系统防病毒技术白皮书.docx

系统防病毒技术白皮书  关键词：病毒、防病毒、卡巴斯基、SafeStream 缩略语英文全名中文解释AVAnti-Virus防病毒DoSDeny of Service拒绝服务攻击 缩略语 英文全名 中文解释 AV Anti-Virus 防病毒 DoS Deny of Service 拒绝服务攻击 HTTP Hypertext Transfer Protocol 超文本传输协议 ICSA International Computer Security Association 国际计算机安全协会 IMAP Internet Message Access Protocol 互联网消息访问协议 POP3 Post Office Protocol, version 3 邮局协议的第3个版本 SMTP Simple Mail Transfer Protocol 简单邮件传输协议 目 录 概述 3 产生背景 3 H3C防病毒技术特点 3 技术实现 4 概念介绍 4 H3C防病毒模型 5 应用识别引擎 6 防病毒响应 6 病毒库升级 7 典型组网应用 7 概述 产生背景 计算机病毒是一组程序或指令的集合，它能够通过某种途径潜伏在计算机存储介质或程序中，当达到某种条件（如特定时间或者特定网络流量等）时被激活，从而对计算机资源进行一定程度的破坏。 计算机病毒，自诞生之日起，就伴随着计算机技术的发展而发展。从80年代的“小球”、“石头”病毒起至今，计算机使用者都在和计算机病毒斗争，也创造了各种防病毒产品和方案。但是随着Internet技术的发展，以及E-mail和一批网络工具的出现，在改变人类信息传播方式的同时也使计算机病毒的种类迅速增加，扩散速度也大大加快，计算机病毒的传播方式迅速突破地域的限制，由以往的单机之间的介质传染转换为网络系统间的传播。现在，计算机病毒已经可以通过移动磁盘、光盘、局域网、WWW浏览、E-Mail、FTP下载等多种方式传播。 近年来，计算机病毒呈现出新的变化趋势，各种病毒制作工具也日益泛滥，病毒制作的分工也更加明细和程序化，计算机病毒制造者开始按照既定的病毒制作流程制作病毒。计算机病毒的制造进入了“机械化”时代。据ICSA统计，现在每天有超过20种新计算机病毒出现。同时，计算机病毒也逐渐以追求个人利益为目标，比如目前流行的间谍软件、网游盗号木马、远程控制木马等，其目的就是通过网络在用户不知情的状况下窃取有价数据或者财务信息，一旦企业或单位被病毒侵入并发作，造成的损失和责任是难以承受的。 计算机病毒和计算机防病毒之间的斗争已经进入了由“杀”病毒到“防”病毒的时代。企业或单位只有拒病毒于网络之外，才能保证数据的真正安全。因此，保证计算机和网络系统免受计算机病毒的侵害，让系统正常运行便成为企业和单位所面临的一个重要问题。 H3C防病毒技术特点 H3C 的防病毒技术结合了基于会话流的高性能智能搜索算法和卡巴斯基的SafeStream病毒库，以及多核操作系统分流技术对网络中的病毒流量进行检测和清洗，克服了传统防病毒网关防病毒性能不足的诟病，为企业提供了一种全新的安全解决方案。 同时，H3C的防病毒技术将病毒检测部署在企业网的入口，真正将病毒抵御于网络之外，为企业网络提供了一个坚固的保护层。 技术实现 概念介绍 SafeStream病毒库 SafeStream病毒库是卡巴斯基实验室（Kaspersky AVLab）提供的病毒特征库， 并由卡巴斯基实验室进行维护和更新。卡巴斯基在全球各区域设有多个病毒采样点，并在各采样点监测和收集病毒样本，然后由卡巴斯基实验室进行分析、提取特征、测试，最后将病毒特征添加到SafeStream的病毒库中。 病毒特征分类 H3C对于病毒特征的分类，沿用了卡巴斯基SafeStream病毒库的分类标准，将病毒特征分为5类：Network Worms（网络蠕虫）、Classic Viruses（典型病毒）、Trojan Programs（木马程序）、MalWare-Related Program（灰色软件）和Other MalWare（其他恶意程序）。具体的分类如 表1所示。 表1 病毒特征的分类 分类 子类型 Network Worms（网络蠕虫，例如：冲击波、尼姆达、红色代码等） Worm Email-Worm IM-Worm IRC-Worm P2P-Worm Net-Worm Classic Viruses（典型病毒，例如：CIH病毒、灰鸽子、宏病毒等） Virus Macro Trojan Programs（木马，例如：下载器木马、 QQ木马等） Trojan Backdoor Rootkit Trojan-AOL T