|
|
|
|
|
|
组件
|
描述
|
|---|---|
|
高级威胁扫描引擎由标准病毒扫描引擎升级而来。ATSE 将基于文件的检测扫描和基于规则的启发式扫描相结合,以改进系统漏洞检测。
病毒扫描引擎使用病毒码文件来分析通过网络传输的文件。请定期更新威胁发现设备,确保设备使用的是最新病毒码文件(请参阅组件更新)。
病毒扫描引擎使用以下检测方法:
|
|
|
病毒编写者可以很快地为文件更名以掩饰文件的实际类型。威胁发现设备通过读取文件头并检查文件内部注册的数据类型来确认文件的真实类型。威胁发现设备仅扫描能造成感染的文件类型。
有了真实文件类型,威胁发现设备可确定文件的真实类型,并跳过不具有传染性的文件类型,例如 .gif 文件,扫描这类文件会占用非常多的网络流量。
|
|
|
多包文件是使用多个加壳软件或压缩工具压缩的可执行文件。例如,一个使用 Aspack 和 UPX 打包两次或三次、然后再使用 Aspack 打包的可执行文件。
多层文件是放在多个容器或多个层中的可执行文件。每层包含一个文档、一个归档或二者的组合。多层文件的一个示例是使用 Zip 压缩并放在文档中的可执行文件。
这些方法通过将恶意内容掩埋于多层压缩之下来将其隐藏。传统的防病毒程序无法检测这些威胁,因为传统防病毒程序不支持分层/压缩/打包文件扫描。
|
|
|
病毒编写者经常使用不同的文件压缩模式来避开病毒过滤。IntelliTrap 帮助威胁发现设备评估可能包含病毒或其他 Internet 威胁的压缩文件。
高级威胁扫描引擎使用以下检测方法:
|
|
|
威胁发现设备结合使用特征码和启发式方法来前瞻性地检测网络病毒。该产品监控网络数据包并触发可表明网络攻击的事件。该产品还可扫描特定网段中的网络通信。
|
|
|
威胁发现设备使用启发式技术来验证各种常用文件类型的内容是否包含可疑的 Shell 代码或漏洞。
|
|
|
网络内容检查引擎是威胁发现设备用于扫描流经网络层的内容的程序模块。
|
|
|
网络内容关联分析技术是威胁发现设备用于实施由趋势科技定义的规则或策略的程序模块。在分析新病毒和修改过的病毒所显示出的特征码和趋势后,趋势科技经常会更新这些规则。
潜在风险文件是被网络内容关联分析技术分类为可执行文件或可能为恶意文件的文件。但是,病毒扫描引擎不能识别出已验证恶意文件的已知签名特征码,因此未将该文件分类为恶意文件和安全风险。威胁发现设备会捕捉潜在风险文件、在数据库中输入日志并保存该文件的副本,且该文件副本可上传至沙盒虚拟平台以进行深入分析。文件会话和威胁信息被捕捉为文件头,并存储在日志文件中。
|
|
|
威胁发现设备以脱机模式进行部署。它通过连接到交换机的镜像端口来监控网络通信,很少造成或基本不造成网络中断。
威胁发现设备会监控网络活动,包括使用 HTTP、FTP、SMTP、SNMP 和 P2P 协议的网络活动。
|