【友商分析】Palo Alto安全业务对象信息

产品分析
1、防间谍软件对象规则
包括：adware,botnet,net-worm,backdoor,browser-hijack,data-theft,keylogger,p2p communication.spyware.
adware:是指以一个附带广告的电脑程序，以广告作为盈利来源的软件。此类软件往往会强制安装并无法卸载；在后台收集用户信息牟利，危及用户隐私；频繁弹出广告，消耗系统资源，使其运行变慢等。
botnet：Botnet也就是我们所说的僵尸网络，是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
net-worm：worm，一般解释为蠕虫。一般认为蠕虫是一种通过网络传播的主动攻击的恶性计算机病毒，是计算机病毒的子类。早期恶意代码的主要形式是计算机病毒COHE1985 COHE1989 COHE1990。1988年“Morris”蠕虫爆发后，Spafford为了区分蠕虫和病毒，对病毒重新进行了定义，他认为：“计算机病毒是一段代码，能把自身加到其他程序包括操作系统上；它不能独立运行，需要由它的宿主程序运行来激活它”SPAF1988。而网络蠕虫强调自身的主动性和独立性。worm在磁带的术语里是一写多读，worm还是星际争霸2中出现的新兵种，具备运输本族单位的能力。
URL分类库可以最大化产品性能和配置的灵活性
backdoor：Backdoor，电脑病毒木马，中文名称—“后门”， 是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制，而且用户无法通过正常的方法禁止其运行。
browser-hijack：浏览器劫持是一种恶意程序，通过浏览器插件、BHO（浏览器辅助对象）、WinsockLSP等形式对用户的浏览器进行篡改，使用户的浏览器配置不正常，被强行引导到商业网站。 所谓浏览器劫持是指网页浏览器（IE等）被恶意程序修改。常见现象为主页及互联网搜索页变为不知名的网站、经常莫名弹出广告网页输入正常网站地址却连接到其他网站。收藏夹内被自动添加陌生网站地址等等。
data-theft :黑客窃取公司机密信息将数据利用自行开发的软件上传下载到相关服务器上，从而逃避检测窃取用户重要数据信息。
keylogger：键盘记录器用于窃取用户隐私，如账户密码等。
p2p communication：用于下载资料信息的P2P软件，此软件用于偷取用户敏感信息。
sypware:Spyware(间谍软件)。它通常以免费软件的形式提供，有可能是一个实用程序、MP3 播放器或某种游戏。除了主要功能外，它收集有关用户操作习惯的信息并将这些信息在您不知情的情况下,通过互联网发送给软件的发布者。

2、漏洞检测（3800个漏洞以上）

按CVE ID，供应商ID，主机类型（client,server），严重性(critical,high,medium,low,info)，操作(允许，警告，阻止)，类别（brute force暴力破解,code-exec,command-exec,dos,info-leak,overflow,scan,sql-injection）

3、防病毒

对smtp,pop3,imap,ftp,http,smb进行解码及文件检测，同时可以配置阻断告警策略及wildfire策略。

wildfile为paloalto的APT检测平台。

Then, Palo Alto Networks leverages multiple threat prevention disciplines, including IPS, anti-malware, URL filtering, DNS monitoring and sinkholing, and file and content blocking, to control known threats. Security teams can also use our Behavioral Botnet Report to identify the unique patterns of botnet infections in your network. Finally, WildFire identifies unknown malware, zero-day exploits, and Advanced Persistent Threats (APTs) in a cloud-based virtual malware analysis environment. This scalable service automatically develops and shares protections worldwide in as little as 30 minutes.

4、URL分类

与brightcloud合作支持84个大类百万级的URL过滤。

5、文件过滤

支持邮件协议pop3，数据传输ftp，以及基于HTTP协议之上的应用协议文件过滤，可以过滤如下文件格式

doc、docx、encrypted-rar、exe 、jpeg-upload 、mp3 、pdf 、rar
6、数据过滤DLP
如对收件人XX进行过滤。
7、dos防护
如synflood，udpflood等。