1 概述
1.1 技术背景
随着数字化进程的加速,计算机系统和网络面临着日益复杂的恶意代码威胁。从传统的病毒、蠕虫到高级持续性威胁(APT),这些恶意程序通过多种渗透途径进入计算机系统,不仅威胁个人隐私和数据完整性,更可能引发系统瘫痪和网络攻击扩散,给企业内网安全带来严峻挑战。在此背景下,防病毒技术作为关键防护手段不断发展演进。
防病毒技术作为网络安全的基础防线,经历了从简单特征识别到智能协同防御的重大技术变革。早期基于特征码匹配的静态检测技术,虽能有效应对已知威胁,却难以防范零日漏洞利用、多态病毒等新型攻击方式。现代防病毒体系通过本地引擎毫秒级特征匹配、云端智能分析、智能业务平台静态解析与动态行为建模、文件引擎深度内容检测、沙箱虚拟环境深度分析以及全球威胁情报网络协同防护的多层联动机制,构建了全方位的智能协同防御体系。
1.2 技术特点
防病毒具有如下技术特点:
· 深度防护:可对网络数据流进行协议分析和重组,对报文的应用层内容进行详细分析,识别出隐藏病毒特征,提高病毒检测的准确性。
· 全面防护:支持对已知病毒与未知威胁的双重防护,覆盖文件、内存、网络等多个层面的保护。
· 庞大且持续更新的特征库:内置专业病毒特征库,定期自动升级,确保能够及时响应新出现的病毒变种与攻击手法。
· 云端协同防护:通过与云端服务器联动,利用云端强大的计算资源与海量病毒数据库,实现对可疑文件的远程鉴定,弥补本地检测盲区。
· 智能分析检测:结合智能业务平台提供的机器学习与人工智能算法,对可疑文件进行脱壳、行为模拟与模式识别,提升对混淆、加密、变形病毒的检出率。
· 文件深度识别:支持对加密压缩包、嵌套文档、Office宏等复杂结构文件的内容提取与扫描,穿透多层封装,发现深层威胁。
2 防病毒技术实现
2.1 概念介绍
2.1.1 防病毒特征与特征库
1. 防病毒特征
防病毒特征是设备用于识别应用层信息中是否携带病毒的关键字符串,由系统内置的病毒特征库预定义。每个特征代表一种特定病毒的行为或代码片段,通常以唯一的病毒ID标识。
2. 防病毒特征库
防病毒特征库是由专业安全研究人员通过对大量真实病毒样本进行逆向分析后构建的权威数据库。库中每一条特征均精确描述了某种病毒在网络传输过程中的典型表现,如特定的二进制序列、HTTP请求头异常字段、PE文件节区命名规律等。
防病毒特征库作为一个持续更新的资源库,是网络安全防御的关键组成部分。不仅能识别和防御当前已知的病毒,还能通过定期的更新迅速适应新出现的病毒。这确保了企业和组织能够在不断变化的网络威胁环境中保持防御的先进性和有效性。
防病毒特征库升级
为保障防护能力始终处于前沿水平,防病毒特征库支持多种升级方式:
· 定期自动在线升级:按照设定周期(如每日凌晨)自动从官网获取最新版本特征库并加载到设备本地,更新本地的防病毒特征库。
· 立即自动在线升级:管理员手动触发设备即时获取官网最新版本特征库文件,立即更新本地的防病毒特征库。
· 手动离线升级:当设备无法自动获取防病毒特征库时,需要管理员先手动获取最新的防病毒特征库,再更新设备本地的防病毒特征库。
防病毒特征库回滚
当新版特征库导致误报率显著上升或引发业务异常时,管理员可将特征库回滚至出厂默认版本或其他稳定版本,确保业务连续性。
2.1.2 MD5规则
MD5规则是基于文件数字指纹(MD5哈希值)定义的检测规则,用于快速判断传输文件是否为已知恶意样本。由于同一文件无论存储位置如何变化其MD5值保持不变,因此该方法具有极高的识别效率和一致性。
设备在本地维护一个MD5规则库,包含大量已知病毒文件的哈希值。当检测到文件时,首先计算其MD5值并与本地库比对,若匹配成功则直接判定为病毒。
此外,未命中本地库的文件还可通过云端查询或智能平台增强检测进一步分析,结果将缓存于本地MD5值缓存中,供后续相同文件快速比对使用。
2.1.3 防病毒动作
防病毒动作是指对检测到病毒的报文所采取的处理策略,包括如下几种类型:
· 告警:允许报文通过,同时生成日志记录,适用于监控阶段或低风险场景。
· 阻断:直接丢弃报文,阻止病毒传播,适用于高危威胁。
