网关病毒扫描新技术

摘要：当前的防病毒产品主要包括桌面级、服务器级和网关级三种。对于网关级防病毒产品来说，如何提升大流量下的病毒扫描速度是目前面临的主要挑战。网络安全公司CP Secure推出一种“串流扫描技术”，能在安全网关接收到一部分数据包的时候就开始进行内容扫描，使得接收、扫描、发送三个步骤同时进行，有效缩短了病毒扫描的时间。

关键词：病毒；网关；串流扫描技术

针对目前病毒猖獗和防病毒市场火热的状况，各种各样的防病毒技术似乎都被宣称为能应对不断变化的病毒威胁。防病毒技术下连系统底层安全技术，上连用户复杂应用，其所表现的信息辨别和处理能力是非常具有挑战性的。此外，对系统运行和性能的影响程度也是考量防病毒水平高低的一个要素。

网关病毒防范日益重要

病毒的发展，目前呈现出的主要趋势是病毒与黑客程序相结合、蠕虫病毒更加泛滥、病毒破坏性更大、制作病毒的方法更简单、病毒传播速度更快、传播渠道更多、病毒感染对象越来越广。 因此，一个完善的安全体系应当是包含了从桌面到服务器、从内部用户到网络边界的全面解决方案，以防范来自黑客和病毒的威胁。基于这些需求，网关防病毒产品在目前的网络应用中，变得越来越重要，人们更加关注网关防病毒产品的研发。

蠕虫病毒产生以前，计算机病毒主要是以移动存储介质传播的。自蠕虫病毒出现之后，网络取代了移动存储介质的位置，网关防病毒产品自然成为了斩断网络病毒传播途径的有效手段之一。

基于硬件开发的网关防病毒产品已经推出一段时间，而具有相同功能的软件产品在市场上出现得更早。不过软件防病毒产品最大的缺陷是在易用性、安全性等方面与硬件产品存在一定的差异。软件防毒墙通常要安装到基于NT、Unix或者是Linux等开放式操作系统平台上才能使用，而开放式系统往往自身存有多种安全漏洞，且这些安全漏洞在互联网上可以被查寻到，用户若不及时打补丁，非法入侵者只需采用对系统进行攻击的方法就可轻松突破网络防护。这时软件防病毒产品不仅起不到安全防护作用，反而可能成为网络的安全隐患。同时软件防毒墙产品的性能和效率也会受到硬件环境的限制而无法达到最佳效果。

同防火墙产品发展的过程类似，网关防病毒产品的发展也经历了由软件到硬件的发展过程，而且从应用到技术实现有许多类似之处。首先，这两类产品在网络上处于相同位置，均在网关上起着十分重要的安全防护作用；其次，硬件防火墙和网关防病毒都是基于工控机开发的，是独立于操作系统平台之外的产品。

对于网关防病毒产品，在设计上厂商采用与防火墙产品大致相同的策略——精简操作系统、基于专用硬件平台等办法，来保证数据在网络中快速传输。不过相比防火墙粗放式解决问题的做法，网关防病毒产品可以将数据流还原成文件，从而进行文件的查、杀毒工作，对病毒的界定更准确和可靠。

串流扫描技术

网关防病毒技术主要有两部分，一是如何对进出网关的数据进行查杀；二是对要查杀的数据进行检测与清除。纵观目前主流的网关防病毒产品，其对数据的病毒检测还是以特征码匹配技术为主，其扫描技术和病毒库与其服务器版防病毒产品是一致的。如何对进出网关的数据进行查杀，是网关防病毒技术的关键。

由于目前防病毒产品还无法直接对数据包进行病毒检测，所以各厂商在网关处只能采取将数据包还原成文件的方式进行病毒处理。在此方面，防病毒厂商所采取的方式又各不相同，而CP Secure公司在其产品中采用了自主研发的“串流扫描技术”（Stream-based scanning），可以做到接收、扫描和输出同步进行，扫描速度比传统的扫描技术快了五倍以上。

串流扫描算法可以在获得很高的吞吐率的同时，大大减少网络延迟和超时的问题。网关防病毒产品的文件处理时间包括传输时间和扫描时间。一般来说，大部分处理时间花在文件的传输上。

在传统的使用随机存取算法的防病毒系统中，只有当整个文件都收到的时候才开始扫描，总的处理时间自然就会显得比较长。串流扫描技术可以在收到一部分文件的时候就开始扫描，相当于把需要扫描的文件化整为零，分成若干小段，提高了引擎的并行处理能力，从而缩短了处理时间。

此外，对于每一个文件，不同部分可以分别被扫描并输出，这样是部分而不是全部数据要缓存，减少了内存的使用。同时，由于文件不需要等到全部处理完就能输出，降低了传输延迟。

对于串流扫描来说，每次扫描文件的大小（颗粒度）主要是根据对应用层的信息解析，通过分析不同的文件类型，确定扫描的颗粒大小。CP Secure有自主研发的防毒引擎，对应用层的信息解析是引擎的基本功能，串流扫描的实现使得防毒引擎的功能和产品能够自然整合。

应对大流量是挑战

根据国际计算机安全联盟的调查显示，蠕虫病毒、木马程序、间谍程序及其他恶意程序对企业造成的损失一年比一年严重。随着信息化进程的高速发展，企业用户对电子邮件及网络的应用依赖日深。与此同时，病毒传播的速度更胜以往，其传输方式也从单纯的依赖电子邮件扩展到各种途径，甚至连上网查询数据都可能遭到攻击，这些都凸显出企业网关端防病毒的重要性。

自从病毒出现以来，始终处于快速的演化过程中，复合型、多家族、加壳保护等恶意病毒层出不穷。病毒制造者也从单纯的炫耀技术，转变为以获取利益为目的，呈现组织化与专业化特点。防病毒技术总是处于被动的地位，要能够真正做到对已知病毒防杀不漏，对未知病毒迅速应对，相关防病毒技术仍然有待提高。

目前，网关类硬件防病毒产品面对的主要挑战就是如何快速解决大流量网络环境下的安全问题。对于设备供应商来说，重点需要解决以下几个技术难题：首先，保证产品的性能、产品架构和系统资源必须满足产品最高的性能要求；其次，在复杂的网络拓扑环境下，要能够让不同硬件设备有效兼容；同时产品应当容易安装和使用，适用于不同网络环境；最后，还应当做到方便管理，界面简单。

网关防病毒技术已经成为网络和信息安全领域的一种基础类技术，是构建信息安全保障体系的重要组成部分。在选择防病毒产品时，企业需要考虑效率、查毒率、系统的吞吐量以及稳定性和易用性，同时服务的响应速度和产品的性能价格比也是重要因素。

在选择防病毒产品的基础上，相关的安全机制也需要建立。技术方面，应该建立和完善信息安全监控体系，及时发现和处置突发事件；管理方面，应该从制度上明确信息安全应急处理工作，建立健全应急管理协调机制、指挥调度机制和信息安全通报制度，同时制定信息安全应急预案，提高信息安全应急响应能力。

有关专家表示，我国的信息安全市场前景极为广阔，各安全防范研发公司将充分利用自身优势，推出更多更实用的产品，服务好各行各业。不仅让用户享受到全新的安全理念，还会提供国际水准的安全产品、技术支持和售后服务，帮助用户构筑坚固的防护网。

推荐访问:网关 新技术 病毒扫描