安天网络病毒防御系统( Virus Prevention System )

AVL SDK可嵌入反病毒引擎是为网络设备厂商、网络安全产品厂商、邮件服务提供商、软件开发商等提供的第三方可嵌入式反病毒解决方案。该引擎支持DOS、Windows、Linux、freeBSD等主流操作系统，以及X86、Power PC、ARM等多种硬件体系架构。设备厂商和软件开发商无需对反病毒技术有任何了解，只需调用AVL SDK就可以使自己的产品获得可查杀超过10万种的病毒、木马、后门等恶意程序的能力，并获得安天持续优质的病毒库升级服务，为您的用户提供全面的安全保障。

安天已经是国内防病毒引擎的主要供应商，AVL SDK已经广泛应用于宏观网络病毒监控、绿色上网、防火墙、防毒墙、网闸、一体化安全网关、无毒认证隔离、主机保护系统等领域。目前，已经有十余家国内外著名厂商选择了AVL SDK作为自己产品的核心引擎。

用户通过调用AV Leach SDK，可以实现：

路由器、交换机反病毒模块
防火墙反病毒模块
IDS病毒检测插件
GAP病毒检测插件
MAIL SERVER反病毒系统
其他系统病毒检测模块
独立反病毒系统

网络安全产品和网络设备需要怎样的病毒检测模块？

随着蠕虫和其他网络病毒的日益蔓延和流行，网络安全厂商当然希望扩展firewall、IDS和GAP产品的反病毒能力，但不得不否认，对很多产品而言，这种尝试或者以与传统的反病毒厂商的现有文件级别的检测技术结合，大大降低网络安全产品的效率，或者以类似snort中极其粗糙的反病毒规则为蓝本。
例如最新的snort在其virus.rules中，用了多达24条规则来检测名为NewApt的蠕虫，这24条规则竟然都是凭借文件名来检测的，规则类似如下：

这种方式，一方面对于那些随机选择文件名或者提取本机文件的文件名作为自身名字的蠕虫无能为力，另一方面，一个同名的正常附件，也会带来误报造成用户的恐慌。而事实上，类似I-worm.NewApt这样的蠕虫，完全可以靠类似如下的特征串来检测： |680401000056FF152CC04000568B751068E4FA400056E8CB| 当然这并不是一个秘密，对于网络安全企业的高手们来说，剖析几个蠕虫，提取特征码，自然不在话下，但问题在于如何建立自己的病毒捕获网络，第一时间获得新病毒样本；面对庞大的病毒基数，如何收集到相应的样本，如何保证特征码的科学性，避免漏报和误报的可能。而更关键的问题在于对于firewall或者IDS厂商来说，维持一个专门的Virus Cert小组是得不偿失的.
当然，厂商可以选择与传统的反病毒厂商合作，通过他们所提供的SDK来扩展产品的技术能力，但你会无一例外的发现如下的问题：

    这些SDK的病毒检测是基于文件系统的，需要传入相应的文件参数，如路径、文件名等。这意味着，病毒检测必须在还原到文件后才能进行。
    这些SDK中病毒特征库基于算法描述的，并没有真正的特征码，也就不可能适用于目前网络安全产品所应用的任何高速特征匹配算法。
    这些SDK无法面对更高的效率要求，也不可能在网络流或者分片级别解决病毒检测问题。
    因此，这些SDK适合搭建基于应用层还原的反病毒服务，但对firewall或者IDS是毫无裨益的。而安全厂商则希望安全产品能发现如下的问题，一个邮件蠕虫正在蔓延，一个正在被网内用户下载的EXE文件含有CIH病毒，一个P2P的蠕虫正在传播，用户访问的网页含有脚本病毒。用户也希望防火墙也能变成防毒墙，希望病毒不要混过GAP的过滤。希望网管能通过IDS控制蠕虫在内部蔓延。
    而作为用户网管来说，则更希望减少单机反病毒产品频繁报警对用户的压力，以及因为用户升级的不及时、监控器没有打开造成的安全事故。更希望病毒还没有进入企业内部网就被捕获，并且只被扫描一次，节省了企业的资源和产品的升级、维护费用，使企业和用户能轻松实现互联网时代的病毒实现。
    我们认为，最高效的，适用于实时网络安全产品的病毒检测模块，应该是不仅可以在文件系统计别，而是同样支持在流级别和包级别级别进行病毒检测的全新架构。而第一个能够为开发企业提供这种支持的，就是AVL。

