文章目录
- 为什么需要反病毒
- 反病毒是如何工作的
- 什么是病毒特征库
- 如何有效反病毒
反病毒(Antivirus)是一种安全机制,它可以通过病毒特征检测来识别和处理病毒文件,避免由病毒文件而引起的数据破坏、权限更改和系统崩溃等情况的发生,保证了网络的安全。
反病毒功能凭借庞大且不断更新的病毒特征库有效保护内网用户和服务器免受病毒文件侵害。将病毒检测设备部署在网络出口,将病毒抵御在网络之外,为网络提供坚固的保护层。
为什么需要反病毒
病毒是一种恶意代码,一般通过邮件或文件共享的相关协议进行传播,可附着在应用程序或文件中。有些病毒会耗尽主机资源、恶意占用网络带宽,有些病毒会控制主机权限、窃取用户数据,有些病毒甚至会对主机硬件造成破坏,严重威胁用户主机和网络的安全。
随着网络技术的不断发展,网络用户越来越频繁地在网络上传输、下载和共享文件,随之而来的病毒威胁也越来越大。
通过在网络出口处部署网络安全设备(如防火墙或专门的防病毒网关)并配置反病毒功能,设备会放行正常文件进入内部网络,并通过阻断、告警等手段对检测出的病毒文件进行干预或提醒。
此外,网络安全设备上的反病毒功能和用户主机上安装的反病毒软件在功能上协作互补,由于部署位置和所用的病毒特征库不同,二者同时使用可以更有力的保障用户主机和网络的安全。
反病毒示意图
反病毒是如何工作的
华为网络安全设备利用专业高效的智能感知引擎和不断更新的病毒特征库实现对病毒文件的检测和处理,反病毒功能的工作流程大体可以分为3部分。
反病毒处理流程
1.应用协议识别:病毒一般是通过邮件或文件共享等协议进行传播的,所以病毒检测的前提是识别出病毒文件使用的协议及文件传输的方向。当前常见的协议有:
- FTP:最常见的文件传输协议,FTP协议中存在客户端和服务器两种角色,客户端可以从服务器下载文件,也可以向服务器上传文件。所以对于FTP来说,文件(病毒)传播的方向有下载和上传两种。
- HTTP:浏览网页时常用到的协议,也可以传输文件。HTTP协议传输文件时也有两个方向,客户端即浏览器可以向服务器上传文件,也可以从服务器下载文件。
- SMTP:最常用的邮件传输协议,用于电子邮件从客户端传输到邮件服务器,以及从某一个邮件服务器传输到另一个邮件服务器。通过SMTP协议发送邮件是“推”的过程,所以文件传输方向就只有上传(发送邮件)这一个方向。
- POP3:邮局协议第三版,用于客户端从邮件服务器读取邮件。通过POP3协议读取邮件是一个“拉”的过程,所以文件传输方向就只有下载(接收邮件)这一个方向。
- IMAP:交互式邮件存取协议,可用于客户端从邮件服务器收发邮件,还支持客户端直接对邮件服务器上的邮件进行操作,因此IMAP协议的文件传输方向包括下载(接收邮件)和上传(发送邮件)两个方向。
- NFS:网络文件系统,常用于Linux系统中的一种文件共享协议,文件的传输方向包括上传和下载两种。
- SMB:常用于Windows操作系统的一种文件共享协议,文件的传输方向也包括上传和下载两种。
2. 病毒检测:设备对传输文件进行特征提取,并将提取后的特征与病毒特征库中的特征进行匹配。如果匹配成功,则判定该文件为病毒文件,并送往反病毒处理模块进行处理;如果特征不匹配,则直接放行该文件。
3.响应处理:设备检测出传输的文件为病毒文件后,通常有如下2种处理动作。
- 告警:允许病毒文件通过,同时记录病毒日志,供网络管理员分析并采取进一步措施。
- 阻断:禁止病毒文件通过,同时记录病毒日志,供网络管理员分析并采取进一步措施。
什么是病毒特征库
如前所述,病毒检测的关键是病毒特征的识别和匹配,华为安全中心(isecurity.huawei.com)通过分析海量的病毒样本并提取病毒特征,存储在病毒特征库中。互联网中的病毒层出不穷,病毒特征库也在不断更新,及时将网络安全设备的病毒特征库升级到最新版本,可以有效提升设备的病毒检测能力和检测效率。
病毒特征库
如何有效反病毒
反病毒的关键在于构建完整的反病毒体系和提升网络用户的安全意识。
- 内网中所有的网络终端包括电脑主机、服务器和接入网络的手机等都需要安装杀毒软件。
- 网络关键位置如互联网出口和服务器区域出口需要部署网络安全设备(如防火墙或专门的防病毒网关),防止病毒在网络层面的传播和扩散。对安全性要求较高的系统还可以在每个局域网出口都部署网络安全设备,防止病毒在局域网间扩散。
- 网络管理系统能够集中管理终端的杀毒软件和网络中的网络安全设备,并能够及时更新它们的病毒特征库。
- 每个人要提升安全意识,不要随意打开外网邮件中的附件和链接,不要访问可能携带病毒的非法网站。
