为何选择AVL SDK

为什选择AVL SDK

——网络设备和网络安全产品需要怎样的反病毒模块

中国安天实验室(Antiy Labs) 2003年8月6日

网络安全产品和网络设备需要怎样的病毒检测模块?

  随着蠕虫和其他网络病毒的日益蔓延和流行,网络安全厂商当然希望扩展firewall、IDS和GAP产品的反病毒能力,但不得不否认,对很多产品而言,这种尝试或者以与传统的反病毒厂商的现有文件级别的检测技术结合,大大降低网络安全产品的效率,或者以类似snort中极其粗糙的反病毒规则为蓝本。
  例如最新的snort在其virus.rules中,用了多达24条规则来检测名为NewApt的蠕虫,这24条规则竟然都是凭借文件名来检测的,规则类似如下:

这种方式,一方面对于那些随机选择文件名或者提取本机文件的文件名作为自身名字的蠕虫无能为力,另一方面,一个同名的正常附件,也会带来误报造成用户的恐慌。而事实上,类似I-worm.NewApt这样的蠕虫, 完全可以靠类似如下的特征串来检测: |680401000056FF152CC04000568B751068E4FA400056E8CB| 当然这并不是一个秘密,对于网络安全企业的高手们来说,剖析几个蠕虫,提取特征码,自然不在话下,但问题在于如何建立自己的病毒捕获网络,第一时间获得新病毒样本;面对庞大的病毒基数,如何收集到相应的样本,如何保证特征码的科学性,避免漏报和误报的可能。而更关键的问题在于对于firewall或者IDS厂商来说,维持一个专门的Virus Cert小组是得不偿失的.
  当然,厂商可以选择与传统的反病毒厂商合作,通过他们所提供的SDK来扩展产品的技术能力,但你会无一例外的发现如下的问题:

  • 这些SDK的病毒检测是基于文件系统的,需要传入相应的文件参数,如路径、文件名等。这意味着,病毒检测必须在还原到文件后才能进行。
  • 这些SDK中病毒特征库基于算法描述的,并没有真正的特征码,也就不可能适用于目前网络安全产品所应用的任何高速特征匹配算法。
  • 这些SDK无法面对更高的效率要求,也不可能在网络流或者分片级别解决病毒检测问题。

  因此,这些SDK适合搭建基于应用层还原的反病毒服务,但对firewall或者IDS是毫无裨益的。而安全厂商则希望安全产品能发现如下的问题,一个邮件蠕虫正在蔓延,一个正在被网内用户下载的EXE文件含有CIH病毒,一个P2P的蠕虫正在传播,用户访问的网页含有脚本病毒。用户也希望防火墙也能变成防毒墙,希望病毒不要混过GAP的过滤。希望网管能通过IDS控制蠕虫在内部蔓延。
  而作为用户网管来说,则更希望减少单机反病毒产品频繁报警对用户的压力,以及因为用户升级的不及时、监控器没有打开造成的安全事故。更希望病毒还没有进入企业内部网就被捕获,并且只被扫描一次,节省了企业的资源和产品的升级、维护费用,使企业和用户能轻松实现互联网时代的病毒实现。
  我们认为,最高效的,适用于实时网络安全产品的病毒检测模块,应该是不仅可以在文件系统计别,而是同样支持在流级别和包级别级别进行病毒检测的全新架构。而第一个能够为开发企业提供这种支持的,就是AVL。

AVL SDK

  安天实验室秉承多年在反病毒领域分析研究的成果,秉承在firewall和IDS技术方面的技术探索,推出高速病毒检测引擎AVL。为各安全厂商提供第三方病毒解决方案。
  AVL SDK是一套面向网络安全厂商的SDK产品,可以为firewall、GAP、IDS等产品扩展基于数据流或者数据包的病毒检测能力。也可以用于厂商开发独立的反病毒产品、病毒监控系统、反病毒网关等等。
  AVL SDK包括了 AVL Net-Level Engine, AVL System-Level Engine,调用接口,文档,调用范例和病毒库以及配套的自动升级程序。AVL引擎被封装为一组so文件或者DLL文件,开发者可以方便的按照使用手册,简单的通过函数调用为产品扩展病毒检测模块,或者编写独立的反病毒产品。SDK提供了检测对象、日志、联动响应等的接口函数,用户可以自由的替换实现更为强大的处理和联动操作。
AVL引擎结构如下

AVL SDK
├AVL Net-Level Engine
│├Base Engine 一个包级别基本检测引擎。
│├Mail Engine 邮件蠕虫检测引擎,工作于流级别。
│├Script Engine 脚本检测引擎,工作于流级别。
│└URL Engine URL检测引擎,工作于包级别。
└AVL System-Level Engine
├Format Recognition Engine 格式识别引擎
├Preprocess Engine 预处理引擎
├VM虚拟机
├Heuristic 启发式扫描
├COM/Bin Engine 2进制检测引擎
├PE Engine PE可执行程序检测引擎
├Script Engine 脚本检测引擎
└Marco Engine 宏病毒检测引擎


  对于那些已经有了完整的IDS体系或者非病毒类内容过滤需求的用户,我们也提供了解决方案,高速内容过滤引擎单独提供给那些需要进行其他内容安全开发的企业,或者已经拥有了病毒库资源但希望提高引擎效率的企业,如敏感信息过滤、垃圾邮件过滤等等。

AVL SDK的使用思路

防火墙反病毒模块:通过调用AVL网络级引擎实现基于包过滤或者代理防火墙的病毒检测,即可以基于AVL网络引擎进行线速检测,也可以基于系统级引擎进行更细粒度的文件检测或者CVP流检测。

网络IDS扩展病毒检测模块:IDS产品具有一定的粗粒度的病毒检测能力,但如果厂商希望提供更精确和广泛的检测,可以把AVL作为一个扩展模块,AVL的高速检测对系统处理速度不会购成影响。

主机IDS病毒查杀插件:如果试图搭建一个完整的节点安全解决方案,莫过于把HIDS与反病毒进行结合。AVL提供了一个内建这种解决方案的可能,同时AVL一直以彻底查杀各种木马而闻名。

GAP反病毒插件:为基于应用协议过滤的GAP构建内容过滤能力。 网络病毒监控系统:我们与哈尔滨工业大学联合开发的VDS就是最好的样板。 独立的反病毒软件系统:我们对于反病毒技术的理解就是您的理解….