系统防病毒技术白皮书

1、系统防病毒技术白皮书关键词：病毒、防病毒、卡巴斯基、SafeStream缩略语英文全名中文解释AVAnti-Virus防病毒DoSDeny of Service拒绝服务攻击HTTPHypertext Transfer Protocol超文本传输协议ICSAInternational Computer Security Association国际计算机安全协会IMAPInternet Message Access Protocol互联网消息访问协议POP3Post Office Protocol, version 3邮局协议的第3个版本SMTPSimple Mail Transfer Proto

2、col简单邮件传输协议摘要：本文介绍了H3C防病毒技术的基本原理和典型应用。缩略语：目 录 HYPERLINK l _bookmark0 概述 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 产生背景 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 H3C防病毒技术特点 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 技术实现 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 概念介绍 HYPERLINK

3、l _bookmark1 4 HYPERLINK l _bookmark2 H3C防病毒模型 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark3 应用识别引擎 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark3 防病毒响应 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark4 病毒库升级 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 典型组网应用 HYPERLINK l _bookmark4 7概述产生背景计算机病毒

4、是一组程序或指令的集合，它能够通过某种途径潜伏在计算机存储介质或程序中，当达到某种条件（如特定时间或者特定网络流量等）时被激活，从而对计算机资源进行一定程度的破坏。计算机病毒，自诞生之日起，就伴随着计算机技术的发展而发展。从80年代的“小球”、“石头”病毒起至今，计算机使用者都在和计算机病毒斗争，也创造了各种防病毒产品和方案。但是随着Internet技术的发展，以及E-mail和一批网络工具的出现，在改变人类信息传播方式的同时也使计算机病毒的种类迅速增加，扩散速度也大大加快，计算机病毒的传播方式迅速突破地域的限制，由以往的单机之间的介质传染转换为网络系统间的传播。现在，计算机病毒已经可以通过移

5、动磁盘、光盘、局域网、WWW浏览、E-Mail、FTP下载等多种方式传播。近年来，计算机病毒呈现出新的变化趋势，各种病毒制作工具也日益泛滥，病毒制作的分工也更加明细和程序化，计算机病毒制造者开始按照既定的病毒制作流程制作病毒。计算机病毒的制造进入了“机械化”时代。据ICSA统计，现在每天有超过20种新计算机病毒出现。同时，计算机病毒也逐渐以追求个人利益为目标，比如目前流行的间谍软件、网游盗号木马、远程控制木马等，其目的就是通过网络在用户不知情的状况下窃取有价数据或者财务信息，一旦企业或单位被病毒侵入并发作，造成的损失和责任是难以承受的。计算机病毒和计算机防病毒之间的斗争已经进入了由“杀”病毒到

6、“防”病毒的时代。企业或单位只有拒病毒于网络之外，才能保证数据的真正安全。因此，保证计算机和网络系统免受计算机病毒的侵害，让系统正常运行便成为企业和单位所面临的一个重要问题。H3C防病毒技术特点H3C 的防病毒技术结合了基于会话流的高性能智能搜索算法和卡巴斯基的SafeStream病毒库，以及多核操作系统分流技术对网络中的病毒流量进行检测和清洗，克服了传统防病毒网关防病毒性能不足的诟病，为企业提供了一种全新的安全解决方案。同时，H3C的防病毒技术将病毒检测部署在企业网的入口，真正将病毒抵御于网络之外，为企业网络提供了一个坚固的保护层。技术实现概念介绍SafeStream病毒库SafeStrea

7、m病毒库是卡巴斯基实验室（Kaspersky AVLab）提供的病毒特征库， 并由卡巴斯基实验室进行维护和更新。卡巴斯基在全球各区域设有多个病毒采样点，并在各采样点监测和收集病毒样本，然后由卡巴斯基实验室进行分析、提取特征、测试，最后将病毒特征添加到SafeStream的病毒库中。病毒特征分类H3C对于病毒特征的分类，沿用了卡巴斯基SafeStream病毒库的分类标准，将病毒特征分为5类：Network Worms（网络蠕虫）、Classic Viruses（典型病毒）、Trojan Programs（木马程序）、MalWare-Related Program（灰色软件）和Other MalW

