网络边界入侵防御策略中的关键技术

核心提示： 简单说来，防病毒技术在传输过程中查找恶意软件，网络边界入侵防御策略中的关键技术(2)，最流行的恶意软件的自动扩展技术是通过电子邮件，这样的话扫描电子邮件中的恶意附件就是防病毒策略的重要组成部分，用户甚至有意下载并安装间谍软件，通常是由于他们被欺骗性的宣传所误导，然而，恶意软件也可以留在We

简单说来，防病毒技术在传输过程中查找恶意软件。最流行的恶意软件的自动扩展技术是通过电子邮件，这样的话扫描电子邮件中的恶意附件就是防病毒策略的重要组成部分。然而，恶意软件也可以留在Web站点上，边界防病毒扫描器也可以顺便检查Web数据流中的恶意软件。

这两项技术的问题在于它们不能保证从所见到的信息包重建病毒的有效载荷。加密的电子邮件和Web会议是一个问题，但是不标准端口上的Web信息流或者特定Web应用程序中的病毒也可能通过病毒扫描器。出于这个原因，边界的任何防病毒策略只能补充桌面上的防病毒程序。

第二个边界防病毒技术包括搜索病毒不当行为的标志。比如，著名的Code Red蠕虫病毒发送一个特殊的URL，进而扩散到IISWeb服务器中。边界防病毒技术可以通过计算机的行为发现Code Redf感染的计算机。这项技术仅在感染发生以后，对识别恶意软件有用。然而，与了解到有人被病毒感染了相比，首先保护用户免于受到病毒感染的用处大不了多少。也有一些入侵防御工具专门用于寻找恶意软件的传播迹象，并可以使用该信息帮助隔离那些受感染的系统。这些就是我们通常所知的“网络异常行为检测”（NBAD）系统。

反间谍软件

对你刚刚阅读的病毒方面的知识有了一定的了解以后，很容易就可以知道间谍软件（有时称为广告软件）是另一种恶意软件，并且采用相同的技术就可以检测到。间谍软件最普遍的传播方式是“隐蔽强迫下载”，在这种方式中，用户访问某个Web站点，并且作为一种副作用，将另外的软件下载在自己的计算机中。有时候，下载软件是在用户不知情的情况下进行的，或者Web站点可能试图故意迷惑用户，进而绕过浏览器的安全保护进行下载。用户甚至有意下载并安装间谍软件，通常是由于他们被欺骗性的宣传所误导，误认为该软件在某种程度上会提高他们的因特网技能。