恶意代码防御新方案浅析

　　恶意代码危害猛如虎

　　目前，恶意代码目标性攻击越来越强，个人网上银行账号、游戏账号、互联网账号等都已成为新的攻击目标。可见，如果内网终端安全得不到全面保障，恶意代码势必将随意进入内部终端，阻滞防病毒软件运行、安装设置后门程序、盗窃密码，并且通过ARP欺骗感染整个内网占用网络带宽，严重影响工作效率、增加支持成本，致使公司知识产权和个人财产面临被窃取丢失的风险。

　　传统防病毒方案的不足

　　主要表现为：

　　◆ 据CERT统计，将近90%以上的恶意代码感染都是利用系统漏洞入侵攻击，传统病毒查杀“治标不治本”。

　　◆ 病毒库更新滞后，无法保证对最新病毒、蠕虫、木马等恶意代码查杀。

　　◆ 防病毒软件采用特征匹配方式查杀病毒，无法实现对新型恶意代码查杀。

　　◆ 恶意代码感染终端后首先停止防病毒软件运行，防病毒软件孤立难行。

　　矩阵恶意代码防御方案

　　由于传统防病毒软件以特征码方式监测各种攻击，无法发现最新的恶意代码攻击，并且防病毒软件也经常受到恶意代码破坏。绿盟科技矩阵内网安全管理系统（以下统称“矩阵系统”）作为防病毒软件的有效补充，不仅可以监护防病毒软件稳定正常运行，并且通过多种安全可靠的终端安全技术手段，来发现阻断恶意代码异常行为。

　　矩阵系统从事前主动预防、事中智能防御、事后自动修复三个层次全面保证内网终端防御恶意代码攻击，从而提供完整的解决方案。

　　矩阵系统采用全面的终端安全技术保护内网安全：

　　事前主动防御

　　◆ 多种网络准入控制手段检查终端安全状态，决定是否允许接入网络

　　◆ 补丁自动更新，防止恶意代码通过系统漏洞发起入侵攻击

　　◆ 网络配置强制，监控IP、MAC、机器名对应状态，预防恶意代码冒充其它终端发起攻击

　　◆ 网卡嗅探监测技术发现恶意代码异常的网络侦听行为

　　◆ 通过异常端口监测技术设置网络端口连接黑白名单，发现阻断恶意木马打开异常端口对外通信

　　事中智能防御

　　◆ 防ARP欺骗，发现并且阻断恶意代码通过ARP欺骗手段感染内网终端

　　◆ 主机入侵保护技术防御恶意扫描、溢出、远程控制、拒绝服务等攻击

　　◆ 集中管理主机防火墙，限制主机网络连接，减少内外网攻击，保护内网重要安全区域

　　◆ FLOOD异常监测阻断，实时监测终端系统进程对外连接状态（每秒连接数、连接字节大小），发现新型恶意代码攻击行为，阻断Botnet(僵尸网络)对外发送拒绝服务攻击

　　◆ U盘病毒防御，切断恶意代码进入途径，限制病毒、木马通过U盘传播

　　事后自动修复

　　◆ 实时检查终端系统安全状态，自动隔离不安全终端接入

　　◆ 补丁自动修复，保证补丁分发的一致性与兼容性

　　◆ 联动监控技术，保证防病毒软件正常稳定运行、病毒库实时更新，防止恶意代码破坏

　　◆ 通过网关强制重定向不可管理终端到矩阵代理安装页面，确保内网终端安全接入接出

　　◆ 通过软件分发技术集中分发第三方恶意代码专杀工具或脚本，及时化解风险

　　通过以上技术手段矩阵系统可以实现防止黑客、木马、间谍软件攻击、蠕虫病毒爆发、非法探测扫描等攻击企图与攻击行为，对不安全终端设备实施强制网络接入控制，保证整体网络安全可靠。

　　方案特色

　　矩阵防恶意代码方案从预防、防御、修复三个层次循环监控内网终端安全状态，实时保护内网终端抵御各种恶意代码的攻击。同时采用多种主动防御技术发现系统异常行为，有效弥补基于特征码检查技术的缺陷。

　　 面对未来越来越猖獗的恶意代码攻击，企业需要崭新的恶意代码防御方案。