《SEP 121 与主要竞争对手的对比》由会员分享,可在线阅读,更多相关《SEP 121 与主要竞争对手的对比(24页珍藏版)》请在金锄头文库上搜索。
1、SEP 12.1 与主要竞争对手的对比与主要竞争对手的对比 一一. . 概述概述此文档中提到的 SEP 12.1 的主要竞争对手,包括以下四个: TrendMicro Deep Security 7.5 McAfee VirusScan 8.7i/ePO 4.5 Kaspersky Internet Security 2012 瑞星杀毒软件网络版二二. . 传统防病毒传统防病毒2011 年 2 月,在 AV-Test.org 的真实环境测试(Real World Testing)中,SEP 12.1 获 得了最高分:详细报告请参考:AVTest-Real World Testing Repor
2、t结论:结论: 由于采用了业界领先的 Insight 信誉评级技术和 SONAR 行为防御技术,使得 SEP 12.1 相比较于传统防病毒,拥有更高的查杀率。三三. . 云云现在每个杀毒软件厂家都有推出云概念: TrendMicro:Smart Protection Network McAfee:Security SaaS Kaspersky:Kaspersky Security Network(KSN) 瑞星:云安全(瑞星:云安全(Cloud Security)下面是关于各厂家的云概念的介绍:趋势趋势的云安全包括三部分,分别是 2005 年发布的邮件信誉技术,2007 年发布的 Web 信誉
3、技术和 09 年发布的文件信誉技术和多协议关联分析技术。 邮件信誉技术,是对网络上的电子邮件服务器进行信誉评级。监控电子邮件服务器 的使用状态,如果锁定了恶意的服务器,就对从这些服务器上发出的病毒邮件进行 拦截。 Web 信誉技术也是采用邮件信誉技术同样的原理,对网络上的 Web 服务器进行信 誉评级。当用户上网时,会阻断与问题服务器的连接。 文件信誉技术与前两种技术类似。将网络上的各种档案的信誉等级信息存储在云端 数据库中,大部分的病毒定义都保存在了云端,终端做检测、扫描,必需连接趋势 的云端服务器才能查询信誉信息。终端会将检测到的未知威胁的信息反馈回云端服 务器。这种技术被称之为云客户端文
4、件信誉(CCFR)技术,也称为黑名单拦截软 件。一个 CCFR 请求查询数据包中包括:客户 ID、服务器 ID、智能过滤版本、CRC 值,响应数据包中包括:恶意软件名称,如果 CRC 检测为恶意软件,则说明此恶 意软件的名称。 McAfee 的云技术突出的是 SaaS,Security-as-a-Service,安全即服务。这是一种托 管服务。McAfee 有一个 Network Operations Center,给客户发一封电子邮件,包含 一个 URL,点开 URL 进行在线安装 McAfee SaaS Endpoint Protection,客户端必需连 到 McAfee Network
5、 Operation Center 下载病毒定义等,采用 Rumor 技术,在各客户 端之间复制更新。有 McAfee 托管安全架构,不需要额外的管理服务器。管理员每 周从 McAfee Network Operation Center 获得用户报告,使用 McAfee Online Management Console 来管理更新、制定策略。 McAfee 还有一个全球威胁智能感知系统文件信誉,即 GTI 信誉。基于云的实时文 件信誉服务。会给每个文件打分,分数反映的是所查文件是恶意软件的可能性。评 分标准包括用于查询 McAfee 系统的 sensor 所提供的信息以及 McAfee 实验
6、室研究 人员与自动化工具的分析报告,还包括 Web、电子邮件和网络威胁数据的跨载体 信息相干性。可以配置本地策略使用分数来确定相应操作,如拦截或者隔离。 McAfee 也包括有 Web 信誉、邮件信誉和网络连接信誉。 Kaspersky 的 Kaspersky Security Network(KSN),会收集用户电脑上运行的程序的信 息,以此来跟踪病毒、风险,以及他们的传播渠道。它还允许将未知文件的全部或 部分发送给 Kaspersky Lab 服务器,需要 Kaspersky Lab 的专家针对软件做检测。对比结论对比结论: 各大安全厂商的云,基本原理都是收集信息到云端服务器,Symant
7、ec 的优势 在于: a.Symantec 拥有业界最大的云。1.75 亿个终端、25 亿个文件。 b.在单一终端上,Symantec 云技术拥有最广泛的覆盖。虽然 Trend 和 McAfee 拥 有邮件信誉、Web 信誉等技术,但分属不同的产品,而 Symantec 在单一的 SEP 终端上,就已经将云技术(信誉技术)运用到了 Web 下载、实时防护、浏览 器入侵防护、电子邮件防护、IPS 等各方面。Symantec 通过单一产品,就提供 了最全面的防护。 c.对用户来讲,Symantec 云技术提供了最多的可操作性。除了 McAfee 可以根据 文件信誉得分来配置拦截或者隔离的动作,其他
8、厂家的云技术,对用户来讲, 都是一个虚的概念。Symantec 的 SEP,用户除了可以自己定义根据信誉得分所 做的操作,还可以定义白名单,防止误报等。四四. . 防火墙防火墙关键功能对比总结表:关键功能对比总结表: TrendMicroMcAfeeKaspersky瑞星瑞星Symantec基本原理只是针对数据包的 检测,不能控制应 用程序的网络行为。既可以基于数据 包进行检测,也 可控制应用程序 (程序指纹)的 网络行为。基本上基于数据包 的检测,对应用程 序的网络行为控制, 都是预设的。既可以基于数 据包进行检测, 也可控制应用 程序(程序指 纹)的网络行 为。处所切换处所切换的判断条 件
