系统防病毒技术白皮书

系统防病毒技术白皮书
关键词：病毒、防病毒、卡巴斯基、SafeStream
摘要：本文介绍了H3C防病毒技术的基本原理和典型应用。

缩略语：
目录
1 概述 (3)
1.1 产生背景 (3)
1.2 H3C防病毒技术特点 (3)
2 技术实现 (4)
2.1 概念介绍 (4)
2.2 H3C防病毒模型 (5)
2.2.1 应用识别引擎 (6)
2.2.2 防病毒响应 (6)
2.2.3 病毒库升级 (7)
3 典型组网应用 (7)
1 概述
1.1 产生背景
计算机病毒是一组程序或指令的集合，它能够通过某种途径潜伏在计算机存储介质
或程序中，当达到某种条件（如特定时间或者特定网络流量等）时被激活，从而对
计算机资源进行一定程度的破坏。

计算机病毒，自诞生之日起，就伴随着计算机技术的发展而发展。

从80年代的“小
球”、“石头”病毒起至今，计算机使用者都在和计算机病毒斗争，也创造了各种
防病毒产品和方案。

但是随着Internet技术的发展，以及E-mail和一批网络工具的
出现，在改变人类信息传播方式的同时也使计算机病毒的种类迅速增加，扩散速度
也大大加快，计算机病毒的传播方式迅速突破地域的限制，由以往的单机之间的介
质传染转换为网络系统间的传播。

现在，计算机病毒已经可以通过移动磁盘、光盘、
局域网、WWW浏览、E-Mail、FTP下载等多种方式传播。

近年来，计算机病毒呈现出新的变化趋势，各种病毒制作工具也日益泛滥，病毒制
作的分工也更加明细和程序化，计算机病毒制造者开始按照既定的病毒制作流程制
作病毒。

计算机病毒的制造进入了“机械化”时代。

据ICSA统计，现在每天有超
过20种新计算机病毒出现。

同时，计算机病毒也逐渐以追求个人利益为目标，比如
目前流行的间谍软件、网游盗号木马、远程控制木马等，其目的就是通过网络在用
户不知情的状况下窃取有价数据或者财务信息，一旦企业或单位被病毒侵入并发作，
造成的损失和责任是难以承受的。

计算机病毒和计算机防病毒之间的斗争已经进入了由“杀”病毒到“防”病毒的时
代。

企业或单位只有拒病毒于网络之外，才能保证数据的真正安全。

因此，保证计
算机和网络系统免受计算机病毒的侵害，让系统正常运行便成为企业和单位所面临
的一个重要问题。

1.2 H3C防病毒技术特点
H3C 的防病毒技术结合了基于会话流的高性能智能搜索算法和卡巴斯基的
SafeStream病毒库，以及多核操作系统分流技术对网络中的病毒流量进行检测和
清洗，克服了传统防病毒网关防病毒性能不足的诟病，为企业提供了一种全新的安
全解决方案。

同时，H3C的防病毒技术将病毒检测部署在企业网的入口，真正将病毒抵御于网络
之外，为企业网络提供了一个坚固的保护层。

2 技术实现
2.1 概念介绍
1. SafeStream病毒库
SafeStream病毒库是卡巴斯基实验室（Kaspersky AVLab）提供的病毒特征库，
并由卡巴斯基实验室进行维护和更新。

卡巴斯基在全球各区域设有多个病毒采样点，
并在各采样点监测和收集病毒样本，然后由卡巴斯基实验室进行分析、提取特征、
测试，最后将病毒特征添加到SafeStream的病毒库中。

2. 病毒特征分类
H3C对于病毒特征的分类，沿用了卡巴斯基SafeStream病毒库的分类标准，将病
毒特征分为5类：Network Worms（网络蠕虫）、Classic Viruses（典型病毒）、
Trojan Programs（木马程序）、MalWare-Related Program（灰色软件）和Other
MalWare（其他恶意程序）。

具体的分类如表1所示。

表1 病毒特征的分类
2.2 H3C防病毒模型
H3C 防病毒技术利用自主研发的应用识别引擎，并结合卡巴斯基提供的
SafeStream病毒库，实现对网络流量的病毒检测和防御，其处理模型如图1所示。

SafeStream
……
图1 基于SafeStream病毒库的防病毒模型
2.2.1 应用识别引擎
H3C防病毒技术将卡巴斯基SafeStream病毒库中的病毒特征融入H3C应用识别引
擎，在对网络流量进行协议识别的基础上，结合SafeStream的病毒特征库，利用
内嵌的高性能内容搜索引擎进行病毒特征的检测。

与传统的、基于固定特征的病毒
检测不同，H3C应用识别引擎在协议上下文的基础上进行深度病毒检测，这样可以
很好地避免误报的发生，有效地提高了病毒检测的准确性。

对于H3C应用识别引擎
的介绍具体请参见《应用识别技术白皮书》。

2.2.2 防病毒响应
在检测到病毒时，H3C防病毒设备根据防病毒规则配置的动作做出响应。

响应动作
可以是下面动作中的一个或多个的组合：
(1) 通过（Permit）：对检测到的病毒报文不进行处理，允许其通过。

(2) 阻断（Block）：禁止病毒报文通过。

对于阻断动作，除了阻断当前报文外，
对阻断还可以设置以下参数：
•对发送该病毒的源进行隔离。

如果一个源被隔离，则后续所有报文都不能通过；如果不隔离，则只丢弃检测到攻击的报文。

•对于TCP 应用，还可选择是否发送TCP Reset 报文；如果要发送TCP Reset 报文，可以选择向源方向、目的方向或者向双方发送。

•对于HTTP 访问，还可选择回应重定向报文或者回应指定的页面。

在用户自定义的回应页面中，可以增加规则名称、规则描述、以及其它自定义信息。

(3) 通知（Notify）：在检测到相应病毒时记录病毒事件。

病毒事件可以输出到本
地数据库、通过Email 通知管理员、输出到用户终端或Syslog 主机。

2.2.3 病毒库升级
H3C病毒库的升级支持增量的在线升级方式，并且在升级的过程中不影响系统的正
常业务。

病毒库升级完成后，系统自动切换病毒库版本，不需要重启设备。

如果在
病毒库版本升级过程中发生异常而导致升级失败，系统会自动回退到上一个病毒库
版本，也不会影响系统的正常业务。

在H3C公司的网站上会实时更新病毒库，以保证对新的病毒及时响应。

用户可以选
择手动或者自动升级的方式，从公司网站上获取最新的病毒库升级包，以达到最佳
的杀毒效果。

•自动升级：用户只需要指定自动升级的时间和自动升级的周期，就能实现病毒库的及时自动更新。

为了避免由于网络状况不好造成的升级失败，建议用
户将自动升级的时间设置在网络流量较小的时间进行。

•手动升级：用户可以从H3C 网站上获取最新的病毒库升级包，然后选择手动升级的方式进行病毒库的更新。

3 典型组网应用
H3C的IPS设备和UTM设备都有防病毒检测的功能，对网络上病毒的检测防范与这
两款产品形态的组网应用相关，对于这两款产品的组网应用不再赘述。

下面以IPS
设备为例，介绍H3C防病毒检测的典型的组网应用。

Internet
IPS
图2 企业出口部署
在这种部署方式下，IPS设备以在线透明方式部署在业务网络的入口，对进出整个网络的流量进行病毒检测，并根据用户配置的病毒响应策略对病毒进行阻断或者监控。

同时，该网络的部署并不影响企业网络的已有拓扑。