搜索
查看: 5791|回复: 6
收起左侧

[技术原创] Avira Web Protection 如何偵測?? 技術文件

[复制链接]
aaa839
发表于 2012-11-16 22:02:08 | 显示全部楼层 |阅读模式
本帖最后由 aaa839 于 2013-2-16 22:52 编辑

Avira Web Protection 如何偵測?
此文件是Avira於2012第二季時推出時
但由於為隱藏所以官方KB上都較難找到
本說明文件主要詳細描述
1.WebProtection的核心組成
2.如何偵測有害網站

WebProtection由三個核心元件部份組成
http://www.avira.com/files/suppo ... b-protection_en.pdf
序:
Web Protection可在以下不同類型的事件
而偵測並封鎖有害的連結
有關事件可以是:
●呼叫網路上有害的檔案
●連接發佈惡意程式或進行釣魚的網站
●網頁被IBM Provien 網路篩選器(Cobin)篩選

以上的事件均可以由以下三個核心元件負責偵測並封鎖
>病毒庫(VDF)及引擎
VDF只會在含有惡意程式的項目而偵測,引擎會使用基因及啟發式偵測系統
>WebCat 資料庫(Web Protection Defination)
WebCat資料庫(網路篩選器+網頁防護專有資料庫)
包含對以下類型的網頁進行封鎖
●網路釣魚
●惡意程式
●垃圾郵件
●詐騙網站
●有害網頁
>IBM Proventia Web Filter (Cobion)
IBM Proventia 網路篩選器的資料庫可延伸保護現時請求及其他類型
請注意IBM Proventia Web Filter只會在以下產品中出現
● Avira Internet Security
● Avira WebProtector (for KEN! System)
● Avira WebGate Suite

偵測範例
以下各偵測範例均為web protection 事件紀錄檔
辦別偵測為Webcat還是IBM Proventia Web Filter
1.Webcat
[EVALUATION] [860] The URL (http://www.site.com/) has been evaluated
as Fraud/Deception(c). It has been blocked
此為webcat的偵測,你可以看見偵測類型內有(c)的符號
2.IBM Proventia Web Filter
[EVALUATION] [964] The URL (http://www.site.com/test_61.html)
has been evaluated as Malware(p). It has been blocked
此偵測屬於 Cobion的事件類型,在以上範例是屬於"惡意程式"類別
偵測類型是標示為(p)。此為標準的 IBM Proventia Web Filter.偵測

3.Webcat 偵測
[EVALUATION] [907] The URL (http://www.site.com/malware-test.
html) has been evaluated as Malware(c). It has been blocked
此為Webcat的偵測事件,而且偵測類型為惡意程式並且識別屬於(c).
有關封鎖類別可以從Web Pro-tection>掃瞄>封鎖>網路篩選器中調整
4.IBM Proventia Web Filter
[INFO] [856] The URL (http://www.site.com/) has been evaluated
as Illegal Activities. It has been blocked
此為IBM Proventia Web Filter的偵測事件類別,此偵測類型並不存在於webcat內
5.IBM Proventia Web Filter
[INFO] [959] The URL (http://www.site.com/index.php) has been
evaluated as Pornography. It has been blocked
此為IBM Proventia Web Filter的偵測部份,此偵測類型並不存在於webcat內。
6.
[INFO] [968] The URL (http://www.site.com/) has been found in
the Block List. It has been blocked
此種封鎖事件不屬於任何篩選器(webcat及IBM Proventia Web Filter)
只為家長控制Parental Controls./兒童保護 Child Protection/安全瀏覽Safe Browsing
的手動封鎖

3.其他偵測類別

透過啟發式偵測網頁(HEUR/)
[EVALUATION] Malware found.
URL: http://www.site.com/ort.html?id=2b9-12764
contains suspicious code: HEUR/HTML.Malware

透過引擎的基因偵測(GEN)
[DETERMINATION] Malware found.
URL: http://www.site.com/
contains virus patterns of the HTML script virus HTML/Infected.
WebPage.Gen

透過VDF(病毒庫)偵測
[EVALUATION] Malware found.
URL: http://www.site.com/17.exe
is the Trojan horse TR/Spy.Veetle.

4.測試選項,測試Web Protection!
你可以在以下網址中測試webcat的效果
Avira 惡意程式網址測試頁面
http://www.avira.com/en/support-malware-test
網絡釣魚測試頁面
http://www.avira.com/en/support-phishing-test

進階測試IBM Proventia Web Filter
注意測試IBM Proventia Web Filter需使用以下任何一款產品
● Avira Internet Security
● Avira WebProtector (für KEN!)
● Avira WebGate Suite

現提供各種不同封鎖事件測試頁面,
詳細可參考IBM Securty Syetem Support Resource
IBM 系統安全技術支援資源頁面
http://www.xforce-security.com/policy-check/url/

如果你想更明確知道Web Protection所列出的一個頁面是否由Cobion 偵測,
你可以進入以下網站:http://filterdb.iss.net/urlcheck/url-report.asp

5.常見問題的問與答(Q&A)

