《北信源杀毒软件V2.0-技术白皮书》由会员分享,可在线阅读,更多相关《北信源杀毒软件V2.0-技术白皮书(16页珍藏版)》请在金锄头文库上搜索。
1、北信源杀毒软件V2.0技术白皮书北京北信源软件股份有限公司二一三年目录目录2图目录3一、 引言4二、 背景5三、 产品总体设计5四、 产品详细设计74.1.网络构架74.2.统一配置管理84.3.病毒查杀功能94.4.实时监控功能104.5.U盘防护功能104.6.主动防御体系结构114.7.隔离恢复功能13五、 产品安全体系结构155.1.系统自身安全设计15六、 产品价值156.1雪狼引擎156.2百度私有云查杀引擎166.3极光引擎V2.0166.4智能修复引擎16七、 系统所需软、硬件配置要求16图目录图 1 北信源杀毒软件V2.0系统架构图6图 2 北信源杀毒软件V2.0功能结构图7
2、图 3主动防御体系结构设计7图 4 系统逻辑图9图 5北信源杀毒软件V2.0产品配置下发界面10图 6 U盘防护12图 7 急速弹出12图 8 自动防御体系结构13图 9 异常文件恢复区15图 10 主防文件恢复区151、 引言近期,微软公司宣布将于2014年4月8日起停止对Windows XP系统(以下简称XP)的支持。其官方资料表明,由于XP系统采用的体系架构和安全技术已不足以面对日益增长的安全威胁,一旦停止支持和更新,将难以对零日漏洞和APT攻击等网络威胁进行有效防护,安全风险骤增。基于安全考虑,微软建议XP用户尽快向Win7/8系统迁移。据不完全统计,目前我国个人电脑市场上XP用户数高
3、达1.5亿。在关键信息基础设施和重要信息系统中,XP占桌面操作系统的比例约为70%,有的行业甚至高达90%以上。XP作为桌面操作系统,是用户进入信息系统的入口,其安全性直接关系信息系统安全。由于业务应用服务稳定性、整体实施复杂性、新系统采购周期等关键问题,党政机关和企事业单位的信息系统由XP系统向Win7/8系统迁移难以在短时间内完成,保守估计这一过程将持续1-5年。在此期间,我国关键信息基础设施和重要信息系统将面临巨大的安全风险。同时,由于一些系统涉及到我国的国计民生领域,这种风险将透过信息化渠道,大面积地扩散到社会相关行业与领域,极有可能演变为大范围的网络与信息安全事件,其后果决不亚于当年
4、的千年虫事件。针对该现状,北信源公司基于多年的安全行业经验和技术积累,本着维护国家网络与信息安全的使命意识和责任意识,及时提出了“北信源杀毒软件V2.0”安全防护解决方案,并面向社会推出了免费系列产品。该解决方案及产品提供系统和数据级的安全防护能力,不仅有效填补了微软停止技术支持给XP 用户带来的安全空白,还能支持微软后续产品,持续为广大Windows用户的网络与信息安全保驾护航。2、 背景“北信源杀毒软件V2.0”是北信源与百度合作研发的全新杀毒软件。集合了北信源公司近20年的千万级计算机终端安全管理经验,和百度强大的私有云端计算、海量数据学习能力与专业反病毒引擎能力,一改杀毒软件卡机臃肿的
5、形象,竭力为用户提供前所未有的产品体验。北信源杀毒软件V2.0的主动防御功能可以对试图攻击您个人电脑的恶意行为进行主动识别,并告知您可能存在的风险,降低个人电脑遭到破坏的可能性。实时监控功能可以实时监测您电脑运行过程中的所有进程,将危险扼杀于萌芽状态。自主查杀功能为您提供了闪电查杀(快速查杀)、全盘查杀、自定义查杀三种选择,您可以根据您的需要进行选择,对您的个人电脑进行扫描检测。北信源杀毒软件V2.0具有4大杀毒引擎、PB级的病毒样本,已经具备清理感染型病毒、木马、蠕虫、后门程序等威胁系统安全的病毒或程序的能力,并且中控中心可以对病毒样本、病毒库版本、软件版本等进行管理,确保数据实时更新。更有
