华赛UTM+产品,旨在为客户提供一个拥有统一设计、融合技术以及全面的安全能力的方案。而在在华赛UTM+诸多的安全能力之中,防病毒技术是体现其融合、全面和高质量安全的核心技术之一。本文将重点介绍这一核心技术。
防不胜防的新病毒
随着Web2.0时代的到来,个人和企业的商业风险也越发地被暴露出来,包括网络中断,数据丢失,经济损失,增加企业运营费用等等。这些新的威胁,很多都集中在经济利益上。根据某防病毒公司提供的数据统计,2010上半年中国共有5.96亿人次网民被病毒和恶意软件感染,就是说平均每天有331万网民中毒。
如今,世界各地的黑客们想法设法采用多种手段来非法获利。现在的病毒中,类似“熊猫烧香”、“橙色八月”之类能够给电脑带来严重破坏的病毒已经大幅度下降,绝大多数病毒是以获取经济利益为目的,用户在“中招”之后,没有明显的异常现象,不会影响电脑上网等正常工作,但用户的经济利益在无形中已经遭受巨大损失。
为了躲避杀毒软件的查杀,这些病毒通常都会藏匿于用户下载的二进制文件中,而且,为了增加查杀难度,甚至会藏匿于压缩文件中。病毒变得越来越复杂,并使用各种高级技术来隐藏他们的存在。另外,这些病毒还会被设计为长期潜伏在用户的计算机中(APT,“高级长驻式威胁”),用于传播其他恶意软件,如密码盗取程序、键盘记录程序、虚假的防病毒软件、远程控制软件等。
华赛UTM+防病毒引擎铸造网络安全的铁壁铜墙
对于任何一个UTM产品的防病毒引擎来讲,有效的检出率都是最基本的关键要素。华为赛门铁克能够提供业界检出率最高的引擎解决方案。
华赛坚持开发以有效检出率为核心理念的防火墙引擎。华赛UTM+的防病毒引擎是一个高度优化的引擎,通过高级的模拟、分析、模式匹配等技术实现了在文件中扫描威胁。我们的防病毒引擎仅在去年就检测到了超过20亿次的攻击和2.4亿个不同的病毒和变种。
在业界,防病毒引擎存在另一种做法:流扫描技术。这种技术只是对二进制流进行简单的匹配,以确定是否存在病毒。这种技术实际上是一种妥协的表现。因为,流扫描技术是从报文角度去检测病毒,而不会从文件角度去检测病毒,所以,流扫描技术只能检测出简单和低级的病毒,而对于压缩后的病毒、加壳后的病毒、需要执行才能暴露的病毒等等都无能为力。
华赛UTM+的防病毒引擎具有四大特点。首先,该引擎具有业界领先的检测能力;其次,具备成熟高级的扫描技术;第三,该引擎还支持启发式病毒扫描,代号MalHeur(也称静态启发式,一个静态启发式签名可以覆盖成千上万种病毒);最后,该引擎非常稳定。华赛UTM+的防病毒引擎在检测高级威胁方面尤其杰出,例如高级的感染型病毒(如Virut),引导区/主引导记录区的病毒(如MebRoot),还有不可执行的文件病毒(如PDF 病毒-Bloodhound.PDF!gen和微软 Office 文档病毒 -Bloodhound.Exploit.312)等等。