· 重定向:仅针对HTTP上传方向,将用户访问跳转至提示页面,告知其文件存在风险。
所有动作均可生成病毒日志,并支持输出至信息中心或通过邮件发送给指定收件人,便于审计与溯源。
2.1.4 防病毒例外
防病毒例外机制通过灵活配置特征、应用和文件级例外规则,在确保安全防护的同时有效减少误报、优化性能并保障业务连续性。
防病毒例外包括如下类型:
· 病毒特征例外:将确认为误报的病毒特征加入例外列表,避免合法流量被拦截。
· 应用协议例外:对特定应用独立设置动作,实现精细化控制。例如,允许HTTP协议报文通过,但阻断HTTP协议上承载的游戏类应用。
· 文件MD5例外:基于文件哈希值放行已知安全文件,防止因误判导致业务中断。
防病毒例外主要实现的作用如下:
· 减少误报:避免合法文件被错误拦截;
· 优化性能:跳过例外流量的深度检测,节省系统资源;
· 保障业务:确保关键业务流量不会因误报而被中断,保障业务流程的连续性和稳定性。
· 动态管理:可通过定期审查与更新例外规则,适应新的业务需求和安全威胁的变化。
2.1.5 云端服务器
云端服务器是一种病毒远程检测服务系统,作为本地防病毒能力的重要延伸,用于解决传统特征库对新型、变种及未知病毒识别能力有限的问题。该系统依托大规模病毒样本数据库和高效查询引擎,为安全设备提供实时、精准的文件级病毒判定支持,实现本地与云端协同联动的智能防护机制。
其主要功能包括:
· 多源病毒数据汇聚:持续收集来自全球病毒捕获网络、沙箱分析平台、厂商、社区、第三方共享平台以及企业自研的恶意样本,构建覆盖广、更新快、准确性高的云端病毒特征库,确保对新型和变种病毒的快速收录与识别。
· 实时MD5比对服务:当安全设备本地无法判定文件是否包含病毒时,可将文件MD5值上传至云端服务器。云端服务器在毫秒级内即可完成匹配并返回“病毒”或“非病毒”判定结果。
· 本地缓存与高效复用:设备将云端服务器判定结果缓存在本地MD5缓存中,后续相同文件可直接匹配处置,减少重复查询,提升检测效率并降低网络开销。
通过上述机制,云端服务器显著扩展了本地防病毒系统的检测边界,实现了对新出现病毒的快速响应与全域同步防护。
2.1.6 智能业务平台
智能业务平台是面向安全应用的深度检测平台,以模块化硬件形态集成于安全设备中,通过专用内联接口与主控设备(即安全设备)实现高速互联。该平台专注于提升对未知、加壳、变形等高级威胁的识别能力。
其主要功能包括:
· 文件脱壳与解包:支持对加壳、压缩、加密的可疑文件进行多层剥离,还原原始载荷,暴露隐藏的恶意代码,提升深层内容检出率。
· 深度特征与MD5匹配:在脱壳和解析基础上,执行更全面的特征比对和MD5匹配,识别已知变种或伪装样本,弥补传统静态检测盲区。
· 虚拟执行行为分析:对高风险文件在受控的轻量级虚拟环境中运行,动态监控其行为(如注册表修改、网络连接、持久化等),发现潜在恶意意图,有效应对0day攻击等高级威胁。
· 本地缓存复用机制:将已分析文件的指纹与结果缓存在本地,后续相同文件可直接匹配响应,避免重复分析,显著降低资源开销,提升处理效率。
通过“本地初筛
+ 平台深挖”的协同机制,显著增强了安全设备对新型和隐蔽性病毒的检测能力。
2.1.7 文件引擎
文件引擎是集成于安全设备中的专用检测模块,专注于对多层封装、加壳变形等复杂文件进行深度解析与威胁识别,提升对隐藏恶意内容的检出能力。
其主要功能包括:
· 深层内容提取:穿透ZIP、RAR、Office宏、PDF脚本等嵌套结构,提取宏代码、ActiveX控件、OLE对象、JavaScript脚本等潜在威胁载体。
· 异常结构识别:检测文件头篡改、伪装扩展名、隐藏数据流等绕过手段。
· 行为前兆分析:识别具有攻击意图的API调用、自解压逻辑、网络回调指令等“预执行”特征。
· 本地缓存复用机制:将已分析文件的指纹与结果缓存在本地,后续相同文件可直接匹配响应,避免重复分析,显著降低资源开销,提升处理效率。
