安天通过全线产品与服务为用户构成一个完整解决方案,实现从全网向终端的全面保护。安天为用户实现了网络病毒监控、网络病毒防御、终端防护、安全评估和网管处置,并把它们置于安天安全管理中心的统一安全管理之下。实现了“统一监控、分布防御、有效响应、集中管理”的整体安全框架。
网络病毒监控系统( VDS )

网络病毒监控系统( Virus Detection System )
  • 产品概述
  • 技术特点
  • 规格参数
  • 应用方案
  • 增值服务
  • 支撑体系
    安天VDS(Virus Detection System)是用于实时监测网络环境中的病毒疫情的安全设备。
    VDS以旁路方式接入网络,对网络效率没有任何影响,其通过专有的网络病毒检测引擎AVL SDK对流量进行分析匹配,实现高精度的病毒检测、定位感染源头并检测病毒的扫描、攻击、传输、植入、控制、升级等各种行为。
    VDS通过包和流两级检测技术,实现了病毒检测与网络协议的无关性,任何明文协议传输的病毒都会被VDS系统检测到。
    VDS为传统的主机协同防病毒机制增加了一条全网警戒线,可以改善大规模网络病毒防范的及时性和准确性,因此成为当今网络安全管理的重要组成部分和现有防病毒体系的必要补充。该产品率先解决了难以实现高速网络环境下全面准确检测病毒的全球性难题,是首个获得公安部销售许可的监控类反病毒产品。VDS将反病毒技术带入全局防控时代。
  • 精确的网络病毒检测能力
    •     以强大的反病毒技术实力和长时间的病毒库积累为依托,通过超过十六万条的检测规则,实时检测网络蠕虫、感染式病毒、网页脚本病毒、木马、后门工具、 间谍软件等的传输以及多种网络扫描攻击,并准确提供病毒类别、病毒名称、病毒变种版本、病毒风险级别和病毒能力等相关信息。
        让网管获得最准确的判定。VDS不仅可以对HTTP、FTP、SMTP、POP3等常见应用协议进行检测,同时实现对TFTP、NETBIOS以及所有明文通讯协议的检测。
        配套的安天病毒百科全书,更提供了更多的关联信息。
  • 精确定位感染源头

    •     VDS在第一时间发现网络病毒的传播和其他恶意行为,并实现准确定位,预警病毒事件并提供病毒事件的源头,锁定源IP和MAC地址。
        对网络运行影响最大的是内网节点感染病毒后的疯狂扫描攻击造成基层网络设备或网络出口设备的瘫痪(雪崩效应),VDS采用了控内胜于防外的思想,对从内网发起的病毒事件优先处理,有效的防范了雪崩效应的发生。
        VDS提供了每日感染病毒清单和高威胁主机的列表,便于网管做出统一的处置或者公布。

  • 全面监控病毒行为

    •     VDS采用基于内容检测为主,辅以行为分析的方式,既实现了病毒的精确检测,也可以对网络病毒的扫描、攻击、植入、控制、升级等行为做出全面检测。
        通过行为检测在病毒感染主机之前就可以发现其可疑行为,进行预警。同时也实现了对未知病毒的有效预警。

