【51CTO.com綜合報(bào)道】華賽UTM+產(chǎn)品，旨在為客戶提供一個(gè)擁有統(tǒng)一設(shè)計(jì)、融合技術(shù)以及全面的安全能力的方案。而在在華賽UTM+諸多的安全能力之中，防病毒技術(shù)是體現(xiàn)其融合、全面和高質(zhì)量安全的核心技術(shù)之一。本文將重點(diǎn)介紹這一核心技術(shù)。

防不勝防的新病毒

隨著Web2.0時(shí)代的到來，個(gè)人和企業(yè)的商業(yè)風(fēng)險(xiǎn)也越發(fā)地被暴露出來，包括網(wǎng)絡(luò)中斷，數(shù)據(jù)丟失，經(jīng)濟(jì)損失，增加企業(yè)運(yùn)營費(fèi)用等等。這些新的威脅，很多都集中在經(jīng)濟(jì)利益上。根據(jù)某防病毒公司提供的數(shù)據(jù)統(tǒng)計(jì)，2010上半年中國共有5.96億人次網(wǎng)民被病毒和惡意軟件感染，就是說平均每天有331萬網(wǎng)民中毒。

如今，世界各地的黑客們想法設(shè)法采用多種手段來非法獲利?，F(xiàn)在的病毒中，類似“熊貓燒香”、“橙色八月”之類能夠給電腦帶來嚴(yán)重破壞的病毒已經(jīng)大幅度下降，絕大多數(shù)病毒是以獲取經(jīng)濟(jì)利益為目的，用戶在“中招”之后，沒有明顯的異?，F(xiàn)象，不會(huì)影響電腦上網(wǎng)等正常工作，但用戶的經(jīng)濟(jì)利益在無形中已經(jīng)遭受巨大損失。

為了躲避殺毒軟件的查殺，這些病毒通常都會(huì)藏匿于用戶下載的二進(jìn)制文件中，而且，為了增加查殺難度，甚至?xí)啬溆趬嚎s文件中。病毒變得越來越復(fù)雜，并使用各種高級(jí)技術(shù)來隱藏他們的存在。另外，這些病毒還會(huì)被設(shè)計(jì)為長期潛伏在用戶的計(jì)算機(jī)中（APT，“高級(jí)長駐式威脅”），用于傳播其他惡意軟件，如密碼盜取程序、鍵盤記錄程序、虛假的防病毒軟件、遠(yuǎn)程控制軟件等。

華賽UTM+防病毒引擎鑄造網(wǎng)絡(luò)安全的鐵壁銅墻

對(duì)于任何一個(gè)UTM產(chǎn)品的防病毒引擎來講，有效的檢出率都是最基本的關(guān)鍵要素。華為賽門鐵克能夠提供業(yè)界檢出率最高的引擎解決方案。

華賽堅(jiān)持開發(fā)以有效檢出率為核心理念的防火墻引擎。華賽UTM+的防病毒引擎是一個(gè)高度優(yōu)化的引擎，通過高級(jí)的模擬、分析、模式匹配等技術(shù)實(shí)現(xiàn)了在文件中掃描威脅。我們的防病毒引擎僅在去年就檢測(cè)到了超過20億次的攻擊和2.4億個(gè)不同的病毒和變種。

在業(yè)界，防病毒引擎存在另一種做法：流掃描技術(shù)。這種技術(shù)只是對(duì)二進(jìn)制流進(jìn)行簡單的匹配，以確定是否存在病毒。這種技術(shù)實(shí)際上是一種妥協(xié)的表現(xiàn)。因?yàn)?，流掃描技術(shù)是從報(bào)文角度去檢測(cè)病毒，而不會(huì)從文件角度去檢測(cè)病毒，所以，流掃描技術(shù)只能檢測(cè)出簡單和低級(jí)的病毒，而對(duì)于壓縮后的病毒、加殼后的病毒、需要執(zhí)行才能暴露的病毒等等都無能為力。

華賽UTM+的防病毒引擎具有四大特點(diǎn)。首先，該引擎具有業(yè)界領(lǐng)先的檢測(cè)能力；其次，具備成熟高級(jí)的掃描技術(shù)；第三，該引擎還支持啟發(fā)式病毒掃描，代號(hào)MalHeur（也稱靜態(tài)啟發(fā)式，一個(gè)靜態(tài)啟發(fā)式簽名可以覆蓋成千上萬種病毒）；最后，該引擎非常穩(wěn)定。華賽UTM+的防病毒引擎在檢測(cè)高級(jí)威脅方面尤其杰出，例如高級(jí)的感染型病毒（如Virut），引導(dǎo)區(qū)/主引導(dǎo)記錄區(qū)的病毒（如MebRoot），還有不可執(zhí)行的文件病毒（如PDF 病毒-Bloodhound.PDF!gen和微軟 Office 文檔病毒 -Bloodhound.Exploit.312）等等。