该机制特别适用于防范通过伪装成正常办公文档传播的勒索软件、宏病毒等威胁。例如,攻击者常将恶意代码隐藏在“发票.docm”、“合同.pdf”等看似合法的文件中,利用用户点击触发感染。传统防病毒检测技术可能因仅扫描外层容器而漏报,而文件引擎可通过深度解析直达内部恶意脚本或可执行体,实现精准识别与拦截,从而有效遏制攻击链的初始入侵环节。
通过“本地初筛
+ 引擎深度解析”协同机制,精准发现传统防病毒技术难以识别的隐藏威胁(如宏病毒、勒索软件),检测结果本地缓存复用,显著提升响应效率与防护深度,有效阻断通过伪装文档传播的高级攻击。
2.2 技术实现
2.2.1 病毒检测整体流程
防病毒采用“分层检测、协同响应、智能缓存、策略驱动”的运行机制,构建覆盖已知威胁与未知风险的全链路防御体系。系统以应用层检测引擎为核心,通过本地快速检测、云端服务器联动、智能业务平台深度分析和文件引擎精细解析等多维能力协同工作,实现从文件识别到最终处置的闭环处理流程。
整个运行机制分为四个关键阶段:
· 前期预处理:识别协议并提取潜在病毒载体。
· 多层次检测:在本地特征库检测之外,支持联动云端协同检测、部署智能业务平台执行增强检测和加载文件引擎进行深度检测。
需要注意:智能业务平台增强检测和文件引擎深度检测不能同时使用。
· 结果融合与缓存复用:整合多源检测结果,建立本地MD5缓存库,提升后续检测效率。
· 精准处置决策:基于检测结果与例外规则,对病毒报文执行告警、阻断或重定向等动作。
该机制实现了“本地为主、云端为辅、平台增强、引擎深析”的纵深防御架构,兼顾检测速度与检出率,适用于复杂网络环境下的高级威胁防护。
1. 前期预处理:病毒载体识别
病毒检测的第一步,是识别出报文中携带病毒的文件。病毒一般通过邮件协议或文件共享协议等进行传播,应用层检测引擎识别出应用层协议(如HTTP、FTP、SMTP、POP3等)后,将进一步对报文进行解析、解码、重组与切分,还原其中携带的文件内容。重点提取高危扩展名文件(如.exe、.docm、.zip)或经过编码封装的附件(如Base64编码邮件附件),确保所有潜在病毒载体均被有效捕获。
此阶段输出:原始文件数据及所属协议信息,为后续深度检测提供原始输入。
2. 多层次病毒检测
系统采取多层级检测机制,逐层排查威胁:
(1) 本地特征库快速检测
对提取文件进行特征字符串匹配与MD5哈希比对;
匹配成功即判定为病毒感染,并返回病毒ID;
未命中则进入缓存查询与外部协同检测流程。
(2) 外部协同检测
a. 云端服务器协同检测
若本地未检出且开启云端查询功能,设备将文件MD5值异步上送至云端;
云端基于全球恶意样本库返回检测结果;
结果写入本地MD5缓存,供后续直接调用。
b. 智能业务平台增强检测或文件引擎深度检测
- 智能业务平台增强检测
针对可疑但未确认文件,设备将其上传至智能业务平台;
平台通过脱壳处理、再匹配、虚拟执行检测等方式进行深度分析;
- 文件引擎深度检测
对加密压缩包、Office宏等复杂结构文件进行内容提取与扫描。
调用专用文件引擎进行内容拆解与深层特征提取。
实现对隐蔽性恶意代码的精准识别。
所有外部检测结果均回传至设备,并持久化至本地缓存。
3. 检测结果融合与缓存复用
为避免重复开销,系统建立统一的MD5值缓存机制,集中管理以下四类记录:
· 本地特征库匹配结果;
· 云端服务器返回结果;
· 智能业务平台检测结果;
· 文件引擎分析结果。
当新文件进入检测流程时,优先比对本地缓存:
· 匹配“病毒”记录 →直接处置;
· 匹配“非病毒”记录 →快速放行;
· 无匹配记录 →触发相应层级检测。
实现“一次检测,长期受益”,显著降低资源消耗与响应延迟。
4. 精准处置决策
无论通过哪一层检测发现病毒,防病毒模块均依据统一策略执行最终动作,优先级如下:
(1) 优先匹配例外规则
a. 匹配病毒特征例外 →允许通过;
b. 匹配应用协议例外 →执行例外中定义的动作。
(2) 无例外匹配时,执行报文所属应用层协议指定的防病毒动作。
2.2.2 本地特征库快速检测
本地特征库快速检测是防病毒运行机制中最基础、最关键的环节,它以“快、准、稳”为核心目标,依托成熟的特征匹配与MD5哈希比对技术,构建起对已知病毒的第一道坚固防线。