   VDS100B VDS1000B
使用用户
用户类型 中小企业的全网
大型企业的分支机构
百兆网络出口 		大型企业网络中心
大型企业数据中心
千兆网络出口
技术特性
吞吐量 100M 1000M
接口说明 4个10/100Base-TX 4个 1000Base-SX
2个 100/1000Base-TX
1个 10/100Base-TX
管理方式 Web方式,或通过ASOC统一管理
物理特性
电气特性 电源 AC90~220V, 47~63HZ, 2.0A, 110W(最大) AC100~240V, 50~60HZ, 1*350W
安规标准 美国 FCC  CFR 47  Part 15(B级)
欧洲/CE标志:EN55022&EN55024
环境规范 运行环境 5~40摄氏度
非运行环境 -20~65摄氏度
相对湿度 5%~95%@40摄氏度,非冷凝
存储环境 0~70摄氏度 -20~70摄氏度
执行国家标准 GB/T 18019-1999
GB/T 18020-1999
参考的安全规范和标准 GJB151A-97
CS101
CS114
RS103
RE102
CE102
相关插件
客户端处置模块 轻量级病毒查杀客户端,工作于终端系统,与VDS配合工作。
网络评估模块 通过VDS的检测结果,对网络安全情况作出整体评估,形成评分和报表。
网络取证模块 提供所有数据输出的数字签名机制,使检测结果具有司法取证价值,可用于计算机犯罪现场中网络环境的取证。
  • VDS 100百兆网络出口监测方案
    •     对于一般规模的网络来说,由于网络结构相对简单,因此只需在网络出口处的交换机上连接一台VDS100B,就可以满足此种局域网的病毒监测需求。在这种网络情况下,将VDS100B连接到出口交换机的镜像口即可监测到内部网络间所有的通信以及内部网络到Internet的所有通信,网络用户通过Web管理页面连接VDS设备即可实时查看网内病毒的全貌。
        该方案的网络拓扑图如下:

  • 百兆分布式监测方案
    •     对于网络结构相对复杂的网络来说,只在出口处部署VDS 100B已经不能满足企业的防毒需要,而需要在每个子网的交换机上部署探头型产品VDS 100S,由数据中心VDS Center进行统一的数据汇总和管理。这样,每一台VDS 100S将对应子网的病毒数据收集起来,然后汇总到VDS Center之中,用户只需要通过VDS Center的管理界面,就可以查看到当前全网的病毒感染与分布情况。
        该方案的网络拓扑图如下:

  • VDS 1000千兆网络出口监测方案
    •     大型企业、政府和地方电信网络的出口带宽已达千兆,由于内部网络节点众多、结构复杂,内部少量节点感染蠕虫疯狂扫描,即可造成出口瘫痪。以往,由于技术手段的不足,网络管理人员难以进行准确判断定位。今天,只需要在核心交换机的镜像口上连接一台VDS1000B,就可以对出口进行实时的病毒监测,内外网间的网络病毒的扫描、传输、攻击等各种行为都会被其捕获。
        网络拓扑图如下所示:

  • 2.5G/10G网络出口分流式监测方案
    •     VDS1000系列产品也使骨干级网络的完整病毒监控成为可能。VDS1000可以通过流量分光、多机并行处理的方式实现2.5G或者更高带宽的网络出口病毒监测。
        以2.5G主干网为例,在出口处采用分光机将2.5G分流成三个800M的流量 ,然后分别接在三台千兆级的VDS设备上,然后再通过千兆交换机或直连的方式将数据汇总至安天安全管理中心(ASOC),用户只要通过Web管理页面连接到ASOC设备即可看到整个骨干网上的病毒疫情状况。
        网络拓扑图如下所示:

    病毒库升级类
  • 病毒特征库和知识库升级

    •     提供不少于每周10次的高质量病毒库升级服务,在重大病毒事件发生时,则跟随病毒发展趋势随时提供升级。安天的病毒库经过严格的白名单测试,有效的降低了误报发生概率。
  • β版病毒库升级通道

    •     安天可以按照用户的主动要求,开放β版病毒库升级地址,从而缩短用户响应时间。
  • 病毒特征升级绿色通道

    •     对用户急需处理的病毒,提供 1 小时升级通道,确保在最短时间内查杀处理病毒。

    交互支持类
  • 上报应答服务

    •     针对单次的样本提交,在规定时限内,可以查询样本分析结果。
  • 文件性质确认/文件分拣服务

    •     针对需要批量提交的待确认文件用户,在规定时限内(最长为 24 小时)确定程序的可信性,对有害程序给与准确的分类命名,并给出程序的关联特性。
    信息类
  • 病毒信息查询服务