6、审计和威胁趋势统计,极大的方便了用户的统计工作。使用户无论在个人体验或是企业管理都能感受到北信源杀毒软件V2.0带来的安全、简捷、放心。3、 产品总体设计北信源杀毒软件V2.0产品系统架构北信源杀毒软件V2.0的系统架构如图1所示:图 1 北信源杀毒软件V2.0系统架构图北信源杀毒软件V2.0的功能架构图如下图所示。图 2 北信源杀毒软件V2.0功能结构图4、 产品详细设计1.2.3.4.4.1. 网络构架对于一般网络(例如1个C类地址或若干个C类地址的局域网范围),可使用一套本系统软件,集中管理所属区域内的所有设备。系统正常运行后,主要通过网页WEB管理平台来对整个计算机设备信息系统进行配置
7、管理,在网络内设置区域管理器、扫描器IP地址。对于一般网络(如1个C类地址或若干个C类地址的局域网范围)适用一套本系统,集中管理所属区域内的设备。对于大规模的多个局域网或者跨地域的广域网,提供多区域集中管理模式,即下级管理系统可将本级所有设备信息再传递给上级管理数据库,使得上一级管理人员对整个网络的设备状况能够完全掌握。图 3 系统逻辑图4.2. 统一配置管理北信源杀毒软件V2.0产品采用统一配置管理中心实现对内部网络终端的统一安全管理。配置管理中心内置终端安全防护需要的所有安全管理参数,提供对计算机终端的安全规则配置、安全功能配置开启/关闭、安全配置执行范围设定等一系列安全措施的管理。 图
8、4北信源杀毒软件V2.0产品配置下发界面4.3. 病毒查杀功能通过整合私有云安全技术和基于的智能学习能力所研发出来的反病毒引擎,北信源杀毒软件V2.0提供了强大的病毒检出和清除能力。根据不同用户的需要,北信源杀毒软件V2.0提供了三种常用的病毒查杀模式,在主界面即可直接进行选择:(1)闪电查杀 此模式只对电脑中的系统文件夹等敏感区域进行独立扫描。一般病毒入侵系统后均会在此区域进行一些非法的恶意修改,针对性的扫描此区域即可发现并解决大部分病毒问题,同时由于扫描范围较小,扫描速度会较快,通常只需若干分钟。(2)全盘查杀 此模式将对电脑的全部磁盘文件系统进行完整扫描。某些病毒入侵系统后不仅仅破坏系统
9、文件,也会在其他部分进行一些恶意破坏行为,选择此模式将对电脑系统中全部文件逐一进行过滤扫描,彻底清除非法侵入并驻留系统的全部病毒文件。(3)自定义查杀 此模式将只对指定的目录进行扫描。可以根据扫描需求任意选择一个或多个区域。4.4. 实时监控功能实时监控功能可以实时监测电脑运行过程中的所有进程。北信源杀毒软件V2.0软件会对设备进行实时监测,出现病毒威胁时,会根据设置,自动删除病毒文件,或者锁定病毒文件禁止其运行,等待您的处理。 当选择监控级别为“高”时:北信源杀毒软件V2.0将执行最严格的保护,保证安全。 当选择监控级别为“中”时:北信源杀毒软件V2.0将确保系统性能和安全之间达到最佳的平衡
10、。 当选择监控级别为“低”时:北信源杀毒软件V2.0将对关键位置进行保护,确保最佳的系统性能。 当选择监控级别为“关”时:实时监控功能将关闭。4.5. U盘防护功能系统向指定客户端(用户组)分发文件或安装软件,分发时可提供软件的运行参数和必要的运行控制。此功能可减轻网络管理人员的工作负担,(1) 风险扫描U盘防护功能对于U盘中存储的风险文件进行自动扫描,并告知存在的风险,降低电脑遭到破坏的可能性。图 5 U盘防护(2) 极速弹出 一键“极速弹出”U盘,保证您U盘中的数据不丢失。图 6 急速弹出程录制工具,可以很方便的对软件和它的安装过程进行录制打包,软件分发至终端后,系统可在终端对软件安装过程