该机制完全运行于设备本地,不依赖外部网络连接或远程服务,通过内置的防病毒特征库对提取出的文件进行毫秒级比对分析,实现低延迟、高吞吐的实时防护能力。
整个检测过程在应用层检测引擎完成文件还原后立即启动,主要包括两个并行执行的技术手段:特征匹配与MD5值匹配。二者协同工作,覆盖静态内容与完整文件指纹,形成互补式检测能力,显著提升对常见病毒及其变种的检出率。
1. 特征匹配
特征匹配是传统防病毒技术中最成熟、最可靠的检测方式之一,其核心原理是基于已知恶意程序的“数字指纹”—即特定字节序列(也称病毒签名),在待检文件中进行模式扫描。
实现机制
系统维护一个结构化的本地病毒特征库,每条规则包含:
· 病毒ID:唯一标识某一类病毒;
· 特征字符串:从原始病毒样本中提取的关键字节序列;
· 偏移位置:指定在文件中的查找范围(如起始100字节内);
· 掩码信息:支持通配符匹配,应对简单加壳或填充干扰。
检测时,引擎对待检文件内容进行逐字节扫描,使用高效多模式匹配算法(如AC自动机、BM算法)同时比对成千上万条特征规则。
一旦发现某段数据与任一特征规则完全匹配,即判定为病毒感染,并返回对应的病毒ID。
典型应用场景
· 识别常见勒索软件(如WannaCry)、木马下载器(如AgentTesla)等标准化样本;
· 拦截通过HTTP/FTP传播的已知恶意可执行文件;
· 防护邮件附件中的宏病毒(如基于VBA的恶意文档)。
优势特点
· 检测速度快,平均响应时间低于10ms;
· 准确率高,误报率极低;
· 支持离线运行,适用于无网或高安全隔离环境。
局限性
对于经过加壳、混淆、加密处理的变种病毒,原始特征可能被隐藏或修改,导致匹配失败,需依赖后续深度检测机制补充。
2. MD5值匹配
MD5值匹配是一种基于文件完整性的快速识别方法,通过对整个文件计算MD5哈希值,并与已知恶意文件的哈希列表进行比对,判断其是否为已确认的病毒样本。
实现机制
(1) 引擎首先完整读取待检文件的所有字节;
(2) 使用标准MD5算法生成128位哈希值(32位十六进制字符串);
(3) 将该哈希值与本地MD5规则库中的“恶意文件哈希表”进行精确比对;
(4) 若存在相同记录,则直接关联对应病毒ID,确认感染状态。
典型应用场景
· 快速识别重复传播的恶意安装包(如仿冒软件、钓鱼程序);
· 在大规模内网环境中拦截已知勒索病毒副本;
· 作为缓存机制的基础,避免重复送检相同文件。
优势特点
· 匹配效率极高,支持百万级哈希条目快速查询;
· 可作为其他检测手段的结果固化载体(如将云端检测结果以MD5形式缓存)。
局限性
仅能识别完全相同的文件,轻微修改(如添加空字节、重命名资源)即可绕过检测;因此主要用于辅助特征匹配,不单独作为唯一检测依据。
3. 本地检测的优势与适用场景
尽管现代威胁日趋复杂,但绝大多数攻击仍基于已知恶意样本或其轻度变种。本地特征库检测凭借其高效性、稳定性与独立性,在实际部署中具有不可替代的战略价值。
优势维度
具体体现
高性能
检测过程全程本地执行,无需等待外部响应,单文件处理延迟通常在毫秒级,满足实时防护需求
高可用性
不依赖网络连接,在断网、弱网或高安全隔离环境下仍可正常运行,保障业务连续性
低资源消耗
采用优化算法与压缩索引结构,特征库体积小(通常几十MB至数百MB),内存占用可控,适配各类硬件平台。
安全合规
所有文件内容不出内网,符合金融、政务等行业对数据隐私与合规性的严格要求
典型适用场景包括:
· 内网边界防护:部署在企业出口防火墙设备上,拦截来自互联网的已知病毒传播。
· 离线网络环境:应用于电力、交通、制造等工业控制系统,实现无云依赖的安全闭环。
· 高并发访问节点:用于数据中心入口或CDN边缘节点,提供轻量级但高效的前置过滤。
· 移动办公网关:在SSL解密后对HTTPS流量中的文件进行实时查杀,防止隐蔽传输。
4. 与其他检测机制的协同关系
本地特征库检测并非孤立运行,而是整个防病毒体系的“前哨站”:
