铁壁铜墙是这样炼成的——华为赛门铁克UTM+防病毒技术介绍

日期: 2011-06-07 来源:TechTarget中国

  华赛UTM+产品,旨在为客户提供一个拥有统一设计、融合技术以及全面的安全能力的方案。而在在华赛UTM+诸多的安全能力之中,防病毒技术是体现其融合、全面和高质量安全的核心技术之一。本文将重点介绍这一核心技术。

  防不胜防的新病毒

  随着Web2.0时代的到来,个人和企业的商业风险也越发地被暴露出来,包括网络中断,数据丢失,经济损失,增加企业运营费用等等。这些新的威胁,很多都集中在经济利益上。根据某防病毒公司提供的数据统计,2010上半年中国共有5.96亿人次网民被病毒和恶意软件感染,就是说平均每天有331万网民中毒。

  如今,世界各地的黑客们想法设法采用多种手段来非法获利。现在的病毒中,类似“熊猫烧香”、“橙色八月”之类能够给电脑带来严重破坏的病毒已经大幅度下降,绝大多数病毒是以获取经济利益为目的,用户在“中招”之后,没有明显的异常现象,不会影响电脑上网等正常工作,但用户的经济利益在无形中已经遭受巨大损失。

  为了躲避杀毒软件的查杀,这些病毒通常都会藏匿于用户下载的二进制文件中,而且,为了增加查杀难度,甚至会藏匿于压缩文件中。病毒变得越来越复杂,并使用各种高级技术来隐藏他们的存在。另外,这些病毒还会被设计为长期潜伏在用户的计算机中(APT,“高级长驻式威胁”),用于传播其他恶意软件,如密码盗取程序、键盘记录程序、虚假的防病毒软件、远程控制软件等。

  华赛UTM+防病毒引擎铸造网络安全的铁壁铜墙

  对于任何一个UTM产品的防病毒引擎来讲,有效的检出率都是最基本的关键要素。华为赛门铁克能够提供业界检出率最高的引擎解决方案。

  华赛坚持开发以有效检出率为核心理念的防火墙引擎。华赛UTM+的防病毒引擎是一个高度优化的引擎,通过高级的模拟、分析、模式匹配等技术实现了在文件中扫描威胁。我们的防病毒引擎仅在去年就检测到了超过20亿次的攻击和2.4亿个不同的病毒和变种。

  在业界,防病毒引擎存在另一种做法:流扫描技术。这种技术只是对二进制流进行简单的匹配,以确定是否存在病毒。这种技术实际上是一种妥协的表现。因为,流扫描技术是从报文角度去检测病毒,而不会从文件角度去检测病毒,所以,流扫描技术只能检测出简单和低级的病毒,而对于压缩后的病毒、加壳后的病毒、需要执行才能暴露的病毒等等都无能为力。

  华赛UTM+的防病毒引擎具有四大特点。首先,该引擎具有业界领先的检测能力;其次,具备成熟高级的扫描技术;第三,该引擎还支持启发式病毒扫描,代号MalHeur(也称静态启发式,一个静态启发式签名可以覆盖成千上万种病毒);最后,该引擎非常稳定。华赛UTM+的防病毒引擎在检测高级威胁方面尤其杰出,例如高级的感染型病毒(如Virut),引导区/主引导记录区的病毒(如MebRoot),还有不可执行的文件病毒(如PDF病毒Bloodhound.PDF!gen和微软Office文档病毒Bloodhound.Exploit.312)等等。

  那么,华赛UTM+的防病毒引擎,在技术上是如何实现高检出率的呢?检测算法很重要。传统UTM的检测算法基本都是基于字符串匹配和HASH匹配,对于藏匿于文件中的明显病毒能够有效地检测出来,但是对于需要执行才能暴露的病毒却也无能为力。而华赛UTM+的防病毒引擎的仿真技术则能够有效地检测出这类病毒。

