能说的太绝对

wuhangju

瑞星的做法是先提示你别进去  进去了再进行脚本分析拦截
金山网盾少了前面一步而已

qwe12301

更新完毕

天下无毒

好用！

西门东郭

感觉还行。

song-ci

希望正式版有更好的表现

dbstarot

挺好用

sexing

主要是免费,,大家都喜欢,,,哈哈

313865827

路过，看下，不做评论。