系統(tǒng)防病毒技術(shù)白皮書

1、系統(tǒng)防病毒技術(shù)白皮書關(guān)鍵詞：病毒、防病毒、卡巴斯基、SafeStream縮略語(yǔ)英文全名中文解釋AVAnti-Virus防病毒DoSDeny of Service拒絕服務(wù)攻擊HTTPHypertext Transfer Protocol超文本傳輸協(xié)議ICSAInternational Computer Security Association國(guó)際計(jì)算機(jī)安全協(xié)會(huì)IMAPInternet Message Access Protocol互聯(lián)網(wǎng)消息訪問(wèn)協(xié)議POP3Post Office Protocol, version 3郵局協(xié)議的第3個(gè)版本SMTPSimple Mail Transfer Proto

2、col簡(jiǎn)單郵件傳輸協(xié)議摘要：本文介紹了H3C防病毒技術(shù)的基本原理和典型應(yīng)用。縮略語(yǔ)：目 錄 HYPERLINK l _bookmark0 概述 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 產(chǎn)生背景 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 H3C防病毒技術(shù)特點(diǎn) HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 技術(shù)實(shí)現(xiàn) HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 概念介紹 HYPERLINK

3、l _bookmark1 4 HYPERLINK l _bookmark2 H3C防病毒模型 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark3 應(yīng)用識(shí)別引擎 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark3 防病毒響應(yīng) HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark4 病毒庫(kù)升級(jí) HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 典型組網(wǎng)應(yīng)用 HYPERLINK l _bookmark4 7概述產(chǎn)生背景計(jì)算機(jī)病毒

4、是一組程序或指令的集合，它能夠通過(guò)某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)或程序中，當(dāng)達(dá)到某種條件（如特定時(shí)間或者特定網(wǎng)絡(luò)流量等）時(shí)被激活，從而對(duì)計(jì)算機(jī)資源進(jìn)行一定程度的破壞。計(jì)算機(jī)病毒，自誕生之日起，就伴隨著計(jì)算機(jī)技術(shù)的發(fā)展而發(fā)展。從80年代的“小球”、“石頭”病毒起至今，計(jì)算機(jī)使用者都在和計(jì)算機(jī)病毒斗爭(zhēng)，也創(chuàng)造了各種防病毒產(chǎn)品和方案。但是隨著Internet技術(shù)的發(fā)展，以及E-mail和一批網(wǎng)絡(luò)工具的出現(xiàn)，在改變?nèi)祟愋畔鞑シ绞降耐瑫r(shí)也使計(jì)算機(jī)病毒的種類迅速增加，擴(kuò)散速度也大大加快，計(jì)算機(jī)病毒的傳播方式迅速突破地域的限制，由以往的單機(jī)之間的介質(zhì)傳染轉(zhuǎn)換為網(wǎng)絡(luò)系統(tǒng)間的傳播。現(xiàn)在，計(jì)算機(jī)病毒已經(jīng)可以通過(guò)移

5、動(dòng)磁盤、光盤、局域網(wǎng)、WWW瀏覽、E-Mail、FTP下載等多種方式傳播。近年來(lái)，計(jì)算機(jī)病毒呈現(xiàn)出新的變化趨勢(shì)，各種病毒制作工具也日益泛濫，病毒制作的分工也更加明細(xì)和程序化，計(jì)算機(jī)病毒制造者開(kāi)始按照既定的病毒制作流程制作病毒。計(jì)算機(jī)病毒的制造進(jìn)入了“機(jī)械化”時(shí)代。據(jù)ICSA統(tǒng)計(jì)，現(xiàn)在每天有超過(guò)20種新計(jì)算機(jī)病毒出現(xiàn)。同時(shí)，計(jì)算機(jī)病毒也逐漸以追求個(gè)人利益為目標(biāo)，比如目前流行的間諜軟件、網(wǎng)游盜號(hào)木馬、遠(yuǎn)程控制木馬等，其目的就是通過(guò)網(wǎng)絡(luò)在用戶不知情的狀況下竊取有價(jià)數(shù)據(jù)或者財(cái)務(wù)信息，一旦企業(yè)或單位被病毒侵入并發(fā)作，造成的損失和責(zé)任是難以承受的。計(jì)算機(jī)病毒和計(jì)算機(jī)防病毒之間的斗爭(zhēng)已經(jīng)進(jìn)入了由“殺”病毒到