9、很少。处所切换的判断 条件很少。不支持有多种处所切 换的判断条件。基于网络 适配器的 策略制定不支持不支持不支持多种默认网络 适配器可选, 并可根据适配 器 ID 手动添加。协议类型用户可以自定义协 议类型只有可选的协议, 用户不能自定义可选的协议很有限, 用户不能自定义用户可以自定 义协议类型自定义 Schedule支持支持不支持支持内置默认 规则71很多少25以下是各竞争对手产品的功能点介绍和截图:以下是各竞争对手产品的功能点介绍和截图:TrendMicro Deep Security 7.5: 有大量内建规则,默认有 71 条。 可选 Action 包括:Allow/Bypass/Den
10、y/Force Allow/Log only数据包方向只区分 Incoming 和 Outgoing帧类型:IP/ARP/REVARP/自定义默认的 Protocol:ICMP/IGMP/GGP/TCP/PUP/UDP/IDP/ND/RAW/TCP+UPD,还可以自 定义 Protocol 类型。 数据包源/目的:可基于单个 IP、多个 IP、IP 段、IP 掩码、IP 范围、单个 MAC、多 个 MAC、MAC 列表、Port(s)、Port 列表。 可以针对不同类型的数据包指定数据包标识,比如,对于 TCP,可指定 URG、ACK、PSH、RST、SYN、FIN以上的每一个设置,都可以设置
11、为反逻辑可设定 Context,作用类似于 SEP 上的 Location 设置可设定 Schedule。McAfee VirusScan 8.7i/ePO 4.5: 有不少内建规则,其中包括对 McAfee Endpoint Encryption 产品的默认策略还有大量的预定义规则可将防火墙策略设置为一个入侵特征数据包方向:内/外、内、外 协议类型:IP、Appletalk、IPX、NetBEUI,但是用户不能自己定义远程地址:但只是针对远程地址,不能区分数据源地址、目标地址传输协议:有很多传输协议可选,但是不能用户自己定义可针对应用程序指纹和应用程序路径连接感知设置,作用类似于 SEP 中
12、的 Location可设定 Schedule 可以对防火墙策略进行分组 可以设定防火墙策略为共享或非共享 可以针对防火墙策略指定隔离规则可以对策略进行导入和导出Kaspersky Internet Security 2012: Kaspersky 的防火墙策略分为两部分:Application rule 和 Packet rule防火墙的动作:允许、阻止、基于应用程序规则支持的协议有限数据包的方向中,可选择 Stream 类型还有三个高级选项:应用程序控制策略中的文件列表,都是预设的,用户没有办法修改瑞星全功能安全软件:瑞星全功能安全软件: IP 包地址的设置只能基于 IP可设置协议类型可自定
13、义数据包特征值可选 TCP 数据包标志多重通知方式可添加可信区可添加基于 IP 地址的黑、白名单可针对特定端口进行设置可设置独立于 IP 规则的程序联网控制,允许或阻止特定程序联网五五. . 入侵防护入侵防护关键功能对比总结表:关键功能对比总结表: TrendMicroMcAfeeKaspersky瑞星瑞星Symantec内置规则1000 多条1000 多条不能配置 IPS/IDS2646 条自定义规 则较难,没有 sample 可供参考。较难,没有 sample 可供参考。提供 sample 参 考,语法比较 简单。注:注:虽然从界面上看,McAfee 叫 Host IPS,但是,其实它的作
14、用类似于 SEP 中的用 程序控制策略,并不能算是真正意义上的网络入侵防护。以下是各竞争对手产品的功能点介绍和截图:以下是各竞争对手产品的功能点介绍和截图:TrendMicro Deep Security 7.5: 预设了一千多条 IDS/IPS 策略入侵防护策略与 Application Type 绑定,而实际上,Application Type 是基于数据包用户可以有三种方式定义入侵防护特征: Signature、Start/End/Patterns、Custom(XML)可以导出、导入策略 可以设定 Schedule 不能自动阻止入侵者McAfee VirusScan 8.7i/ePO
15、4.5: 可自动阻止入侵者可根据不同严重等级的事件指定相应的动作默认有将近 1000 条签名规则默认有一百多条应用程序保护规则支持多平台:Windows、Solaris、Linux、HP-UX针对每条规则选择严重性可以按照标准子规则和专家子规则两种方式添加子规则 在标准子规则中可选择类型为文件、HTTP、注册表、服务文件类型就类似于 SEP 中的应用程序控制策略 HTTP 类型的规则只能针对 HTTP Request可以指定针对服务的规则专家子规则中可以写自定义的格式,类似于 SEP 中的自定义 IPS 规则可以针对签名、进程名称、用户等添加例外规则可导入、导出规则 可将规则设置为共享、非共享
16、Kaspersky Internet Security 2012: Kaspersky 上不能对 IDS/IPS 进行配置瑞星全功能安全软件:瑞星全功能安全软件: 默认提供的网络攻击特征较少,且不能自定义六六. . 管理功能管理功能这里的管理功能主要指企业的系统管理员对终端客户端的控制,比如不让用户修改 客户端的软件配置等。关键功能对比总结:关键功能对比总结:Trend Micro Deep Security 没有客户端 UI,管理员只能通过策略控制日志方面的功 能。McAfee VirusScan 8.7i/ePO 4.5 在管理功能方面的实现方式类似于做策略,主要的 配置包括事件转发、客户端日志控制、客户端自动更新、代理服务器、常规等。 以下为软件抓图:Kaspersky Internet Security 2012 为单机版,不具有这种功能。瑞星杀毒软件网络版瑞星杀毒软件网络版