AVL SDK

    安天实验室秉承多年在反病毒领域分析研究的成果，秉承在firewall和IDS技术方面的技术探索，推出高速病毒检测引擎AVL。为各安全厂商提供第三方病毒解决方案。
    AVL SDK是一套面向网络安全厂商的SDK产品，可以为firewall、GAP、IDS等产品扩展基于数据流或者数据包的病毒检测能力。也可以用于厂商开发独立的反病毒产品、病毒监控系统、反病毒网关等等。
    AVL SDK包括了 AVL Net-Level Engine， AVL System-Level Engine，调用接口，文档，调用范例和病毒库以及配套的自动升级程序。AVL引擎被封装为一组so文件或者DLL文件，开发者可以方便的按照使用手册，简单的通过函数调用为产品扩展病毒检测模块，或者编写独立的反病毒产品。SDK提供了检测对象、日志、联动响应等的接口函数，用户可以自由的替换实现更为强大的处理和联动操作。
AVL引擎结构如下

AVL SDK
├AVL Net-Level Engine
│├Base Engine 一个包级别基本检测引擎。
│├Mail Engine 邮件蠕虫检测引擎，工作于流级别。
│├Script Engine 脚本检测引擎，工作于流级别。
│└URL Engine URL检测引擎，工作于包级别。
└AVL System-Level Engine
├Format Recognition Engine 格式识别引擎
├Preprocess Engine 预处理引擎
├VM虚拟机
├Heuristic 启发式扫描
├COM/Bin Engine 2进制检测引擎
├PE Engine PE可执行程序检测引擎
├Script Engine 脚本检测引擎
└Marco Engine 宏病毒检测引擎

对于那些已经有了完整的IDS体系或者非病毒类内容过滤需求的用户，我们也提供了解决方案，高速内容过滤引擎单独提供给那些需要进行其他内容安全开发的企业，或者已经拥有了病毒库资源但希望提高引擎效率的企业，如敏感信息过滤、垃圾邮件过滤等等。

AVL SDK的使用思路

防火墙反病毒模块：通过调用AVL网络级引擎实现基于包过滤或者代理防火墙的病毒检测，即可以基于AVL网络引擎进行线速检测，也可以基于系统级引擎进行更细粒度的文件检测或者CVP流检测。

网络IDS扩展病毒检测模块：IDS产品具有一定的粗粒度的病毒检测能力，但如果厂商希望提供更精确和广泛的检测，可以把AVL作为一个扩展模块，AVL的高速检测对系统处理速度不会购成影响。

主机IDS病毒查杀插件：如果试图搭建一个完整的节点安全解决方案，莫过于把HIDS与反病毒进行结合。AVL提供了一个内建这种解决方案的可能，同时AVL一直以彻底查杀各种木马而闻名。

GAP反病毒插件：为基于应用协议过滤的GAP构建内容过滤能力。网络病毒监控系统：我们与哈尔滨工业大学联合开发的VDS就是最好的样板。独立的反病毒软件系统：我们对于反病毒技术的理解就是您的理解…

AVL网络级病毒检测引擎，面向firewall、IDS、GAP、Proxy等厂商设计。提供基于数据包和数据流级别的保护。
AVL文件级病毒查杀引擎，面向应用软件开发商、主机安全产品（如主机IDS）开发商和邮件厂商设计。也支持防火墙的文件流检测，或者其他安全产品。

两个引擎可以组合使用，使一个安全产品针对不同情况，分别进行包、流和文件级别的保护。

AVL SDK网络引擎

AVL SDK（网络引擎版）提供了如下功能：

检测对象：提供了面向网络流和数据包的检测能力，进行全面的病毒检测。

检测能力：通过基本引擎、邮件引擎、脚本引擎和URL引擎，实现对邮件蠕虫、各种扫描蠕虫、各类病毒体基于应用协议传输等的快速过滤。同时也是唯一能够提供在网关级别脚本病毒检测的引擎。可检测95%以上的蠕虫病毒。

检测速度：通过算法设计和指令优化，实现了基于千兆网络线速的病毒检测。是全球唯一一套可用于骨干/电信级别网络的病毒检测引擎，其中基本引擎在2万条病毒特征记录的情况下，匹配速度为2.36Gbit/s。

内存增量技术：实现真正的增量升级，即使在病毒库升级过程中，设备依然保持病毒检测能力。

特未知检测：使用智能预分析技术实现未知邮件病毒检测，使用了神经网络技术实现了未知脚本病毒的检测。

关联数据供应：为厂商提供丰富的病毒关联信息，严格的分类命名，病毒属性等等。为即时处理提供依据。

可靠性：AVL SDK的网络引擎部分，已经在VDS系统中使用，并已经在多个骨干网节点稳定运行了16个月。

支持多个平台下的开发：SDK分为For DOS、Windows和Linux版本。并可以按照开发者的要求进行特殊版本开发。安全产品开发者只要按照产品文档的要求，将引擎封装到自身产品中，就使产品具备了病毒检测能力。

详细的开发文档：安天提供详细的SDK开发手册，包括大量的使用范例。

病毒库升级支持：安天为AVL SDK用户提供每日一次的病毒库增量更新。