· 前置过滤:快速拦截90%以上的已知威胁,大幅减少需送交云端或平台分析的文件数量;
· 结果缓存基础:本地MD5库不仅存储原始规则,还接收外部检测结果回写,形成“越用越快”的智能缓存体系;
· 联动触发条件:当本地检测未命中时,自动触发后续的云端查询、智能平台送检或文件引擎深度解析,实现检测能力平滑升级。
正是这种“本地优先、逐级递进”的设计理念,使得系统在保证性能的同时,兼顾了对未知威胁的扩展防御能力。
2.2.3 云端服务器协同检测
在本地特征库无法识别潜在威胁时,云端服务器协同检测作为第二道防线,实现对未知或新型病毒的快速判定与响应。该机制充分利用云端强大的计算能力、海量样本库和实时更新的全球威胁数据,弥补本地检测在覆盖范围与时效性上的局限,显著提升整体病毒检出率。
云端协同检测通过“本地初筛 + 云端复核
+ 缓存复用”的三级联动机制,系统实现了从静态防御到动态响应的跃迁。
该机制不仅提升了对新型病毒、变种病毒的发现速度,更通过智能缓存策略不断强化本地检测效能,真正做到了“越用越快、越查越准”。作为纵深防御体系中的关键一环,云端协同检测为组织应对快速演变的网络威胁提供了强有力的技术支撑。
1. 云端查询实现机制
云端查询是一种按需触发的远程检测模式,仅在本地检测未命中且满足触发条件时启动,避免不必要的网络开销。
触发条件
· 本地特征匹配与MD5规则匹配均未匹配成功;
· 文件未命中MD5值例外(若命中,则表示管理员信任该文件,不必再进行病毒检测);
· 文件未命中任何MD5缓存记录;
· 设备已开启“云端查询”功能;
· 文件类型属于允许上送范围(如可执行文件、Office文档等)。
实现机制
云端查询采用异步检测机制。当本地无法判定文件是否包含病毒时,会在放行报文的同时,自动将文件的MD5哈希值上传至云端服务器进行查询;云端基于全球恶意样本库完成分析后,将MD5值和检测结果(如“病毒”或“非病毒”)异步回传至设备;设备接收后更新本地MD5缓存,便于后续报文在本地进行检测,不必再上送云端。
典型应用场景
新型病毒爆发初期,在本地特征库尚未更新前,依赖云端实时情报快速识别并拦截新出现的恶意程序。
优势特点
· 整个过程非阻塞式运行,不影响业务转发性能,同时实现对未知威胁的高效扩展检测。
· 为降低带宽消耗并保护用户隐私,系统仅将文件的MD5哈希值上传至云端服务器,而非完整文件。兼顾安全性与效率,既扩展了检测能力,又避免了敏感信息外泄。
局限性
· 依赖网络连接:云端查询必须通过稳定、可达的网络连接访问远程服务器,在断网、高延迟或受限网络环境中可能无法及时获取检测结果,影响防护连续性。
· 异步机制带来的滞后性:由于采用非阻塞式异步查询,报文通常先行放行,若后续云端返回“病毒”结论,此时文件已被放行,存在“先通后断”的安全窗口风险。
2.2.4 智能业务平台增强检测
为应对加壳、混淆、免杀等传统防病毒技术难以识别的高级威胁,设备支持与智能业务平台深度协同。通过启用平台侧的增强检测功能,可显著提升对未知恶意软件的深度分析能力。该功能突破本地特征匹配的局限,通过文件脱壳、虚拟执行与行为建模等技术手段,从静态代码到动态行为全方位还原恶意程序的真实意图。
智能业务平台作为防病毒体系中的“深度实验室”,与主控设备(Comware V7安全设备)构建“前端识别—后端深析”的联动架构:主控设备负责协议识别、文件提取与初步检测,一旦发现可疑但无法确认的文件,即触发增强检测流程,将文件送至平台进行深度分析;平台完成检测后,将结果回传至主控设备,驱动本地策略执行。
1. 平台架构-Docker+Comware V9 容器化部署
智能业务平台采用现代化容器化架构,基于Docker容器环境运行Comware V9 操作系统,实现资源隔离、弹性扩展与高效调度,具备良好的可维护性和可扩展性。
核心组件包括:恶意软件扫描引擎、虚拟执行检测模块和虚拟执行检测服务。详细介绍请参见下表中的说明。
表2-1 智能业务平台核心组件
组件
所在位置
功能描述
恶意软件扫描引擎模块
智能业务平台的Docker容器(运行Comware V9)