6、“防”病毒的時(shí)代。企業(yè)或單位只有拒病毒于網(wǎng)絡(luò)之外，才能保證數(shù)據(jù)的真正安全。因此，保證計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)免受計(jì)算機(jī)病毒的侵害，讓系統(tǒng)正常運(yùn)行便成為企業(yè)和單位所面臨的一個(gè)重要問(wèn)題。H3C防病毒技術(shù)特點(diǎn)H3C 的防病毒技術(shù)結(jié)合了基于會(huì)話流的高性能智能搜索算法和卡巴斯基的SafeStream病毒庫(kù)，以及多核操作系統(tǒng)分流技術(shù)對(duì)網(wǎng)絡(luò)中的病毒流量進(jìn)行檢測(cè)和清洗，克服了傳統(tǒng)防病毒網(wǎng)關(guān)防病毒性能不足的詬病，為企業(yè)提供了一種全新的安全解決方案。同時(shí)，H3C的防病毒技術(shù)將病毒檢測(cè)部署在企業(yè)網(wǎng)的入口，真正將病毒抵御于網(wǎng)絡(luò)之外，為企業(yè)網(wǎng)絡(luò)提供了一個(gè)堅(jiān)固的保護(hù)層。技術(shù)實(shí)現(xiàn)概念介紹SafeStream病毒庫(kù)SafeStrea

7、m病毒庫(kù)是卡巴斯基實(shí)驗(yàn)室（Kaspersky AVLab）提供的病毒特征庫(kù)， 并由卡巴斯基實(shí)驗(yàn)室進(jìn)行維護(hù)和更新?？ò退够谌蚋鲄^(qū)域設(shè)有多個(gè)病毒采樣點(diǎn)，并在各采樣點(diǎn)監(jiān)測(cè)和收集病毒樣本，然后由卡巴斯基實(shí)驗(yàn)室進(jìn)行分析、提取特征、測(cè)試，最后將病毒特征添加到SafeStream的病毒庫(kù)中。病毒特征分類H3C對(duì)于病毒特征的分類，沿用了卡巴斯基SafeStream病毒庫(kù)的分類標(biāo)準(zhǔn)，將病毒特征分為5類：Network Worms（網(wǎng)絡(luò)蠕蟲）、Classic Viruses（典型病毒）、Trojan Programs（木馬程序）、MalWare-Related Program（灰色軟件）和Other MalW

8、are（其他惡意程序）。具體的分類如 HYPERLINK l _bookmark1 表1所示。表1 病毒特征的分類分類子類型Network Worms（網(wǎng)絡(luò)蠕蟲，例如：沖擊波、尼姆達(dá)、紅色代碼等）WormEmail-WormIM-WormIRC-WormP2P-WormNet-WormClassic Viruses（典型病毒，例如：CIH病毒、灰鴿子、宏病毒等）VirusMacroTrojan Programs（木馬，例如：下載器木馬、QQ木馬等）TrojanBackdoorRootkitTrojan-AOLTrojan-ArcBomb分類子類型Trojan-ClickerTrojan-Dow

9、nloaderTrojan-DropperTrojan-NotifierTrojan-ProxyTrojan-PSWTrojan-SpyMalWare-Related Program（灰色軟件，例如： 下載器、服務(wù)器軟件和廣告軟件等）BadJokeClient-IRCDialerDownloaderPorn-DialerPorn-DownloaderPorn-ToolPSWToolRemoteAdminServer-FTPServer-ProxyServer-TelnetServer-WebHoaxOther Malware（其他惡意代碼，例如：DoS工具、溢出工具等）ConstructorD

10、oSFlooderExploitHackToolNukerH3C防病毒模型H3C 防病毒技術(shù)利用自主研發(fā)的應(yīng)用識(shí)別引擎，并結(jié)合卡巴斯基提供的SafeStream HYPERLINK l _bookmark3 病毒庫(kù)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的病毒檢測(cè)和防御，其處理模型如圖1所示。SafeStream+圖1 基于SafeStream病毒庫(kù)的防病毒模型應(yīng)用識(shí)別引擎H3C防病毒技術(shù)將卡巴斯基SafeStream病毒庫(kù)中的病毒特征融入H3C應(yīng)用識(shí)別引擎，在對(duì)網(wǎng)絡(luò)流量進(jìn)行協(xié)議識(shí)別的基礎(chǔ)上，結(jié)合SafeStream的病毒特征庫(kù)，利用內(nèi)嵌的高性能內(nèi)容搜索引擎進(jìn)行病毒特征的檢測(cè)。與傳統(tǒng)的、基于固定特征的病毒檢測(cè)不同，H

