DPI深度安全技术之防病毒介绍-6W100-整本手册.pdf
免费下载
DPI深度安全
防病毒
技术介绍
新华三资料开发部出品
Copyright © 2020 新华三技术有限公司 版权所有,保留一切权利
本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品
相关说明
防病毒功能需要购买并正确安装License后才能使用。License过期后,防病毒功能可以使用设备中已有的防病毒
特征库正常工作,但无法将特征库升级到更高版本。
典型应用
边界部署,阻断病毒入侵
设备部署在网络出口,实时检测并阻断病毒攻击。可对内网用户从外网下载的文件、对外网用户上传到内网服务器
的文件进行病毒检测,阻断病毒入侵。保证内网服务器和内网用户的安全。
内网部署,防止病毒传播
设备部署在内网不同区域的边界,实时检测并阻断异常流量。可对内网主机之间传输的文件以及内网主机和内网服
务器之间上传和下载的文件进行病毒检测,防止病毒在内网传播,保护内网安全。
内部主机(A区)
内部服务器
Switch
Internet
Gateway
Device
(具备防病毒功能)
内部主机(B区)
Switch
内部主机
内部服务器
Device
(具备防病毒功能)
Internet
Switch Router
支持检测的协议及传输方向
协议类型 协议 检测方向
文件传输协议
HTTP 上传、下载
FTP 上传、下载
邮件协议
SMTP 上传
POP3 下载
IMAP 上传、下载
文件共享协议
NFS 上传、下载
SMB 上传、下载
“MD5值例外”
MD5值
MD5值
查询结果
基于应用层协议
执行防病毒动作
检测出病毒
未检测到病毒
匹配病毒例外
匹配应用例外
放行
放行
放行
病毒ID
应用层协议
MD5值
云查杀
“上送云端服务器查询”
MD5值
防病毒动作
查询结果
功能简介
防病毒功能是一种通过对报文应用层信息进行检测来识别和处理病毒文件的安全机制。将具有防病毒功能的设备部
署在企业网边界,可阻止病毒入侵和传播,有效保护企业的数据安全。
Device
(具备防病毒功能)
Internet
内部主机
外部网络
正常报文
内部服务器
病毒报文
“云端返回查询结果”
<匹配例外>
<云端可查询>
<未检测到病毒>
<查询成功>
防病毒业务进行例外匹配
放行
1
1
<匹配>
检测到病毒
放行
<匹配>
<不匹配>
放行
防病毒处理
判断MD5值是否匹配MD5值例外。若匹配,则放行报文;若不匹配,则进入步骤2处理。
1
判断MD5值是否匹配防病毒模块的MD5值缓存。若不匹配,则放行报文,并同时进入步骤6处理。若匹配,
则进入“检测到病毒”的步骤4处理。
2
“未检测到病毒”处理流程
判断云端服务器查询功能是否可用。若不可用,则不进行云查杀。若可用,则将MD5值上送到云端服务器,
由服务器将对MD5值进行云查询。
6
云端服务器对MD5值进行查询,并将查询结果返回并缓存到防病毒模块。
7
判断报文是否匹配病毒例外。若匹配,则放行报文;若不匹配,则进入步骤4处理。
1
判断报文是否匹配应用例外。若匹配,则执行该应用例外指定的动作;若不匹配,则进入步骤5处理。
1
对报文执行其所属应用层协议的指定动作,包括告警、阻断和重定向。
1
“检测到病毒”处理流程
7
防病毒模块
实现原理
防病毒功能通过应用层检测引擎进行文件识别和本地病毒检测,同时结合云检测功能,实现病毒的全面检测。并根
据管理员配置的一系列防护策略对病毒报文进行精准处理。
病毒检测的第一步,就是先识别出报文中携带病毒的文件。病毒一般通过邮件协议或文件共享协议等进行传
播,应用层检测引擎识别出应用层协议后,将进一步对报文进行解析、解码、切分,识别出报文中承载的文
件。例如,在HTTP协议下载方向的报文中识别出可执行文件。
病毒载体识别
“病毒载体”即文件
HTTP应答报文
协议类型
协议
文件传输协议
FTP
检测方向
上传、下载 HTTP
SMTP 上传
IMAP
下载
文件共享协议
POP3
NFS
上传、下载
上传、下载
上传、下载
上传、下载
邮件协议
支持检测的协议及传输方向
SMB
病毒检测
应用层检测引擎在识别出文件后,将根据设备本地的防病毒特征库对文件进行特征匹配和MD5值匹配。特征
库中使用病毒ID唯一标识病毒特征和MD5规则,当任意一种方式匹配成功后,引擎会查询出相应的病毒ID,
并认为成功检测到病毒。
MD5值匹配
MD5
特征匹配
应用层检测引擎完成本地病毒检测后,会将检测信息下发给防病毒模块。如果检测到病毒,则下发病毒文件
所属的应用层协议名称、文件MD5值和病毒ID,由防病毒模块对报文进行处理;如果未检测到病毒,则下发
病毒文件所属的应用层协议名称和文件MD5值,由防病毒模块继续进行病毒检测和报文处理。
检测信息下发
检测信息 防病毒模块
应用层协议名称 MD5值 病毒ID
下发
例
外
报文处理
防病毒模块根据应用层检测引擎下发的检测信息并结合云端服务器的检测结果对报文进行处理。当引擎检测
到病毒时,防病毒模块会判断对报文执行的动作;当引擎未检测到病毒时,防病毒模块可根据本地缓存的云
端服务器历史检测结果(即MD5值缓存)继续进行病毒检测,并根据检测结果判断对报文执行的动作。
引擎检测到病毒后,防病毒模块需要判断对报文执行的操作。首
先进行病毒例外和应用例外的匹配,若匹配例外,则执行相应的
例外动作;若不匹配例外,则执行报文所属的应用层协议的动作。
1
当MD5值与缓存中标识为“病毒”的MD5值匹配成功时,则认
为检测到病毒,防病毒模块将继续判断对报文执行的操作;若与
标识为“非病毒”的MD5值匹配成功,则认为未检测到病毒,并
放行报文。
MD5值缓存中保存着云端服务器的历史检测结果,防病毒模块可
根据缓存结果直接在本地进行病毒检测,而不必再上送云端检测。
其中,缓存中包含标识为“病毒”和“非病毒”的MD5值。
3
当引擎未检测到病毒时,防病毒模块会先判断MD5值是否匹配
MD5值例外。若匹配,则表示管理员信任该文件,防病毒模块不
再继续进行病毒检测;否则,将继续进行本地MD5值缓存匹配。
2
5
当MD5值与缓存中的MD5值均不匹配时,防病毒模块将放行报
文,并同时将MD5值上送到云端服务器继续进行病毒检测。检测
完成后,防病毒模块会将返回的检测结果保存到MD5值缓存中,
便于后续报文在本地进行病毒检测。
4
执行应用层协议动作
引擎检测到病毒
防病毒模块 云检测
放行
匹配
放行
匹配
告警
阻断
允许
不匹配
1
引擎未检测到病毒
检测结果
匹配
不匹配
不匹配
匹配
放行
不匹配
2
3
5
4
“判断执行动作”
“继续进行病毒检测”
of 1
免费下载
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文档的来源(墨天轮),文档链接,文档作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
下载排行榜
评论