终端安全检测和防御技术

目录

1. 终端安全风险

2. 终端安全检测和防御技术

3. 网关杀毒技术

3.1 计算机病毒工作步骤

3.2 杀毒防御产品

3.3 网关杀毒功能优势

3.4 网关杀毒实现方式

4.僵尸网络检测和防御技术

4.1 僵尸网络

4.2 僵尸网络的形成过程（APT场景下）

4.3 检测方式

4.4 恶意链接匹配流程

1. 终端安全风险

       互联网出口实现了组织内部网络与互联网的逻辑隔离。

      
对于内部网络接入用户来说，僵尸网络是最为严重的安全问题，黑客利用病毒木马蠕虫等等多种入侵手段控制终端，形成僵尸网络，进一步实现终端存储的信息被窃取、终端被引导访问钓鱼网站、终端被利用作为攻击跳板危害其他的各类资源等问题。

       黑客可以利用僵尸网络展开更多的危害行为，如APT攻击最常采用的跳板就是僵尸网络。黑客利用僵尸网络来实现渗透、监视、窃取敏感数据等目的，危害非常大。

       
僵尸网络的主要危害：

          ①看不见的风险；

          ②高级持续威胁；

          ③本地渗透扩散；

          ④敏感信息窃取；

          ⑤脆弱信息收集。

2. 终端安全检测和防御技术

① 通过认证的用户不一定是合法的；②通过防火墙的流量不一定安全。

3. 网关杀毒技术

3.1 计算机病毒工作步骤

3.2 杀毒防御产品

3.3 网关杀毒功能优势

3.4 网关杀毒实现方式

4.僵尸网络检测和防御技术

4.1 僵尸网络

4.2 僵尸网络的形成过程（APT场景下）

       C&C 服务器（Command and Control Server，命令与控制服务器）是黑客或网络攻击者用于远程控制受感染设备（如计算机、移动设备、物联网设备等）的核心基础设施。它相当于攻击者的 “指挥中心”，通过特定协议与被感染设备（常被称为 “僵尸机”）进行通信，下达攻击指令、窃取数据或执行其他恶意操作。

4.3 检测方式

4.4 恶意链接匹配流程