  什么是仿真技术?简单来说,仿真技术就相当于在一个纯软件的计算机中“运行”被检测的文件(就像虚拟机一样),从而使得病毒暴露其不良活动企图或者现出原形。另外,华赛UTM+的脚本引擎可以实现那些复杂的检测行为。通过脚本,我们可以创建一个全新的子引擎,如一个全新的PDF解析器,或者一个全新的基于哈希的引擎,又或者是全新的反混淆或者脱壳引擎。这样,当新型威胁出现时,我们就可以在几小时内开发出新的脚本并发布到工作的防病毒引擎上。

  一款UTM产品,高的检出率固然重要,但是对于一款出色的防病毒引擎来说,它所追求的应该是尽可能高的检出率和尽可能低的误报率。在2009年度,赛门铁克的防病毒产品获得了AV-Comparatives (Andreas Clementi)的“2009年度最佳产品”,AV-Comparatives的创建人Andreas Clementi 给出的评价是“赛门铁克反病毒引擎2009年的整体出色表现展示了其产品在高性能、高检测率和低误报上的完美结合。” 华赛UTM也因完整融合该优秀的引擎和病毒库使得我们的UTM在防病毒领域网关领域保证了高的检出率和极低的误报率。

  全球实时病毒库让华赛UTM+零时差更新

  计算机病毒的更新和变种速度同样也是爆炸式的。根据历史记录,2000年,赛门铁克每天发现新病毒数量约为5条;2007年,华赛每天发现新病毒的数量已经达到1000条;而今天,华赛每天都会发现超过15000条新的病毒及其变种。在2009年一年里,华赛共发现了2.4亿个新的病毒威胁和变种,这个数据相比2008年整整翻了一番。

  如何支撑新病毒检测如此快速的更新能力呢?这归功于华赛的全球实时安全威胁监控网络。这是一个遍布200多个国家、部署了24万个监控点的威胁监控网络,由1.33亿客户端、服务器和网关组成。华赛的安全威胁监控网络能提供精准深入的威胁分析,该监控网络的每一个威胁结果都服务于华赛UTM+的AV、AS、IPS、URL功能。另外,华赛的全球实时安全威胁监控网络具有7*24*365的实时升级服务能力,并实现全球同步,零时差更新。

  AV TEST从今年1月1日到8月30日对各主要厂商对于内容安全升级次数的一个统计,我们可以看到,华为赛门铁克以及赛门铁克共同向用户提供了总共1833次的内容升级服务。这意味着平均每四个小时就可以向客户提供一次新的升级服务,这在所有业界厂商中效率是最高的。

  面对诡异难测的安全威胁与瞬息万变的市场竞争,华为赛门铁克公司深入洞察用户需求,着眼于全方位安全防护,将防病毒引擎等多项创新技术融入新一代UTM+平台,在有效提升安全品质的同时保证企业高效运转,同时为企业带来了新的活力。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 世界是灰色的:也谈对NGFW的几点思考

    网络安全行业,从来不缺乏新产品、新技术,尤其以2012年在国内不断兴起的下一代防火墙为代表。然而一直困扰企业用户的,就在于大家很难明确区分下一代防火墙与传统防火墙、UTM的区别……

  • 哪些组织将受益于统一威胁管理产品?

    多数 UTM 厂商提供一系列不同容量和能力的设备。由于 UTM 设备的模块化属性,管理员可以启用所有或部分特性以适应环境需要。

  • 统一威胁管理产品的“硬币两面”

    统一威胁管理(UTM)产品是专用安全系统,采用优化过的硬件和软件,可以同时执行多项安全功能,如防火墙、入侵检测与防御、防病毒、虚拟专用网络以及更多。

  • 统一威胁管理实用手册

    为了应对更加纷繁复杂的攻击,供应商开发出一些集成系统,将所有不同的防御技术集成到一个产品中,统一威胁管理(UTM)系统应运而生。统一威胁管理系统囊括多种功能,且价格相对较低,以其高性价比而颇受青睐。