1.Q:為何部份網址被封鎖兩次或以上?
[INFO] [969] Requested URL: http://www.site.com/
[INFO] [969] The URL (http://www.site.com/) has been found in
the Block
List. It has been blocked
[INFO] [970] Requested URL: http://www.site.com/favicon.ico
[INFO] [970] The URL (http://www.site.com/favicon.ico) has been
found in
the Block List. It has been blocked
1.A: 在以上的事件中,為瀏覽器需要下載"我的最愛/書籤的圖示"而開啟另一個下載

2.Q: 為何資料庫中定義為惡意程式需要分為(c)或(p)
而"illegal Activities (非法活動)"或"Weapons/Military Items(武器/軍用物品)"不用作這分類?
2.A: 只有當偵測類別是均存在於兩者的資料才會有(c)及(p)的定義

3.Q: 在方格([ ])內的數字代表甚麼?
3.A:此數字是描述Web Protection 所進行掃瞄的連接數目。
當Web Protection 重新啟動時,此數字便會重設

4.Q:每個 Proventia Web Filter 伺服器的請求是否進行快取?
4.A: 每個請求均不會作任何快取,
為確保閣下的個人私隱(隱私),每個呼叫事件中均會開始一個獨立的請求

5.Q: 假若Proventia Web Filter 伺服器無法存取,會發生甚麼事?
5.A:如果Proventia Web Filter 伺服器無法連接, 連接網站將會被允許,
在指定時段 IBM 的基礎設施仍可以處理大量的請求。

附加資料
Web Protection 運作原理
整個網頁防護是類似於代{过}{滤}理伺服器的運作模式
以掛載Lsp Winsock的形式去掃瞄所有HTTP的流量

應用程式發送下載要求>
Webprotection,轉發指令至伺服器>
伺服器開始傳送-->
Web Protection 會先截取有關數據
但會暫時限制應用程式的下載速度(減低發生逾時問題的機會)
>Web Protection 會在伺服器中接收完整的檔案部份
並開始掃瞄(但是應用程式的下載速度仍然暫時限制,防止逾時問題>
當Web Protection 掃瞄完成>
Web Protection 立即開始傳送已完成掃瞄的數據至你的應用程式,
>應用程式開始正載
(應用程式的下載速度將跟據你的操作系統所允許的最大值下載速度)
(通常可達至百幾MB的下載速度)

版權資訊
2012 Avira Operations GmbH & Co. KG.版權所有
All named products and company names are registered trademarks  
of the respective company. Our General Terms and Conditions of  
Business and the License Terms can be found in the Internet:
www.avira.com
Errors and omissions excluded.
Issued Q2-2012

翻譯內容版權:

Avira Web Protection (Detections) HowTo 中文翻譯內容由Daniel Mak製作,
以創用CC 姓名標示-非商業性-禁止改作 3.0 Unported 授權條款釋出。
此作品衍生自 Avira Web Protection (Detections) HowTo
http://www.avira.com/files/suppo ... b-protection_en.pdf

评分

参与人数 2经验 +20 人气 +2 收起 理由
皮在痒 + 15 版区有你更精彩: )
明月丶舞白衣 + 5 + 2 个人工作失误 抱歉

查看全部评分

windbd
发表于 2013-1-1 11:03:28 | 显示全部楼层
长见识
next5918
发表于 2013-1-11 12:21:48 | 显示全部楼层
学习了,谢谢
apple_123
发表于 2013-1-14 19:03:56 | 显示全部楼层
好文~   呵呵   开web protection上网还是安心很多的  
也不知道谁
发表于 2013-1-21 03:56:13 | 显示全部楼层
里面提到网页防护中三个部分,webcat, IBM资料库和本地病毒库。我的问题是,是不是IBM资料库和WEBCAT更接近于网页信誉的黑名单?如果那样的话,是不是说对于用户来说装与不装WG的区别就在于这两个部分,对于普通的病毒,装WG和不装WG让本地侦测出来是一样的?
aaa839
 楼主| 发表于 2013-1-21 12:56:15 | 显示全部楼层
本帖最后由 aaa839 于 2013-1-21 13:01 编辑
也不知道谁 发表于 2013-1-21 03:56
里面提到网页防护中三个部分,webcat, IBM资料库和本地病毒库。我的问题是,是不是IBM资料库和WEBCAT更接近 ...


webcat及ibm proventia WEB Filter
就是網頁防護專用的網站黑名單,
而Webcat就由Avira自行收集
IBM proventia WEB Filter(Cobine)就由ibm負責
而且網頁防護如果不裝,通常會是下載到本地才會被殺
裝了網頁防護只要是該網址是黑名單就自動封鎖
即使webcat沒有黑名單的東西,
假若發現病毒,本身的引擎及病毒庫可以是下載前已經預先阻止了寫入電腦內

评分

参与人数 1经验 +5 收起 理由
皮在痒 + 5 感谢解答: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-8-19 16:39 , Processed in 0.054383 second(s), 7 queries , MemCache On.

快速回复 返回顶部 返回列表