华为赛门铁克UTM+防病毒技术介绍

华赛UTM+产品,旨在为客户提供一个拥有统一设计、融合技术以及全面的安全能力的方案。而在在华赛UTM+诸多的安全能力之中,防病毒技术是体现其融合、全面和高质量安全的核心技术之一。本文将重点介绍这一核心技术。

防不胜防的新病毒

随着Web2.0时代的到来,个人和企业的商业风险也越发地被暴露出来,包括网络中断,数据丢失,经济损失,增加企业运营费用等等。这些新的威胁,很多都集中在经济利益上。根据某防病毒公司提供的数据统计,2010上半年中国共有5.96亿人次网民被病毒和恶意软件感染,就是说平均每天有331万网民中毒。

如今,世界各地的黑客们想法设法采用多种手段来非法获利。现在的病毒中,类似“熊猫烧香”、“橙色八月”之类能够给电脑带来严重破坏的病毒已经大幅度下降,绝大多数病毒是以获取经济利益为目的,用户在“中招”之后,没有明显的异常现象,不会影响电脑上网等正常工作,但用户的经济利益在无形中已经遭受巨大损失。

为了躲避杀毒软件的查杀,这些病毒通常都会藏匿于用户下载的二进制文件中,而且,为了增加查杀难度,甚至会藏匿于压缩文件中。病毒变得越来越复杂,并使用各种高级技术来隐藏他们的存在。另外,这些病毒还会被设计为长期潜伏在用户的计算机中(APT,“高级长驻式威胁”),用于传播其他恶意软件,如密码盗取程序、键盘记录程序、虚假的防病毒软件、远程控制软件等。

华赛UTM+防病毒引擎铸造网络安全的铁壁铜墙

对于任何一个UTM产品的防病毒引擎来讲,有效的检出率都是最基本的关键要素。华为赛门铁克能够提供业界检出率最高的引擎解决方案。

华赛坚持开发以有效检出率为核心理念的防火墙引擎。华赛UTM+的防病毒引擎是一个高度优化的引擎,通过高级的模拟、分析、模式匹配等技术实现了在文件中扫描威胁。我们的防病毒引擎仅在去年就检测到了超过20亿次的攻击和2.4亿个不同的病毒和变种。

在业界,防病毒引擎存在另一种做法:流扫描技术。这种技术只是对二进制流进行简单的匹配,以确定是否存在病毒。这种技术实际上是一种妥协的表现。因为,流扫描技术是从报文角度去检测病毒,而不会从文件角度去检测病毒,所以,流扫描技术只能检测出简单和低级的病毒,而对于压缩后的病毒、加壳后的病毒、需要执行才能暴露的病毒等等都无能为力。

华赛UTM+的防病毒引擎具有四大特点。首先,该引擎具有业界领先的检测能力;其次,具备成熟高级的扫描技术;第三,该引擎还支持启发式病毒扫描,代号MalHeur(也称静态启发式,一个静态启发式签名可以覆盖成千上万种病毒);最后,该引擎非常稳定。华赛UTM+的防病毒引擎在检测高级威胁方面尤其杰出,例如高级的感染型病毒(如Virut),引导区/主引导记录区的病毒(如MebRoot),还有不可执行的文件病毒(如PDF 病毒-Bloodhound.PDF!gen和微软 Office 文档病毒 -Bloodhound.Exploit.312)等等。

那么,华赛UTM+的防病毒引擎,在技术上是如何实现高检出率的呢?检测算法很重要。传统UTM的检测算法基本都是基于字符串匹配和HASH匹配,对于藏匿于文件中的明显病毒能够有效地检测出来,但是对于需要执行才能暴露的病毒却也无能为力。而华赛UTM+的防病毒引擎的仿真技术则能够有效地检测出这类病毒。

什么是仿真技术?简单来说,仿真技术就相当于在一个纯软件的计算机中“运行”被检测的文件(就像虚拟机一样),从而使得病毒暴露其不良活动企图或者现出原形。另外,华赛UTM+的脚本引擎可以实现那些复杂的检测行为。通过脚本,我们可以创建一个全新的子引擎,如一个全新的PDF解析器,或者一个全新的基于哈希的引擎,又或者是全新的反混淆或者脱壳引擎。这样,当新型威胁出现时,我们就可以在几小时内开发出新的脚本并发布到工作的防病毒引擎上。

一款UTM产品,高的检出率固然重要,但是对于一款出色的防病毒引擎来说,它所追求的应该是尽可能高的检出率和尽可能低的误报率。在2009年度,赛门铁克的防病毒产品获得了AV-Comparatives (Andreas Clementi)的“2009年度最佳产品”,AV-Comparatives的创建人Andreas Clementi 给出的评价是“赛门铁克反病毒引擎2009年的整体出色表现展示了其产品在高性能、高检测率和低误报上的完美结合。” 华赛UTM也因完整融合该优秀的引擎和病毒库使得我们的UTM在防病毒领域网关领域保证了高的检出率和极低的误报率。

全球实时病毒库让华赛UTM+零时差更新

计算机病毒的更新和变种速度同样也是爆炸式的。根据历史记录,2000年,赛门铁克每天发现新病毒数量约为5条;2007年,华赛每天发现新病毒的数量已经达到1000条;而今天,华赛每天都会发现超过15000条新的病毒及其变种。在2009年一年里,华赛共发现了2.4亿个新的病毒威胁和变种,这个数据相比2008年整整翻了一番。

如何支撑新病毒检测如此快速的更新能力呢?这归功于华赛的全球实时安全威胁监控网络。这是一个遍布200多个国家、部署了24万个监控点的威胁监控网络,由1.33亿客户端、服务器和网关组成。华赛的安全威胁监控网络能提供精准深入的威胁分析,该监控网络的每一个威胁结果都服务于华赛UTM+的AV、AS、IPS、URL功能。另外,华赛的全球实时安全威胁监控网络具有7*24*365的实时升级服务能力,并实现全球同步,零时差更新。

AV TEST从今年1月1日到8月30日对各主要厂商对于内容安全升级次数的一个统计,我们可以看到,华为赛门铁克以及赛门铁克共同向用户提供了总共1833次的内容升级服务。这意味着平均每四个小时就可以向客户提供一次新的升级服务,这在所有业界厂商中效率是最高的。

面对诡异难测的安全威胁与瞬息万变的市场竞争,华为赛门铁克公司深入洞察用户需求,着眼于全方位安全防护,将防病毒引擎等多项创新技术融入新一代UTM+平台,在有效提升安全品质的同时保证企业高效运转,同时为企业带来了新的活力。