    •     提供病毒百科全书查询接口,用户可以通过安天的官方命名、俗名和10多家主流反病毒厂商的名称进行查询,百科全书提供了病毒的基本属性、基本说明、对照命名、行为特点、流行风险等多方面的信息。
  • 安全简报

    •     为用户提供每月一期的安全简报,通报最新安全态势、风险预警、病毒信息等。在重大安全威胁时提供紧急警报。
    现场服务类
  • 终端安全评估服务

    •     对终端节点提供高精度安全评估,提供评估报告。对大量终端节点提供抽样分析和汇总评估报告。
  • 7╳5现场值守服务

    •     派出专署工程师每工作日值守用户网络,直接处置用户问题。
  • 病毒事件现场处置服务

    •     由专业应急处理团队,在病毒事故爆发现场,迅速分析现场和成因,形成处置策略,完成全面处置。
    后端支持类
  • 恶意代码行为分析服务

    •     安天对每个样本在 48 小时之内提供准确详尽的分析报告,对样本进行深度行为分析,评估可能的泄密等后果。
  • 终端安全评估支撑服务

    •     对用户和其他安全厂商使用安天主机安全评估套件提取的衍生物进行深度分析,协助形成最终评估报告。
  • 取证支撑服务

    •     对用户使用安天主机勘查取证系统进行深度技术支持,策略咨询和衍生物深度分析。
    定制开发类
  • 定制专杀/处置服务

    •     对特定环境下的病毒,提供特定的专杀程序和网络压制方案。
  • 安全产品定制服务

    •     安天根据不同用户特点,为用户定制专用的产品模块,满足用户的需求。
        安天的高效病毒监控建立在一个完善的支撑体制之上,完全保证了在第一时间获取病毒、第一时间分析病毒、第一时间形成解决方案的能力。

    安全研究与应急处理中心(ANTIY CERT)

        安天负责反病毒关键技术研发、病毒分析和安全响应的综合技术部门,由安全研究、应急处理和安全维护方面的专家组成。
        Antiy CERT 负责病毒特征库的升级维护,对病毒进行监测、分析、跟踪和预警,以及基于公开和未公开漏洞的蠕虫利用可能性分析。
        Antiy CERT 为公众提供公益性的流行病毒专杀工具和现场的应急处理。在僵尸网络跟踪、间谍软件分析,恶意代码处理等方面, Antiy CERT 建立了广泛国际协同机制。
        Antiy CERT 曾率先捕获分析了 SirCam 、 RedCode II 、 Dvlodr(口令蠕虫) 、myblast (冲击波)等蠕虫,第一时间发布公告和专杀工具,并及时为兄弟反病毒公司提供了病毒样本。

    病毒样本捕获体系(ARRECTNET)

        目前,安天的病毒捕获主要来自以下几个渠道:
    • 分布式蜜罐现场采集
    • 诱饵信箱
    • 邮件服务代管
    • VDS 监控探头
    • 用户主动上报
    • 样本志愿者上报
        通过多种渠道的配合,安天既保证了对流行样本采集的高效性,同时又保证了样本的覆盖率,能够在第一时间内捕获病毒样本,形成了一个庞大的监控预警体系。

    病毒分析流水线(SAKER)

        安天每日处理数万次不重复的病毒上报事件,通过黑白名单、神经网络和人工分拣三重体制对所有捕获到的文件进行分拣统计。安天还率先把工业流水线思想运用到病毒分析过程当中,建立了强大的计算机病毒集成分析环境Saker,该环境集成了反汇编跟踪、动态交互分析等工作,并可以指导工程师根据疫情程度进行不同粒度的处理。

    病毒样本库(ASTS#6)

        安天拥有庞大的病毒样本库ASTS#6,ASTS#6长期扮演了国内主要反病毒厂商样本渠道的角色。