降的发动机安全设备第三方AV引擎开发者的反思.PDFVIP

降速的发动机 ——安全设备第三方AV引擎开发者的反思 安天实验室江海客（肖新光） seak@ 传统里面潜藏着多少危机 引子：终止一个十年流程的原 因… 一个已经执行了十年的流程 流程的风险….. 反病毒引擎供应商并不考虑客户应该使用怎样的引擎，而是告诉客 户应该这样使用引擎。 我们做了这些事 “最简单”的调用接口 我们的引擎接口简单，只要传递文件句柄！ 早期的AV引擎，多数以文件句柄为参数，这是因 为，这是主机反病毒引擎的原始接口。 但对网络来说，避免发生磁盘IO是绝对的原则， 因此意味着必须采用内存临时文件。 “最先进”的COM架构 没有参数和行命令接口的引擎，封装了一个 AV “服务”，采用进程间通讯机制，但仍需传递 文件位置。并采用进程间通讯位置传回。 “最科学的”异构平台一致性 由于不希望承担向Linux移植的成本，使用了一个 Windows仿真器。 一致性的几种实现方式 – 代码通用 – 库通用 – 全二进制通用 反病毒引擎的能力与反病毒厂商的自身能力并不是一致的。 我们仿佛为你做了这些事 广告色情件检测 我们可以为防火墙和其他安全设备提供病毒、蠕 虫、木马、后门、黑客工具、广告件、色情件等 各种恶意代码的过滤功能。——AVL SDK 2.0宣传。 Botnet的检测 我们可以检测34个僵尸家族的大量变种——AVL SDK 2.2说明书（2008年） 包过滤 高速的、流行的，明文规则 支持GPU优化。 高质量的规则剪裁 高质量规则的故事。 所谓1/4高质量的规则，不是通过网络事件遴选的， 而是主机统计，但实际上主机上的高频样本，不 见得是通过网络感染的。 开放的规则和引擎 可以开放源码和规则的反病毒引擎，带有500万条 流行规则。 采用全文HASH检测，提供明文规则。 为什么云可以，设备不行。 流行统计会有效么？ 云端变形的时代。 我们不是不能做这些事，但我们为什么拒绝。 我们拒绝做了哪些事 多线程支持 由于引擎框架的设计问 题，大量的全局变量应 用，无可避免的产生了 多线程间竞争的问题 一但需要支持多线程， 意味着整体框架的改动， 反病毒厂商不愿承受整 体重构的压力 反病毒厂商告诉用户无 法支持多线程 Cavium移植 基于MIPS体系架构的改动，巨大工作量 基于X86架构写的ASM 字节序的问题 多核运行 裸核无操作系统 脱壳功能 引擎中使用了大量的平台相关的API，例如WINDOS 平台中的函数，导致了无法移植到非WINDOS的平 台中 反病毒引擎会给你的设备带来麻烦，是的，是这样的。 我们给你找了这些麻烦 邮件病毒的处理 直路设备对于检测到的病毒可以采用阻断处理， 对于邮件蠕虫可以采用反馈式、或者追加式补发 邮件告知用户—— 《AVL SDK 2.0产品说明 （2004）》 Smtp 检测 POP3 检测 收件人 收件人 发件人 发件人 收件人 收件人 发件人 发件人 为构造 为非构 为真 为假 为构造 为非构 为真 为假