华赛UTM+产品,旨在为客户提供一个拥有统一设计、融合技术以及全面的安全能力的方案。而在在华赛UTM+诸多的安全能力之中,防病毒技术是体现其融合、全面和高质量安全的核心技术之一。本文将重点介绍这一核心技术。
防不胜防的新病毒
随着Web2.0时代的到来,个人和企业的商业风险也越发地被暴露出来,包括网络中断,数据丢失,经济损失,增加企业运营费用等等。这些新的威胁,很多都集中在经济利益上。根据某防病毒公司提供的数据统计,2010上半年中国共有5.96亿人次网民被病毒和恶意软件感染,就是说平均每天有331万网民中毒。
如今,世界各地的黑客们想法设法采用多种手段来非法获利。现在的病毒中,类似“熊猫烧香”、“橙色八月”之类能够给电脑带来严重破坏的病毒已经大幅度下降,绝大多数病毒是以获取经济利益为目的,用户在“中招”之后,没有明显的异常现象,不会影响电脑上网等正常工作,但用户的经济利益在无形中已经遭受巨大损失。
为了躲避杀毒软件的查杀,这些病毒通常都会藏匿于用户下载的二进制文件中,而且,为了增加查杀难度,甚至会藏匿于压缩文件中。病毒变得越来越复杂,并使用各种高级技术来隐藏他们的存在。另外,这些病毒还会被设计为长期潜伏在用户的计算机中(APT,“高级长驻式威胁”),用于传播其他恶意软件,如密码盗取程序、键盘记录程序、虚假的防病毒软件、远程控制软件等。
华赛UTM+防病毒引擎铸造网络安全的铁壁铜墙
对于任何一个UTM产品的防病毒引擎来讲,有效的检出率都是最基本的关键要素。华为赛门铁克能够提供业界检出率最高的引擎解决方案。
华赛坚持开发以有效检出率为核心理念的防火墙引擎。华赛UTM+的防病毒引擎是一个高度优化的引擎,通过高级的模拟、分析、模式匹配等技术实现了在文件中扫描威胁。我们的防病毒引擎仅在去年就检测到了超过20亿次的攻击和2.4亿个不同的病毒和变种。
在业界,防病毒引擎存在另一种做法:流扫描技术。这种技术只是对二进制流进行简单的匹配,以确定是否存在病毒。这种技术实际上是一种妥协的表现。因为,流扫描技术是从报文角度去检测病毒,而不会从文件角度去检测病毒,所以,流扫描技术只能检测出简单和低级的病毒,而对于压缩后的病毒、加壳后的病毒、需要执行才能暴露的病毒等等都无能为力。
华赛UTM+的防病毒引擎具有四大特点。首先,该引擎具有业界领先的检测能力;其次,具备成熟高级的扫描技术;第三,该引擎还支持启发式病毒扫描,代号MalHeur(也称静态启发式,一个静态启发式签名可以覆盖成千上万种病毒);最后,该引擎非常稳定。华赛UTM+的防病毒引擎在检测高级威胁方面尤其杰出,例如高级的感染型病毒(如Virut),引导区/主引导记录区的病毒(如MebRoot),还有不可执行的文件病毒(如PDF 病毒-Bloodhound.PDF!gen和微软 Office 文档病毒 -Bloodhound.Exploit.312)等等。
那么,华赛UTM+的防病毒引擎,在技术上是如何实现高检出率的呢?检测算法很重要。传统UTM的检测算法基本都是基于字符串匹配和HASH匹配,对于藏匿于文件中的明显病毒能够有效地检测出来,但是对于需要执行才能暴露的病毒却也无能为力。而华赛UTM+的防病毒引擎的仿真技术则能够有效地检测出这类病毒。
什么是仿真技术?简单来说,仿真技术就相当于在一个纯软件的计算机中“运行”被检测的文件(就像虚拟机一样),从而使得病毒暴露其不良活动企图或者现出原形。另外,华赛UTM+的脚本引擎可以实现那些复杂的检测行为。通过脚本,我们可以创建一个全新的子引擎,如一个全新的PDF解析器,或者一个全新的基于哈希的引擎,又或者是全新的反混淆或者脱壳引擎。这样,当新型威胁出现时,我们就可以在几小时内开发出新的脚本并发布到工作的防病毒引擎上。
