网关病毒扫描新技术.docVIP

网关病毒扫描新技术 　　 摘要：当前的防病毒产品主要包括桌面级、服务器级和网关级三种。对于网关级防病毒产品来说，如何提升大流量下的病毒扫描速度是目前面临的主要挑战。网络安全公司CP Secure推出一种“串流扫描技术”，能在安全网关接收到一部分数据包的时候就开始进行内容扫描，使得接收、扫描、发送三个步骤同时进行，有效缩短了病毒扫描的时间。 　　关键词：病毒；网关；串流扫描技术 　　 　　 针对目前病毒猖獗和防病毒市场火热的状况，各种各样的防病毒技术似乎都被宣称为能应对不断变化的病毒威胁。防病毒技术下连系统底层安全技术，上连用户复杂应用，其所表现的信息辨别和处理能力是非常具有挑战性的。此外，对系统运行和性能的影响程度也是考量防病毒水平高低的一个要素。 　　 　　网关病毒防范日益重要 　　 　　病毒的发展，目前呈现出的主要趋势是病毒与黑客程序相结合、蠕虫病毒更加泛滥、病毒破坏性更大、制作病毒的方法更简单、病毒传播速度更快、传播渠道更多、病毒感染对象越来越广。 因此，一个完善的安全体系应当是包含了从桌面到服务器、从内部用户到网络边界的全面解决方案，以防范来自黑客和病毒的威胁。基于这些需求，网关防病毒产品在目前的网络应用中，变得越来越重要，人们更加关注网关防病毒产品的研发。 　　蠕虫病毒产生以前，计算机病毒主要是以移动存储介质传播的。自蠕虫病毒出现之后，网络取代了移动存储介质的位置，网关防病毒产品自然成为了斩断网络病毒传播途径的有效手段之一。 　　基于硬件开发的网关防病毒产品已经推出一段时间，而具有相同功能的软件产品在市场上出现得更早。不过软件防病毒产品最大的缺陷是在易用性、安全性等方面与硬件产品存在一定的差异。软件防毒墙通常要安装到基于NT、Unix或者是Linux等开放式操作系统平台上才能使用，而开放式系统往往自身存有多种安全漏洞，且这些安全漏洞在互联网上可以被查寻到，用户若不及时打补丁，非法入侵者只需采用对系统进行攻击的方法就可轻松突破网络防护。这时软件防病毒产品不仅起不到安全防护作用，反而可能成为网络的安全隐患。同时软件防毒墙产品的性能和效率也会受到硬件环境的限制而无法达到最佳效果。 　　同防火墙产品发展的过程类似，网关防病毒产品的发展也经历了由软件到硬件的发展过程，而且从应用到技术实现有许多类似之处。首先，这两类产品在网络上处于相同位置，均在网关上起着十分重要的安全防护作用；其次，硬件防火墙和网关防病毒都是基于工控机开发的，是独立于操作系统平台之外的产品。 　　对于网关防病毒产品，在设计上厂商采用与防火墙产品大致相同的策略――精简操作系统、基于专用硬件平台等办法，来保证数据在网络中快速传输。不过相比防火墙粗放式解决问题的做法，网关防病毒产品可以将数据流还原成文件，从而进行文件的查、杀毒工作，对病毒的界定更准确和可靠。 　　 　　串流扫描技术 　　 　　网关防病毒技术主要有两部分，一是如何对进出网关的数据进行查杀；二是对要查杀的数据进行检测与清除。纵观目前主流的网关防病毒产品，其对数据的病毒检测还是以特征码匹配技术为主，其扫描技术和病毒库与其服务器版防病毒产品是一致的。如何对进出网关的数据进行查杀，是网关防病毒技术的关键。 　　由于目前防病毒产品还无法直接对数据包进行病毒检测，所以各厂商在网关处只能采取将数据包还原成文件的方式进行病毒处理。在此方面，防病毒厂商所采取的方式又各不相同，而CP Secure公司在其产品中采用了自主研发的“串流扫描技术”（Stream-based scanning），可以做到接收、扫描和输出同步进行，扫描速度比传统的扫描技术快了五倍以上。 　　串流扫描算法可以在获得很高的吞吐率的同时，大大减少网络延迟和超时的问题。网关防病毒产品的文件处理时间包括传输时间和扫描时间。一般来说，大部分处理时间花在文件的传输上。 　　在传统的使用随机存取算法的防病毒系统中，只有当整个文件都收到的时候才开始扫描，总的处理时间自然就会显得比较长。串流扫描技术可以在收到一部分文件的时候就开始扫描，相当于把需要扫描的文件化整为零，分成若干小段，提高了引擎的并行处理能力，从而缩短了处理时间。 　　此外，对于每一个文件，不同部分可以分别被扫描并输出，这样是部分而不是全部数据要缓存，减少了内存的使用。同时，由于文件不需要等到全部处理完就能输出，降低了传输延迟。 　　对于串流扫描来说，每次扫描文件的大小（颗粒度）主要是根据对应用层的信息解析，通过分析不同的文件类型，确定扫描的颗粒大小。CP Secure有自主研发的防毒引擎，对应用层的信息解析是引擎的基本功能，串流扫描的实现使得防毒引擎的功能和产品能够自然整合。 　　 　　应对大流量是挑战 　　 　　根据国际计算机安全联盟的调查显示，蠕虫