8、are（其他恶意程序）。具体的分类如 HYPERLINK l _bookmark1 表1所示。表1 病毒特征的分类分类子类型Network Worms（网络蠕虫，例如：冲击波、尼姆达、红色代码等）WormEmail-WormIM-WormIRC-WormP2P-WormNet-WormClassic Viruses（典型病毒，例如：CIH病毒、灰鸽子、宏病毒等）VirusMacroTrojan Programs（木马，例如：下载器木马、QQ木马等）TrojanBackdoorRootkitTrojan-AOLTrojan-ArcBomb分类子类型Trojan-ClickerTrojan-Dow

9、nloaderTrojan-DropperTrojan-NotifierTrojan-ProxyTrojan-PSWTrojan-SpyMalWare-Related Program（灰色软件，例如： 下载器、服务器软件和广告软件等）BadJokeClient-IRCDialerDownloaderPorn-DialerPorn-DownloaderPorn-ToolPSWToolRemoteAdminServer-FTPServer-ProxyServer-TelnetServer-WebHoaxOther Malware（其他恶意代码，例如：DoS工具、溢出工具等）ConstructorD

10、oSFlooderExploitHackToolNukerH3C防病毒模型H3C 防病毒技术利用自主研发的应用识别引擎，并结合卡巴斯基提供的SafeStream HYPERLINK l _bookmark3 病毒库，实现对网络流量的病毒检测和防御，其处理模型如图1所示。SafeStream+图1 基于SafeStream病毒库的防病毒模型应用识别引擎H3C防病毒技术将卡巴斯基SafeStream病毒库中的病毒特征融入H3C应用识别引擎，在对网络流量进行协议识别的基础上，结合SafeStream的病毒特征库，利用内嵌的高性能内容搜索引擎进行病毒特征的检测。与传统的、基于固定特征的病毒检测不同，H

11、3C应用识别引擎在协议上下文的基础上进行深度病毒检测，这样可以很好地避免误报的发生，有效地提高了病毒检测的准确性。对于H3C应用识别引擎的介绍具体请参见应用识别技术白皮书。防病毒响应在检测到病毒时，H3C防病毒设备根据防病毒规则配置的动作做出响应。响应动作可以是下面动作中的一个或多个的组合：通过（Permit）：对检测到的病毒报文不进行处理，允许其通过。阻断（Block）：禁止病毒报文通过。对于阻断动作，除了阻断当前报文外， 对阻断还可以设置以下参数：对发送该病毒的源进行隔离。如果一个源被隔离，则后续所有报文都不能通过；如果不隔离，则只丢弃检测到攻击的报文。对于 TCP 应用，还可选择是否发送

12、 TCP Reset 报文；如果要发送 TCP Reset 报文，可以选择向源方向、目的方向或者向双方发送。对于 HTTP 访问，还可选择回应重定向报文或者回应指定的页面。在用户自定义的回应页面中，可以增加规则名称、规则描述、以及其它自定义信息。通知（Notify）：在检测到相应病毒时记录病毒事件。病毒事件可以输出到本地数据库、通过 Email 通知管理员、输出到用户终端或 Syslog 主机。病毒库升级H3C病毒库的升级支持增量的在线升级方式，并且在升级的过程中不影响系统的正常业务。病毒库升级完成后，系统自动切换病毒库版本，不需要重启设备。如果在病毒库版本升级过程中发生异常而导致升级失败，系统会自动回退到上一个病毒库版本，也不会影响系统的正常业务。在H3C公司的网站上会实时更新病毒库，以保证对新的病毒及时响应。用户可以选择手动或者自动升级的方式，从公司网站上获取最新的病毒库升级包，以达到最佳的杀毒效果。自动升级：用户只需要指定自动升级的时间和自动升级的周期，就能实现病毒库的及时自动更新。为了避免由于网络状况不好造成的升级失败，建议用户将自动升级的时间设置在网络流量较小的时间进行。手动升级：用户可以从 H3C 网站上获取最新的病毒库升级包，然后选择手动升级的方式进行病毒库的更新。典型组网应用H3C的IPS设备和UTM设备都