系統(tǒng)防病毒技術(shù)白皮書

1、系統(tǒng)防病毒技術(shù)白皮書關(guān)鍵詞：病毒、防病毒、卡巴斯基、SafeStream縮略語英文全名中文解釋AVAnti-Virus防病毒DoSDeny of Service拒絕服務(wù)攻擊HTTPHypertext Transfer Protocol超文本傳輸協(xié)議ICSAInternational Computer Security Association國際計(jì)算機(jī)安全協(xié)會IMAPInternet Message Access Protocol互聯(lián)網(wǎng)消息訪問協(xié)議POP3Post Office Protocol, version 3郵局協(xié)議的第3個版本SMTPSimple Mail Transfer Proto

2、col簡單郵件傳輸協(xié)議摘要：本文介紹了H3C防病毒技術(shù)的基本原理和典型應(yīng)用?？s略語：目 錄 HYPERLINK l _bookmark0 概述 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 產(chǎn)生背景 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 H3C防病毒技術(shù)特點(diǎn) HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 技術(shù)實(shí)現(xiàn) HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 概念介紹 HYPERLINK

3、l _bookmark1 4 HYPERLINK l _bookmark2 H3C防病毒模型 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark3 應(yīng)用識別引擎 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark3 防病毒響應(yīng) HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark4 病毒庫升級 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 典型組網(wǎng)應(yīng)用 HYPERLINK l _bookmark4 7概述產(chǎn)生背景計(jì)算機(jī)病毒

4、是一組程序或指令的集合，它能夠通過某種途徑潛伏在計(jì)算機(jī)存儲介質(zhì)或程序中，當(dāng)達(dá)到某種條件（如特定時間或者特定網(wǎng)絡(luò)流量等）時被激活，從而對計(jì)算機(jī)資源進(jìn)行一定程度的破壞。計(jì)算機(jī)病毒，自誕生之日起，就伴隨著計(jì)算機(jī)技術(shù)的發(fā)展而發(fā)展。從80年代的“小球”、“石頭”病毒起至今，計(jì)算機(jī)使用者都在和計(jì)算機(jī)病毒斗爭，也創(chuàng)造了各種防病毒產(chǎn)品和方案。但是隨著Internet技術(shù)的發(fā)展，以及E-mail和一批網(wǎng)絡(luò)工具的出現(xiàn)，在改變?nèi)祟愋畔鞑シ绞降耐瑫r也使計(jì)算機(jī)病毒的種類迅速增加，擴(kuò)散速度也大大加快，計(jì)算機(jī)病毒的傳播方式迅速突破地域的限制，由以往的單機(jī)之間的介質(zhì)傳染轉(zhuǎn)換為網(wǎng)絡(luò)系統(tǒng)間的傳播?，F(xiàn)在，計(jì)算機(jī)病毒已經(jīng)可以通過移

5、動磁盤、光盤、局域網(wǎng)、WWW瀏覽、E-Mail、FTP下載等多種方式傳播。近年來，計(jì)算機(jī)病毒呈現(xiàn)出新的變化趨勢，各種病毒制作工具也日益泛濫，病毒制作的分工也更加明細(xì)和程序化，計(jì)算機(jī)病毒制造者開始按照既定的病毒制作流程制作病毒。計(jì)算機(jī)病毒的制造進(jìn)入了“機(jī)械化”時代。據(jù)ICSA統(tǒng)計(jì)，現(xiàn)在每天有超過20種新計(jì)算機(jī)病毒出現(xiàn)。同時，計(jì)算機(jī)病毒也逐漸以追求個人利益為目標(biāo)，比如目前流行的間諜軟件、網(wǎng)游盜號木馬、遠(yuǎn)程控制木馬等，其目的就是通過網(wǎng)絡(luò)在用戶不知情的狀況下竊取有價數(shù)據(jù)或者財(cái)務(wù)信息，一旦企業(yè)或單位被病毒侵入并發(fā)作，造成的損失和責(zé)任是難以承受的。計(jì)算機(jī)病毒和計(jì)算機(jī)防病毒之間的斗爭已經(jīng)進(jìn)入了由“殺”病毒到

