- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
防病毒技術白皮書
關鍵詞:病毒、防病毒、卡巴斯基、SafeStream
摘 要:本文介紹了H3C防病毒技術的基本原理和典型應用。
縮略語:
縮略語 | 英文全名 | 中文解釋 |
AV | Anti-Virus | 防病毒 |
DoS | Deny of Service | 拒絕服務攻擊 |
HTTP | Hypertext Transfer Protocol | 超文本傳輸協議 |
ICSA | International Computer Security Association | 國際計算機安全協會 |
IMAP | Internet Message Access Protocol | 互聯網消息訪問協議 |
POP3 | Post Office Protocol, version 3 | 郵局協議的第3個版本 |
SMTP | Simple Mail Transfer Protocol | 簡單郵件傳輸協議 |
目 錄
計算機病毒是一組程序或指令的集合,它能夠通過某種途徑潛伏在計算機存儲介質或程序中,當達到某種條件(如特定時間或者特定網絡流量等)時被激活,從而對計算機資源進行一定程度的破壞。
計算機病毒,自誕生之日起,就伴隨著計算機技術的發展而發展。從80年代的“小球”、“石頭”病毒起至今,計算機使用者都在和計算機病毒鬥爭,也創造了各種防病毒產品和方案。但是隨著Internet技術的發展,以及E-mail和一批網絡工具的出現,在改變人類信息傳播方式的同時也使計算機病毒的種類迅速增加,擴散速度也大大加快,計算機病毒的傳播方式迅速突破地域的限製,由以往的單機之間的介質傳染轉換為網絡係統間的傳播。現在,計算機病毒已經可以通過移動磁盤、光盤、局域網、WWW瀏覽、E-Mail、FTP下載等多種方式傳播。
近年來,計算機病毒呈現出新的變化趨勢,各種病毒製作工具也日益泛濫,病毒製作的分工也更加明細和程序化,計算機病毒製造者開始按照既定的病毒製作流程製作病毒。計算機病毒的製造進入了“機械化”時代。據ICSA統計,現在每天有超過20種新計算機病毒出現。同時,計算機病毒也逐漸以追求個人利益為目標,比如目前流行的間諜軟件、網遊盜號木馬、遠程控製木馬等,其目的就是通過網絡在用戶不知情的狀況下竊取有價數據或者財務信息,一旦企業或單位被病毒侵入並發作,造成的損失和責任是難以承受的。
計算機病毒和計算機防病毒之間的鬥爭已經進入了由“殺”病毒到“防”病毒的時代。企業或單位隻有拒病毒於網絡之外,才能保證數據的真正安全。因此,保證計算機和網絡係統免受計算機病毒的侵害,讓係統正常運行便成為企業和單位所麵臨的一個重要問題。
H3C的防病毒技術結合了基於會話流的高性能智能搜索算法和卡巴斯基的SafeStream病毒庫,以及多核操作係統分流技術對網絡中的病毒流量進行檢測和清洗,克服了傳統防病毒網關防病毒性能不足的詬病,為企業提供了一種全新的安全解決方案。
同時,H3C的防病毒技術將病毒檢測部署在企業網的入口,真正將病毒抵禦於網絡之外,為企業網絡提供了一個堅固的保護層。
SafeStream病毒庫是卡巴斯基實驗室(Kaspersky AVLab)提供的病毒特征庫,並由卡巴斯基實驗室進行維護和更新。卡巴斯基在全球各區域設有多個病毒采樣點,並在各采樣點監測和收集病毒樣本,然後由卡巴斯基實驗室進行分析、提取特征、測試,最後將病毒特征添加到SafeStream的病毒庫中。
H3C對於病毒特征的分類,沿用了卡巴斯基SafeStream病毒庫的分類標準,將病毒特征分為5類:Network Worms(網絡蠕蟲)、Classic Viruses(典型病毒)、Trojan Programs(木馬程序)、MalWare-Related Program(灰色軟件)和Other MalWare(其他惡意程序)。具體的分類如表1所示。
分類 | 子類型 |
Network Worms(網絡蠕蟲,例如:衝擊波、尼姆達、紅色代碼等) | Worm |
Email-Worm | |
IM-Worm | |
IRC-Worm | |
P2P-Worm | |
Net-Worm | |
Classic Viruses(典型病毒,例如:CIH病毒、灰鴿子、宏病毒等) | Virus |
Macro | |
Trojan Programs(木馬,例如:下載器木馬、QQ木馬等) | Trojan |
Backdoor | |
Rootkit | |