11、3C應(yīng)用識(shí)別引擎在協(xié)議上下文的基礎(chǔ)上進(jìn)行深度病毒檢測(cè)，這樣可以很好地避免誤報(bào)的發(fā)生，有效地提高了病毒檢測(cè)的準(zhǔn)確性。對(duì)于H3C應(yīng)用識(shí)別引擎的介紹具體請(qǐng)參見(jiàn)應(yīng)用識(shí)別技術(shù)白皮書。防病毒響應(yīng)在檢測(cè)到病毒時(shí)，H3C防病毒設(shè)備根據(jù)防病毒規(guī)則配置的動(dòng)作做出響應(yīng)。響應(yīng)動(dòng)作可以是下面動(dòng)作中的一個(gè)或多個(gè)的組合：通過(guò)（Permit）：對(duì)檢測(cè)到的病毒報(bào)文不進(jìn)行處理，允許其通過(guò)。阻斷（Block）：禁止病毒報(bào)文通過(guò)。對(duì)于阻斷動(dòng)作，除了阻斷當(dāng)前報(bào)文外， 對(duì)阻斷還可以設(shè)置以下參數(shù)：對(duì)發(fā)送該病毒的源進(jìn)行隔離。如果一個(gè)源被隔離，則后續(xù)所有報(bào)文都不能通過(guò)；如果不隔離，則只丟棄檢測(cè)到攻擊的報(bào)文。對(duì)于 TCP 應(yīng)用，還可選擇是否發(fā)送

12、 TCP Reset 報(bào)文；如果要發(fā)送 TCP Reset 報(bào)文，可以選擇向源方向、目的方向或者向雙方發(fā)送。對(duì)于 HTTP 訪問(wèn)，還可選擇回應(yīng)重定向報(bào)文或者回應(yīng)指定的頁(yè)面。在用戶自定義的回應(yīng)頁(yè)面中，可以增加規(guī)則名稱、規(guī)則描述、以及其它自定義信息。通知（Notify）：在檢測(cè)到相應(yīng)病毒時(shí)記錄病毒事件。病毒事件可以輸出到本地?cái)?shù)據(jù)庫(kù)、通過(guò) Email 通知管理員、輸出到用戶終端或 Syslog 主機(jī)。病毒庫(kù)升級(jí)H3C病毒庫(kù)的升級(jí)支持增量的在線升級(jí)方式，并且在升級(jí)的過(guò)程中不影響系統(tǒng)的正常業(yè)務(wù)。病毒庫(kù)升級(jí)完成后，系統(tǒng)自動(dòng)切換病毒庫(kù)版本，不需要重啟設(shè)備。如果在病毒庫(kù)版本升級(jí)過(guò)程中發(fā)生異常而導(dǎo)致升級(jí)失敗，系統(tǒng)會(huì)自動(dòng)回退到上一個(gè)病毒庫(kù)版本，也不會(huì)影響系統(tǒng)的正常業(yè)務(wù)。在H3C公司的網(wǎng)站上會(huì)實(shí)時(shí)更新病毒庫(kù)，以保證對(duì)新的病毒及時(shí)響應(yīng)。用戶可以選擇手動(dòng)或者自動(dòng)升級(jí)的方式，從公司網(wǎng)站上獲取最新的病毒庫(kù)升級(jí)包，以達(dá)到最佳的殺毒效果。自動(dòng)升級(jí)：用戶只需要指定自動(dòng)升級(jí)的時(shí)間和自動(dòng)升級(jí)的周期，就能實(shí)現(xiàn)病毒庫(kù)的及時(shí)自動(dòng)更新。為了避免由于網(wǎng)絡(luò)狀況不好造成的升級(jí)失敗，建議用戶將自動(dòng)升級(jí)的時(shí)間設(shè)置在網(wǎng)絡(luò)流量較小的時(shí)間進(jìn)行。手動(dòng)升級(jí)：用戶可以從 H3C 網(wǎng)站上獲取最新的病毒庫(kù)升級(jí)包，然后選擇手動(dòng)升級(jí)的方式進(jìn)行病毒庫(kù)的更新。典型組網(wǎng)應(yīng)用H3C的IPS設(shè)備和UTM設(shè)備都