6、“防”病毒的時代。企業(yè)或單位只有拒病毒于網(wǎng)絡(luò)之外，才能保證數(shù)據(jù)的真正安全。因此，保證計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)免受計(jì)算機(jī)病毒的侵害，讓系統(tǒng)正常運(yùn)行便成為企業(yè)和單位所面臨的一個重要問題。H3C防病毒技術(shù)特點(diǎn)H3C 的防病毒技術(shù)結(jié)合了基于會話流的高性能智能搜索算法和卡巴斯基的SafeStream病毒庫，以及多核操作系統(tǒng)分流技術(shù)對網(wǎng)絡(luò)中的病毒流量進(jìn)行檢測和清洗，克服了傳統(tǒng)防病毒網(wǎng)關(guān)防病毒性能不足的詬病，為企業(yè)提供了一種全新的安全解決方案。同時，H3C的防病毒技術(shù)將病毒檢測部署在企業(yè)網(wǎng)的入口，真正將病毒抵御于網(wǎng)絡(luò)之外，為企業(yè)網(wǎng)絡(luò)提供了一個堅(jiān)固的保護(hù)層。技術(shù)實(shí)現(xiàn)概念介紹SafeStream病毒庫SafeStrea

7、m病毒庫是卡巴斯基實(shí)驗(yàn)室（Kaspersky AVLab）提供的病毒特征庫， 并由卡巴斯基實(shí)驗(yàn)室進(jìn)行維護(hù)和更新。卡巴斯基在全球各區(qū)域設(shè)有多個病毒采樣點(diǎn)，并在各采樣點(diǎn)監(jiān)測和收集病毒樣本，然后由卡巴斯基實(shí)驗(yàn)室進(jìn)行分析、提取特征、測試，最后將病毒特征添加到SafeStream的病毒庫中。病毒特征分類H3C對于病毒特征的分類，沿用了卡巴斯基SafeStream病毒庫的分類標(biāo)準(zhǔn)，將病毒特征分為5類：Network Worms（網(wǎng)絡(luò)蠕蟲）、Classic Viruses（典型病毒）、Trojan Programs（木馬程序）、MalWare-Related Program（灰色軟件）和Other MalW

8、are（其他惡意程序）。具體的分類如 HYPERLINK l _bookmark1 表1所示。表1 病毒特征的分類分類子類型Network Worms（網(wǎng)絡(luò)蠕蟲，例如：沖擊波、尼姆達(dá)、紅色代碼等）WormEmail-WormIM-WormIRC-WormP2P-WormNet-WormClassic Viruses（典型病毒，例如：CIH病毒、灰鴿子、宏病毒等）VirusMacroTrojan Programs（木馬，例如：下載器木馬、QQ木馬等）TrojanBackdoorRootkitTrojan-AOLTrojan-ArcBomb分類子類型Trojan-ClickerTrojan-Dow

9、nloaderTrojan-DropperTrojan-NotifierTrojan-ProxyTrojan-PSWTrojan-SpyMalWare-Related Program（灰色軟件，例如： 下載器、服務(wù)器軟件和廣告軟件等）BadJokeClient-IRCDialerDownloaderPorn-DialerPorn-DownloaderPorn-ToolPSWToolRemoteAdminServer-FTPServer-ProxyServer-TelnetServer-WebHoaxOther Malware（其他惡意代碼，例如：DoS工具、溢出工具等）ConstructorD

