next up previous
Next: Реализация Сканера Злонамеренного Кода Up: Интеграция Правил On-Access-сканера на Previous: Интеграция Правил On-Access-сканера на

Краткий обзор

On-Access-сканер злонамеренного кода, описанный в последней секции, обеспечивает надежную и устойчивую к фальсификации защиту против известного злонамеренного кода, содержащегося в исполняемых файлах. Однако, все чаще и чаще злонамеренный код попадает в систему через сетевые подключения, не храня себя при этом в файле.

В настоящее время становятся популярными методы, используемые для просмотра трафика в системах сетевой защиты, которые, технически, в состоянии защитить локальную сеть от злонамеренного кода, просматривая всю передачу в различных прокси-серверах для различных протоколов высокого уровня. При таком способе защита всех локальных компьютеров рассчитана на знание и управление всеми подключениями в локальной сети. Каждое дополнительное подключение должно быть защищено при помощи дополнительных механизмов и каждый прокси-сервер должен иметь надежный сканирующий механизм, увеличивающий рабочую нагрузку на системе сетевой защиты.

Недавно мы начали работу над другой методикой, где каждая машина в состоянии себя защитить при помощи всего лишь одного экземпляра сканера злонамеренного кода в ядре системы.

Дополнительные правила сканирования, также являющиеся частью ADF-компонента GFAC-системы, управляют всеми доступами на чтение на сетевых подключениях. Если в потоке данных обнаруживается некий известный злонамеренный код, то дальнейший доступ для чтения отклоняется и возвращается новый код ошибки "malware-detected". Соединение, в зависимости от конфигурации, может быть либо блокировано ядром, либо доверенный процесс может запросить о непрерывной передаче, которая будет ему предоставлена.

Индивидуальная защита каждого компьютера может способствовать уменьшению воздействия злонамеренного кода, проникшего в локальную сеть, миновав систему сетевой защиты. Это может быть вторым уровнем проверки, после системы сетевой защиты. Однако, здесь все-еще присутствует основная проблема с кодированием на программном уровне, свойственная всем системам сетевой защиты, так как пока обнаружению поддаётся только злонамеренный код, набранный открытым текстом.


next up previous
Next: Реализация Сканера Злонамеренного Кода Up: Интеграция Правил On-Access-сканера на Previous: Интеграция Правил On-Access-сканера на