文件解析、特征匹配、MD5匹配、脱壳处理等静态分析功能
虚拟执行检测模块
智能业务平台的Docker容器(运行Comware V9)
接收任务调度,转发至检测服务
虚拟执行检测服务
智能业务平台主机层
提供真实的隔离执行环境(轻量级沙箱),用于动态运行可疑文件并监控其行为
图2-1 智能业务平台架构示意图
2. 深度检测流程-递进式分析机制
当主控设备(Comware
V7安全设备)本地检测未命中且启用增强检测功能时,可将缓存的原始文件上送至智能业务平台。平台通过文件脱壳、MD5匹配、特征匹配、虚拟执行检测等多种技术手段,构建多阶段、递进式的检测流程,显著提升对复杂恶意程序的识别能力。具体流程如下:
(1) 第一阶段:静态匹配再确认
平台首先尝试使用内置的增强版特征库进行二次验证:
¡ 计算文件MD5值,比对平台的恶意样本库;
¡ 执行更精细的特征字符串扫描,支持复杂偏移与掩码规则;
¡ 若匹配成功,直接返回病毒ID,结束检测。
目的:快速拦截已在平台侧收录但未同步至设备本地的新型变种。
(2) 第二阶段:文件脱壳处理+再次静态匹配
针对常见加壳手段(如UPX、PECompact、ASPack等),平台调用专用脱壳引擎对可疑PE文件进行还原。
¡ 识别壳类型:通过熵值分析、节区特征比对等方式判断是否加壳;
¡ 自动脱壳:利用通用脱壳算法或预置解码逻辑,剥离外壳,恢复原始可执行代码;
¡ 生成净文件:输出脱壳后的纯净版本,供后续检测使用。
¡ 再次静态匹配:对文件再次进行特征匹配和MD5匹配,若匹配成功,直接返回病毒ID,结束检测。
例如:某勒索软件使用UPX加壳逃避本地检测,经平台脱壳后还原出原始恶意代码,成功匹配特征库中已知签名。
(3) 第三阶段:虚拟执行检测(轻量级沙箱运行)
若静态分析仍未发现威胁,且管理员已开启虚拟执行检测功能,平台将启动动态行为监控流程,在隔离环境中运行文件,监控行为并匹配行为规则库。具体流程如下:
a. 环境准备:
- 创建轻量级虚拟执行环境;
- 模拟典型操作系统环境;
- 注入诱饵文件、注册表项以激发潜在恶意行为。
b. 文件运行:
- 在隔离环境中启动可疑文件;
- 全程记录其所有系统调用、进程创建、文件操作、网络通信等行为。
c. 行为捕获:
- 监控关键API调用(如CreateRemoteThread、RegSetValue);
- 捕获外联IP/域名(尤其是C2服务器);
- 记录文件加密、自删除、权限提升等高危动作。
d. 第四阶段:行为建模分析真实意图
将完整行为日志打包,结合专家经验构建的行为规则库进行匹配分析;判定是否属于已知恶意行为模式(如“勒索行为链”、“持久化驻留”)。
核心分析维度包括:
分析类别
检测能力说明
进程行为
监控是否创建子进程、提权操作等异常行为
文件操作
捕获大规模文件加密、配置文件修改、日志清除等动作
注册表操作
识别开机自启、策略篡改、隐藏账户创建等持久化行为
网络行为
发现外联C2服务器、数据回传等通信特征
系统调用序列
分析API调用链,识别典型恶意行为模式
例如:某样本虽无已知特征,但在运行中尝试枚举磁盘文件并调用AES加密API,同时连接境外IP,系统据此判定为“疑似勒索软件”,触发高危告警。
3. 结果回传与本地策略响应
智能业务平台完成深度分析后,将检测结果回传至主控设备。主控设备接收到结果后,立即更新本地MD5缓存,并根据判定结果执行相应的防病毒动作(如告警或阻断),实现威胁响应的闭环管理。此后,相同文件在再次出现时可直接通过本地缓存识别,无需重复送检,显著提升检测效率与系统性能。
在整个增强检测流程中,主控设备是否放行当前待检测文件的报文,由管理员在设备侧通过相应的配置明确指定。
主控设备与智能业务平台联动时支持两种工作模式,核心区别在于对当前报文的处理时机,即“是否等待平台结果再决定放行”,管理员可根据实际安全需求进行灵活选择:
· 同步模式(先检后放):当文件触发增强检测条件时,主控设备暂不放行对应报文,暂停转发流程,将文件上传至智能业务平台并实时等待检测结果。平台返回结论后,设备依据结果决定放行或阻断该文件。此模式实现“先检测、后通行”,确保可疑文件在未被确认安全前无法进入内网,彻底规避“带毒入网”风险,适用于金融、政务、能源等高安全要求场景,但可能引入一定时延。
· 异步模式(先放后检):主控设备在发现可疑文件后,立即放行当前报文,保障业务连续性与网络转发性能,同时在后台异步将文件上传至智能业务平台进行深度分析。平台完成检测并返回结果后,设备更新本地缓存,并根据结果执行告警或后续阻断等响应动作。若文件被判定为恶意,后续相同文件将被直接拦截。该模式实现“先通行、后处置”,优先保障用户体验,适用于流量大、时延敏感的业务环境,但存在“文件已进入内网、事后才响应”的短暂安全窗口。
2.2.5 文件引擎深度检测
为应对日益复杂的文件型威胁(如宏病毒、嵌套恶意脚本、伪装压缩包等),设备支持加载文件引擎执行深度检测。文件引擎作为防御文档类攻击的核心能力,突破传统防病毒技术对MD5值和特征匹配的局限,聚焦于对隐蔽性恶意文件的“结构化解析”与“内容级审查”,深入剖析文件内部逻辑构造,精准提取并分析宏代码、脚本片段、OLE对象、嵌入式可执行体等潜在攻击载体,实现从“表层识别”向“内核洞察”的能力跃升。
通过全面支持主流办公文档(如.docm、.pdf)和压缩格式(如.zip和.rar),结合多层级递归解包与语义还原技术,文件引擎能够在攻击初期即发现隐藏风险,有效识别宏病毒、脚本攻击、多层嵌套载荷等复杂威胁。
1. 深度检测实现机制
文件引擎采用“分层解析+内容重建+规则匹配”三位一体的技术架构,逐步剥离文件外壳,还原其真实内容与执行逻辑。具体检测流程如下:
(1) 格式识别与结构解析
通过识别文件真实格式、加载专用解析器并构建逻辑结构树,精准还原文件内部组成,有效防范扩展名伪装和结构化攻击。
¡ 引擎根据文件头信息准确识别实际格式,防止扩展名伪装。
¡ 加载对应解析器(如Office OOXML解析器、PDF语法分析器等)。
¡ 构建文件逻辑结构树,识别根对象、子部件、嵌入流等。
(2) 多层解包与递归提取
穿透文档封装结构,深度提取宏代码、OLE对象、ActiveX控件、JavaScript脚本等潜在威胁载体,实现对封装隐蔽性恶意内容的全面暴露与分析。
¡ 对压缩类文件(如ZIP、RAR)执行自动解压,支持多层嵌套;
¡ 提取内部所有成员文件,并对其中仍属高风险格式的文件继续深入解析。例如:malware.zip→invoice.docm→内嵌vbaProject.bin→成功提取VBA宏代码。
(3) 敏感组件提取与内容还原
通过提取办公文档中的VBA宏、OLE对象、ActiveX控件及PDF中的JavaScript脚本、URL链接,并还原混淆的脚本代码,输出可读的原始内容,为后续威胁检测提供清晰、可用的分析样本。
¡ 从办公文档中提取VBA宏、ActiveX控件、OLE对象;
¡ 从PDF中提取JavaScript脚本、URL链接等;
¡ 从脚本类文件中还原混淆代码(如Base64解码、字符串拼接还原);
¡ 输出原始可读内容,供后续规则匹配使用。
(4) 异常行为与攻击模式识别
通过规则库匹配、控制流分析和机器学习风险评分,识别宏/脚本中的恶意行为模式(如注册表修改、持久化驻留等),精准发现已知攻击构造与新型变种威胁。
¡ 调用内置规则库匹配已知恶意构造;
¡ 分析宏/脚本控制流,识别典型恶意行为模式,例如:尝试注册表修改或持久化驻留;
¡ 结合轻量级机器学习模型对代码片段进行风险评分,识别新型变种。
2. 检测结果回传与本地策略响应
文件引擎完成深度分析后,将检测结果回传至设备本地,设备将自动更新MD5缓存,并依据判定结果触发相应的防病毒响应动作(如告警或阻断等),实现威胁检测与处置的闭环管理;后续相同文件再次出现时,可直接通过本地缓存快速识别,无需重复解析,显著提升检测效率与系统整体性能。
在整个文件检测流程中,设备是否放行当前待检测文件的报文,由管理员在设备侧通过相应的配置明确指定。
设备支持两种工作模式,核心区别在于对当前报文的处理时机,即“是否等待平台结果再决定放行”,管理员可根据实际安全需求进行灵活选择:
· 同步模式(先检后放):当文件触发文件引擎检测条件时,设备暂不放行对应报文,暂停转发流程,将文件上传至文件引擎并实时等待检测结果。引擎返回结论后,设备依据结果决定放行或阻断该文件。此模式实现“先检测、后通行”,确保可疑文件在未被确认安全前无法进入内网,彻底规避“带毒入网”风险,适用于金融、政务、能源等高安全要求场景,但可能引入一定时延。
· 异步模式(先放后检):设备在发现可疑文件后,立即放行当前报文,保障业务连续性与网络转发性能,同时异步将文件上传至文件引擎进行深度分析。引擎完成检测并返回结果后,设备更新本地缓存,并根据结果执行告警或后续阻断等响应动作。若文件被判定为恶意,后续相同文件将被直接拦截。该模式实现“先通行、后处置”,优先保障用户体验,适用于流量大、时延敏感的业务环境,但存在“文件已进入内网、事后才响应”的短暂安全窗口。
2.3 技术对比
2.3.1 防病毒与APT防御技术的对比
在现代网络安全体系中,防病毒与APT防御是应对不同层级威胁的核心技术手段。二者并非替代关系,而是功能互补、协同联动的安全能力组合。
· 防病毒擅长高效拦截已知威胁,实现快速处置。
· APT防御则聚焦于发现传统手段难以识别的高级未知攻击,突破检测盲区。
只有将两者有机结合,才能构建“发现→分析→阻断”的完整闭环,有效应对复杂多变的网络攻击。
表2-2 防病毒和APT防御技术对比表
对比维度
防病毒
APT防御
核心价值
快速拦截已知威胁,例如蠕虫、木马、勒索软件等常见恶意程序
精准发现未知攻击,防御针对特定目标的长期潜伏型网络攻击
典型威胁场景
大规模传播的病毒、带毒邮件附件、感染型恶意软件
零日漏洞利用、定制化后门、无文件攻击、供应链投毒
工作模式
主动分析流量,在检测到攻击或异常行为时立即阻断,防止其达到目标,可以在攻击发生之前就减少潜在的损害
被动发现机制,侧重于在攻击初期识别隐蔽行为
核心技术
基于特征的静态识别
· 特征匹配:比对文件中特定字节序列是否与病毒库一致
· MD5哈希匹配:判断文件是否为已知恶意样本
· 基于智能业务平台的增强检测:结合文件脱壳以及轻量级虚拟执行提升检出率(此种方式中包含动态行为分析)
· 文件引擎深度检测:深度解析文件,多层解包还原,智能检测隐匿威胁。
基于行为的动态分析(即沙箱)
· 沙箱联动:将可疑文件送入外部沙箱虚拟环境执行
· 行为监控:观察其真实行为(如进程创建、注册表修改、C2外联、DNS请求等)
· 行为比对:与恶意行为特征库匹配,判定是否为高级威胁
检测对象
已知病毒样本及其常见变种
未知文件、零日漏洞利用载荷、定制化恶意程序
响应方式
直接根据检测结果执行“告警”或“阻断”等防病毒动作
发现威胁后通知设备,并写入APT缓存
是否自动阻断流量
是,可独立完成处置
否,仅提供检测结果,阻断需由防病毒策略完成
优势
· 检测速度快,适合高吞吐场景
· 适用于绝大多数已知威胁
· 可独立完成阻断动作
· 可识别未知文件,能更好防御未知威胁
· 不依赖静态特征,抗绕过能力强
· 能发现无文件攻击、隐蔽驻留等高级手法
局限
· 无法识别加壳、变形或新型变种
· 易被攻击者通过简单修改绕过
· 无法直接阻断流量,需依赖防病毒策略联动
· 响应延迟相对较高,需等待沙箱运行完成
· 依赖外部沙箱系统支持,部署复杂度较高
3 典型组网应用
3.1 边界部署,阻断病毒入侵
设备部署于企业网络出口,作为第一道防线,实时检测进出流量中的病毒载荷。对内网用户从外网下载的软件和文档以及外网用户上传到内网服务器的文件进行病毒检测,阻断病毒入侵。保证内网服务器和内网用户的安全。
图3-1 边界部署组网示意图
3.2 内网部署,防止病毒传播
设备部署于内网不同安全区域之间(如办公区与服务器区、研发区与生产区),实现横向流量的病毒检测。例如,检测内部主机间共享文件夹传输的病毒;阻止受感染终端向内网服务器上传恶意程序;防范U盘摆渡、横向移动等内部扩散行为。防止病毒在内网传播,保护内网安全。
图3-2 内网部署组网示意图