10、oSFlooderExploitHackToolNukerH3C防病毒模型H3C 防病毒技術(shù)利用自主研發(fā)的應(yīng)用識別引擎，并結(jié)合卡巴斯基提供的SafeStream HYPERLINK l _bookmark3 病毒庫，實(shí)現(xiàn)對網(wǎng)絡(luò)流量的病毒檢測和防御，其處理模型如圖1所示。SafeStream+圖1 基于SafeStream病毒庫的防病毒模型應(yīng)用識別引擎H3C防病毒技術(shù)將卡巴斯基SafeStream病毒庫中的病毒特征融入H3C應(yīng)用識別引擎，在對網(wǎng)絡(luò)流量進(jìn)行協(xié)議識別的基礎(chǔ)上，結(jié)合SafeStream的病毒特征庫，利用內(nèi)嵌的高性能內(nèi)容搜索引擎進(jìn)行病毒特征的檢測。與傳統(tǒng)的、基于固定特征的病毒檢測不同，H

11、3C應(yīng)用識別引擎在協(xié)議上下文的基礎(chǔ)上進(jìn)行深度病毒檢測，這樣可以很好地避免誤報(bào)的發(fā)生，有效地提高了病毒檢測的準(zhǔn)確性。對于H3C應(yīng)用識別引擎的介紹具體請參見應(yīng)用識別技術(shù)白皮書。防病毒響應(yīng)在檢測到病毒時，H3C防病毒設(shè)備根據(jù)防病毒規(guī)則配置的動作做出響應(yīng)。響應(yīng)動作可以是下面動作中的一個或多個的組合：通過（Permit）：對檢測到的病毒報(bào)文不進(jìn)行處理，允許其通過。阻斷（Block）：禁止病毒報(bào)文通過。對于阻斷動作，除了阻斷當(dāng)前報(bào)文外， 對阻斷還可以設(shè)置以下參數(shù)：對發(fā)送該病毒的源進(jìn)行隔離。如果一個源被隔離，則后續(xù)所有報(bào)文都不能通過；如果不隔離，則只丟棄檢測到攻擊的報(bào)文。對于 TCP 應(yīng)用，還可選擇是否發(fā)送

12、 TCP Reset 報(bào)文；如果要發(fā)送 TCP Reset 報(bào)文，可以選擇向源方向、目的方向或者向雙方發(fā)送。對于 HTTP 訪問，還可選擇回應(yīng)重定向報(bào)文或者回應(yīng)指定的頁面。在用戶自定義的回應(yīng)頁面中，可以增加規(guī)則名稱、規(guī)則描述、以及其它自定義信息。通知（Notify）：在檢測到相應(yīng)病毒時記錄病毒事件。病毒事件可以輸出到本地?cái)?shù)據(jù)庫、通過 Email 通知管理員、輸出到用戶終端或 Syslog 主機(jī)。病毒庫升級H3C病毒庫的升級支持增量的在線升級方式，并且在升級的過程中不影響系統(tǒng)的正常業(yè)務(wù)。病毒庫升級完成后，系統(tǒng)自動切換病毒庫版本，不需要重啟設(shè)備。如果在病毒庫版本升級過程中發(fā)生異常而導(dǎo)致升級失敗，系統(tǒng)會自動回退到上一個病毒庫版本，也不會影響系統(tǒng)的正常業(yè)務(wù)。在H3C公司的網(wǎng)站上會實(shí)時更新病毒庫，以保證對新的病毒及時響應(yīng)。用戶可以選擇手動或者自動升級的方式，從公司網(wǎng)站上獲取最新的病毒庫升級包，以達(dá)到最佳的殺毒效果。自動升級：用戶只需要指定自動升級的時間和自動升級的周期，就能實(shí)現(xiàn)病毒庫的及時自動更新。為了避免由于網(wǎng)絡(luò)狀況不好造成的升級失敗，建議用戶將自動升級的時間設(shè)置在網(wǎng)絡(luò)流量較小的時間進(jìn)行。手動升級：用戶可以從 H3C 網(wǎng)站上獲取最新的病毒庫升級包，然后選擇手動升級的方式進(jìn)行病毒庫的更新。典型組網(wǎng)應(yīng)用H3C的IPS設(shè)備和UTM設(shè)備都