11、进行回放,方便软件在客户端进行自动安装。安装后的客户机端软件包括基本部分和用户工具,安装在客户机不同的目录中。4.6. 主动防御体系结构主动防御体系结构主要由实时监控系统、反病毒专家分析判断系统、恶意程序处理系统三大系统组成。图 7 自动防御体系结构通俗地讲,反病毒专家具有分析判断程序是否是木马、病毒的能力,具有为计算机提供安全保护的能力。主动防御就是用软件实现了反病毒专家分析判断病毒的过程。主动防御的体系结构就好比具有很强反扒能力的警察,实时监控系统就是警察的眼睛,负责监控周围的环境和人的一举一动;反病毒专家分析判断系统就好比警察的大脑,负责将眼睛看到的环境和人的一举一动并结合自己判断盗窃者
12、的经验进行分析判断;恶意程序处理系统就好比警察的手和脚,根据反病毒专家分析判断系统的通知做出相应的处理动作。实时监控系统:实时监控系统是主动防御的眼睛,负责监控电脑中所有运行程序的行为,并将监控的信息发送给反病毒专家分析判断系统进行分析。实时监控系统由遍布操作系统的众多探针组成,这些探针通过监控应用编程接口(API),记录程序的每个动作,并将程序的每一个动作提交给反病毒专家分析判断系统进行分析判断。通俗地讲,探针就好比监控摄像头,实时监控系统就好比在家里部署监控摄像头一样。比如:在门口、窗户、存放贵重物品的箱柜等重要位置部署监控摄像头,这样就可以记录哪些人进出大门、窗户,以及打开存放贵重物品的
13、箱柜,是否取出贵重物品。应用编程接口:简称API(Application Programming Interface),是用来操作组件、应用程序或者操作系统的一组函数。我们使用的各种应用软件,都是通过操作系统的各个应用编程接口来实现相应的功能,病毒以及木马程序也必须通过操作系统的应用编程接口实现其危害目的。反病毒专家分析判断系统:反病毒专家分析判断系统是主动防御的大脑,由程序行为逻辑分析判断模块、恶意程序行为识别规则知识库、正常程序行为识别规则知识库组成。程序行为逻辑分析判断模块根据实时监控系统提交的运行程序一系列动作通过逻辑关系分析组成有意义的行为。根据程序行为逻辑分析判断模块分析所得到的程
14、序行为,结合恶意程序行为识别规则知识库和正常程序行为识别规则知识库,反病毒专家系统对程序性质进行自主分析判断。如果判定程序行为符合木马和病毒的定义,确定该程序是木马、病毒,同时阻断木马、病毒对电脑的侵害,并通知处理系统自动清除病毒。一个动作通常是无法判断程序的性质,只有将一系列动作通过逻辑关系分析组成有意义的行为,才能判断这个程序的目的。因此,反病毒专家系统不能只根据程序单一动作,而必须根据程序的一系列动作组成由意义的行为才能对程序是否是病毒做出准确的判断。 恶意程序处理系统:恶意程序处理系统是主动防御的手和脚。恶意程序处理系统接到反病毒专家分析判断系统的通知后,自动完成对木马、病毒的清除工作
15、。4.7. 隔离恢复功能(1) 异常文件恢复区 主动查杀、实时防护、U盘防护中发现并清除的风险文件,将会被隔离在异常文件恢复区,可以在该恢复区手动恢复您信任的文件以及彻底删除被隔离的文件。图 8 异常文件恢复区(2) 主防文件恢复区 主动防御中拦截以及放行的所有行为都将备份在主防操作恢复区中,您可以手动还原恢复区中所有的被拦截或者被放行的行为。图 9 主防文件恢复区5、 产品安全体系结构5.5.1. 系统自身安全设计1通信保护:系统的组件间通信时,数据传输是经过加密的,客户端和服务器端相互通信使用双向认证机制。2客户端软件强保护机制:系统的客户端系统具有自我防护机制,防止用户随意停止、卸载。3服务器安全设计:服务器系统具备保护服务器功能。保证管理系统服务器端使用的安全性,保证其受到恶意修改IP地址的方式攻击时仍可正常工作,网络中出现恶意修改成与管理服务器相同属性(如相同的IP地址、相同的MAC地址等)的机器时,出现IP地址或MAC地址冲突等现象时,管理服务器将不会被阻断出网(即不会出现