那么，華賽UTM+的防病毒引擎，在技術(shù)上是如何實(shí)現(xiàn)高檢出率的呢？檢測(cè)算法很重要。傳統(tǒng)UTM的檢測(cè)算法基本都是基于字符串匹配和HASH匹配，對(duì)于藏匿于文件中的明顯病毒能夠有效地檢測(cè)出來，但是對(duì)于需要執(zhí)行才能暴露的病毒卻也無能為力。而華賽UTM+的防病毒引擎的仿真技術(shù)則能夠有效地檢測(cè)出這類病毒。

什么是仿真技術(shù)？簡單來說，仿真技術(shù)就相當(dāng)于在一個(gè)純軟件的計(jì)算機(jī)中“運(yùn)行”被檢測(cè)的文件(就像虛擬機(jī)一樣)，從而使得病毒暴露其不良活動(dòng)企圖或者現(xiàn)出原形。另外，華賽UTM+的腳本引擎可以實(shí)現(xiàn)那些復(fù)雜的檢測(cè)行為。通過腳本，我們可以創(chuàng)建一個(gè)全新的子引擎，如一個(gè)全新的PDF解析器，或者一個(gè)全新的基于哈希的引擎，又或者是全新的反混淆或者脫殼引擎。這樣，當(dāng)新型威脅出現(xiàn)時(shí)，我們就可以在幾小時(shí)內(nèi)開發(fā)出新的腳本并發(fā)布到工作的防病毒引擎上。

一款UTM產(chǎn)品，高的檢出率固然重要，但是對(duì)于一款出色的防病毒引擎來說，它所追求的應(yīng)該是盡可能高的檢出率和盡可能低的誤報(bào)率。在2009年度，賽門鐵克的防病毒產(chǎn)品獲得了AV-Comparatives (Andreas Clementi)的“2009年度最佳產(chǎn)品”，AV-Comparatives的創(chuàng)建人Andreas Clementi 給出的評(píng)價(jià)是“賽門鐵克反病毒引擎2009年的整體出色表現(xiàn)展示了其產(chǎn)品在高性能、高檢測(cè)率和低誤報(bào)上的完美結(jié)合。” 華賽UTM也因完整融合該優(yōu)秀的引擎和病毒庫使得我們的UTM在防病毒領(lǐng)域網(wǎng)關(guān)領(lǐng)域保證了高的檢出率和極低的誤報(bào)率。

全球?qū)崟r(shí)病毒庫讓華賽UTM+零時(shí)差更新

計(jì)算機(jī)病毒的更新和變種速度同樣也是爆炸式的。根據(jù)歷史記錄，2000年，賽門鐵克每天發(fā)現(xiàn)新病毒數(shù)量約為5條；2007年，華賽每天發(fā)現(xiàn)新病毒的數(shù)量已經(jīng)達(dá)到1000條；而今天，華賽每天都會(huì)發(fā)現(xiàn)超過15000條新的病毒及其變種。在2009年一年里，華賽共發(fā)現(xiàn)了2.4億個(gè)新的病毒威脅和變種，這個(gè)數(shù)據(jù)相比2008年整整翻了一番。

如何支撐新病毒檢測(cè)如此快速的更新能力呢？這歸功于華賽的全球?qū)崟r(shí)安全威脅監(jiān)控網(wǎng)絡(luò)。這是一個(gè)遍布200多個(gè)國家、部署了24萬個(gè)監(jiān)控點(diǎn)的威脅監(jiān)控網(wǎng)絡(luò)，由1.33億客戶端、服務(wù)器和網(wǎng)關(guān)組成。華賽的安全威脅監(jiān)控網(wǎng)絡(luò)能提供精準(zhǔn)深入的威脅分析，該監(jiān)控網(wǎng)絡(luò)的每一個(gè)威脅結(jié)果都服務(wù)于華賽UTM+的AV、AS、IPS、URL功能。另外，華賽的全球?qū)崟r(shí)安全威脅監(jiān)控網(wǎng)絡(luò)具有7*24*365的實(shí)時(shí)升級(jí)服務(wù)能力，并實(shí)現(xiàn)全球同步，零時(shí)差更新。

AV TEST從今年1月1日到8月30日對(duì)各主要廠商對(duì)于內(nèi)容安全升級(jí)次數(shù)的一個(gè)統(tǒng)計(jì)，我們可以看到，華為賽門鐵克以及賽門鐵克共同向用戶提供了總共1833次的內(nèi)容升級(jí)服務(wù)。這意味著平均每四個(gè)小時(shí)就可以向客戶提供一次新的升級(jí)服務(wù)，這在所有業(yè)界廠商中效率是最高的。

面對(duì)詭異難測(cè)的安全威脅與瞬息萬變的市場(chǎng)競(jìng)爭(zhēng)，華為賽門鐵克公司深入洞察用戶需求，著眼于全方位安全防護(hù)，將防病毒引擎等多項(xiàng)創(chuàng)新技術(shù)融入新一代UTM+平臺(tái)，在有效提升安全品質(zhì)的同時(shí)保證企業(yè)高效運(yùn)轉(zhuǎn)，同時(shí)為企業(yè)帶來了新的活力。