| Trojan-AOL | |
Trojan-ArcBomb | |
Trojan-Clicker | |
Trojan-Downloader | |
Trojan-Dropper | |
Trojan-Notifier | |
Trojan-Proxy | |
Trojan-PSW | |
Trojan-Spy | |
MalWare-Related Program(灰色軟件,例如:下載器、服務器軟件和廣告軟件等) | BadJoke |
Client-IRC | |
Dialer | |
Downloader | |
Porn-Dialer | |
Porn-Downloader | |
Porn-Tool | |
PSWTool | |
RemoteAdmin | |
Server-FTP | |
Server-Proxy | |
Server-Telnet | |
Server-Web | |
Hoax | |
Other Malware(其他惡意代碼,例如:DoS工具、溢出工具等) | Constructor |
DoS | |
Flooder | |
Exploit | |
HackTool | |
Nuker |
H3C防病毒技術利用自主研發的應用識別引擎,並結合卡巴斯基提供的SafeStream病毒庫,實現對網絡流量的病毒檢測和防禦,其處理模型如圖1所示。
圖1 基於SafeStream病毒庫的防病毒模型
H3C防病毒技術將卡巴斯基SafeStream病毒庫中的病毒特征融入H3C應用識別引擎,在對網絡流量進行協議識別的基礎上,結合SafeStream的病毒特征庫,利用內嵌的高性能內容搜索引擎進行病毒特征的檢測。與傳統的、基於固定特征的病毒檢測不同,H3C應用識別引擎在協議上下文的基礎上進行深度病毒檢測,這樣可以很好地避免誤報的發生,有效地提高了病毒檢測的準確性。對於H3C應用識別引擎的介紹具體請參見《應用識別技術白皮書》。
在檢測到病毒時,H3C防病毒設備根據防病毒規則配置的動作做出響應。響應動作可以是下麵動作中的一個或多個的組合:
(1) 通過(Permit):對檢測到的病毒報文不進行處理,允許其通過。
(2) 阻斷(Block):禁止病毒報文通過。對於阻斷動作,除了阻斷當前報文外,對阻斷還可以設置以下參數:
l 對發送該病毒的源進行隔離。如果一個源被隔離,則後續所有報文都不能通過;如果不隔離,則隻丟棄檢測到攻擊的報文。
l 對於TCP應用,還可選擇是否發送TCP Reset報文;如果要發送TCP Reset報文,可以選擇向源方向、目的方向或者向雙方發送。
l 對於HTTP 訪問,還可選擇回應重定向報文或者回應指定的頁麵。在用戶自定義的回應頁麵中,可以增加規則名稱、規則描述、以及其它自定義信息。
(3) 通知(Notify):在檢測到相應病毒時記錄病毒事件。病毒事件可以輸出到本地數據庫、通過Email通知管理員、輸出到用戶終端或Syslog主機。
H3C病毒庫的升級支持增量的在線升級方式,並且在升級的過程中不影響係統的正常業務。病毒庫升級完成後,係統自動切換病毒庫版本,不需要重啟設備。如果在病毒庫版本升級過程中發生異常而導致升級失敗,係統會自動回退到上一個病毒庫版本,也不會影響係統的正常業務。
在H3C公司的網站上會實時更新病毒庫,以保證對新的病毒及時響應。用戶可以選擇手動或者自動升級的方式,從公司網站上獲取最新的病毒庫升級包,以達到較佳的殺毒效果。
l 自動升級:用戶隻需要指定自動升級的時間和自動升級的周期,就能實現病毒庫的及時自動更新。為了避免由於網絡狀況不好造成的升級失敗,建議用戶將自動升級的時間設置在網絡流量較小的時間進行。
l 手動升級:用戶可以從H3C網站上獲取最新的病毒庫升級包,然後選擇手動升級的方式進行病毒庫的更新。
H3C的IPS設備和UTM設備都有防病毒檢測的功能,對網絡上病毒的檢測防範與這兩款產品形態的組網應用相關,對於這兩款產品的組網應用不再贅述。下麵以IPS設備為例,介紹H3C防病毒檢測的典型的組網應用。
圖2 企業出口部署
在這種部署方式下,IPS設備以在線透明方式部署在業務網絡的入口,對進出整個網絡的流量進行病毒檢測,並根據用戶配置的病毒響應策略對病毒進行阻斷或者監控。同時,該網絡的部署並不影響企業網絡的已有拓撲。
Copyright ©2009 杭州華三通信技術有限公司 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
本文檔中的信息可能變動,恕不另行通知。
售前谘詢
售後谘詢
人工在線谘詢
