Fortinet飞塔防病毒解决方案白皮书.pdfVIP

恶意代码检测 Fortinet 白皮书 恶意代码检测 白皮书 在网关处阻止恶意软件 恶意代码检测 Fortinet 白皮书 1. 病毒问题 目前，恶意软件感染率大幅增高，以窃取公司敏感数据和破坏重要用户用户 记录的恶意软件会给企业造成巨大的损失，企业必须选择正确的防御方式来阻止 恶意软件感染。针对现在的 Internet ，恶意软件研究人员发现了大量的恶意软件 活动，并评估每天都有数以千计的恶意软件变种在发布并传播。与之形成强烈对 比的是，只是在几年前，研究人员每天只能发现少量新的恶意软件。研究人员预 计随着Internet 中大量的新恶意继续恶化，这种情况仅是大流行的初期阶段。同 时黑客发布越来越复杂的恶意软件——一些被设计为偷渡式安装并通过一台曾 经是信任的主机或假冒他人进行分发。 这篇文档针对在网关处检测数据的网关防病毒架构设计，描述、比较并提出 了一份最好的实践指南。这种架构被设计对识别并阻止恶意软件内容进行高速数 据检查，如：键盘记录器、后门程序、间谍软件、rootkit 等其它形态的恶意软件。 将两种主流架构进行比较。第一种方式是Fortinet 利用定制硬件来加速文件 重组和应用识别的代理方式，可提供更全面的文件分析。第二种是基于数据流方 式，在对数据包进行逐个检测。以下内容将描述基于流方式虽然可提供最大化的 性能，但性能提高的代价是低检测率，增加用户因检测失败而感染恶意软件的高 风险。 值得注意的是 Fortinet 向正规的第三方认证中心(ICSA 实验室) 提交了 Fortinet 架构以确保100%的WildList 防御(WildList 是一个Internet 上最活跃病毒 的数据库。列表每月更新，由 维护，Fortinet 是其成员之一) 。 每月的ICSA 测试证明FortiGate 设备可提供100%的WildList 保护。另外，Fortinet 对恶意软件防御相比WildList 进行了扩充，使用启发式分析和文件还原引擎动态 的检测多形态病毒及新的恶意软件变种。通过对Web 、FTP 下载/上传、邮件信 息及 IM( 即时消息)等应用的数据传输进行扫描，FortiGate 设备可对最流行的恶 意软件进行阻止。反之，没有一种目前的基于流网关经过认证或行业证明可提供 100% WildList 保护。 2. Fortinet 方式——加速的内容分析 Fortinet 网络架构是利用专用的硬件架构，在不牺牲网络安全性和性能的前 提下，正确快速的检测恶意内容。使用深度文件分析和基于代理的应用引擎， FortiGate 设备把文件提交给内容层、协议层和启发式分析层等多个层次，使系统 能检查到最复杂的多形态恶意软件。为了进一步增加检测正确性，代理方式在检 测前可对文件解包或解密，使 FortiGate 设备能解决规避方法。由于文件经常被 有意的打包或加密，以逃避基于流的检测方式。 例如，黑客清楚基于流检测的运行原理后，故意的打包恶意软件以逃避基于 流扫描的检测。打包文件是指把文件压缩或归档为某种格式，如UPX 、gzip、ZIP 恶意代码检测 Fortinet 白皮书 和RAR 。正常使用Web 应用时，Web 服务器通常会为了更快的在Internet 上传 输内容对文件压缩。一旦接收到文件，浏览器将会自动解压文件并显示或执行。 因为组成一个文件的所有数据包必须被缓存并重组，而解包文件通常会消耗 很高的性能，大多数基于流的防病毒引擎只能提供有限的数据包重组支持。微软 最近的一份报告指出，超过一半的新发现的恶意软件为了逃避和迷惑的原因，都 被进行了打包。事实上许多基于流的引擎