网络攻防学习笔记 Day136

恶意代码分类的标准主要是代码的独立性和自我复制性，独立的恶意代码是指具备一个完整程序所应该具有的全部功能，能够独立传播、运行的恶意代码，这样的恶意代码不需要寄宿在另一个程序中。非独立恶意代码只是一段代码，必须嵌入某个完整的程序中，作为该程序的一个组成部分进行传播和运行。

静态分析技术就是在不执行二进制程序的条件下，利用分析工具对恶意代码的静态特征和功能模块进行分析的技术。该技术可以找到恶意代码的特征字符串、特征代码段等，由于恶意代码从本质上说是由计算机指令构成的。

动态分析技术是指恶意代码执行的情况下，利用程序调试工具对恶意代码实施跟踪和观察，确定恶意代码的工作过程，对静态分析结果进行验证。

基于特征码的检测是目前检测恶意代码最常用的技术，主要源于模式匹配的思想。其检测过程中根据恶意代码的执行状态又分为静态检测和动态检测：静态检测是指脱机对计算机上存储的所有代码进行扫描；动态检测则是指实时对到达计算机的所有数据进行检查扫描，并在程序运行过程中对内存中的代码进行扫描检测。

安全准入可粗略地分为基于网络的安全准入和基于主机的终端准入。基于网络的安全准入通常无须部署客户端。安全准入常用的技术包括 802.1X 准入、DHCP 准入、网关型准入、ARP 准入、Cisco EOU 准入、H3C Portal 准入等。

VPN 按照层次可以分为 L2VPN （二层 VPN，如 PPTP、L2TP）、L3VPN （三层 VPN，如 IPSec VPN、GRE VPN、MPLS VPN）、应用层 VPN（如 SSL VPN）。

PPTP（Point to Point Tunneling Protocol）：点对点隧道协议。该协议是在 PPP 的基础上开发的一种新的增强型安全协议，支持多协议虚拟专用网，可以通过密码验证协议（PAP）、可扩展认证协议（EAP）等方法增强安全性，也可以使远程用户通过拨入 ISP、通过直接连接 Internet 或其他网络安全地访问企业网。

L2TP：工业标准的 Internet 隧道协议。其功能大致和 PPTP 类似，例如，同样可以对网络数据流进行加密。不过也有不同之处，如 PPTP 要求网络为 IP 网络，L2TP 要求面向数据包的点对点连接；PPTP 使用单一隧道，L2TP 使用多隧道；L2TP 提供包头压缩、隧道验证，而 PPTP 不支持。

IPSec（Internet Protocol Security）：由 Internet Engineering Task Force（IETF） 定义的安全标准框架，用于提供公用和专用网络的端对端加密和验证服务。IPSec 是一套比较完整成体系的 VPN 技术，其规定了一系列的协议标准。

GRE 是 VPN（Virtual Private Network）的第三层隧道协议，即在协议层之间采用了一种被称为 Tunnel（隧道）的技术。

MPLS VPN 是一种基于 MPLS 技术的 IP-VPN，根据 PE（Provider Edge）设备是否参与 VPN 路由处理又细分为二层 VPN 和三层 VPN，一般而言，MPLS/BGP VPN 指的是三层 VPN。

SSL VPN 指的是基于安全套层协议（Security Socket Layer，SSL）建立远程安全访问通道的 VPN 技术，它是近年来兴起的 VPN 技术，其应用随着 Web 的普及和电子商务、远程办公的兴起而迅速发展。