【51CTO.com綜合報道】華賽UTM+產品，旨在為客戶提供一個擁有統一設計、融合技術以及全面的安全能力的方案。而在在華賽UTM+諸多的安全能力之中，防病毒技術是體現其融合、全面和高質量安全的核心技術之一。本文將重點介紹這一核心技術。

防不勝防的新病毒

隨著Web2.0時代的到來，個人和企業的商業風險也越發地被暴露出來，包括網絡中斷，數據丟失，經濟損失，增加企業運營費用等等。這些新的威脅，很多都集中在經濟利益上。根據某防病毒公司提供的數據統計，2010上半年中國共有5.96億人次網民被病毒和惡意軟件感染，就是說平均每天有331萬網民中毒。

如今，世界各地的黑客們想法設法采用多種手段來非法獲利。現在的病毒中，類似“熊貓燒香”、“橙色八月”之類能夠給電腦帶來嚴重破壞的病毒已經大幅度下降，絕大多數病毒是以獲取經濟利益為目的，用戶在“中招”之后，沒有明顯的異常現象，不會影響電腦上網等正常工作，但用戶的經濟利益在無形中已經遭受巨大損失。

為了躲避殺毒軟件的查殺，這些病毒通常都會藏匿于用戶下載的二進制文件中，而且，為了增加查殺難度，甚至會藏匿于壓縮文件中。病毒變得越來越復雜，并使用各種高級技術來隱藏他們的存在。另外，這些病毒還會被設計為長期潛伏在用戶的計算機中（APT，“高級長駐式威脅”），用于傳播其他惡意軟件，如密碼盜取程序、鍵盤記錄程序、虛假的防病毒軟件、遠程控制軟件等。

華賽UTM+防病毒引擎鑄造網絡安全的鐵壁銅墻

對于任何一個UTM產品的防病毒引擎來講，有效的檢出率都是最基本的關鍵要素。華為賽門鐵克能夠提供業界檢出率最高的引擎解決方案。

華賽堅持開發以有效檢出率為核心理念的防火墻引擎。華賽UTM+的防病毒引擎是一個高度優化的引擎，通過高級的模擬、分析、模式匹配等技術實現了在文件中掃描威脅。我們的防病毒引擎僅在去年就檢測到了超過20億次的攻擊和2.4億個不同的病毒和變種。

在業界，防病毒引擎存在另一種做法：流掃描技術。這種技術只是對二進制流進行簡單的匹配，以確定是否存在病毒。這種技術實際上是一種妥協的表現。因為，流掃描技術是從報文角度去檢測病毒，而不會從文件角度去檢測病毒，所以，流掃描技術只能檢測出簡單和低級的病毒，而對于壓縮后的病毒、加殼后的病毒、需要執行才能暴露的病毒等等都無能為力。

華賽UTM+的防病毒引擎具有四大特點。首先，該引擎具有業界領先的檢測能力；其次，具備成熟高級的掃描技術；第三，該引擎還支持啟發式病毒掃描，代號MalHeur（也稱靜態啟發式，一個靜態啟發式簽名可以覆蓋成千上萬種病毒）；最后，該引擎非常穩定。華賽UTM+的防病毒引擎在檢測高級威脅方面尤其杰出，例如高級的感染型病毒（如Virut），引導區/主引導記錄區的病毒（如MebRoot），還有不可執行的文件病毒（如PDF 病毒-Bloodhound.PDF!gen和微軟 Office 文檔病毒 -Bloodhound.Exploit.312）等等。

那么，華賽UTM+的防病毒引擎，在技術上是如何實現高檢出率的呢？檢測算法很重要。傳統UTM的檢測算法基本都是基于字符串匹配和HASH匹配，對于藏匿于文件中的明顯病毒能夠有效地檢測出來，但是對于需要執行才能暴露的病毒卻也無能為力。而華賽UTM+的防病毒引擎的仿真技術則能夠有效地檢測出這類病毒。

什么是仿真技術？簡單來說，仿真技術就相當于在一個純軟件的計算機中“運行”被檢測的文件(就像虛擬機一樣)，從而使得病毒暴露其不良活動企圖或者現出原形。另外，華賽UTM+的腳本引擎可以實現那些復雜的檢測行為。通過腳本，我們可以創建一個全新的子引擎，如一個全新的PDF解析器，或者一個全新的基于哈希的引擎，又或者是全新的反混淆或者脫殼引擎。這樣，當新型威脅出現時，我們就可以在幾小時內開發出新的腳本并發布到工作的防病毒引擎上。

一款UTM產品，高的檢出率固然重要，但是對于一款出色的防病毒引擎來說，它所追求的應該是盡可能高的檢出率和盡可能低的誤報率。在2009年度，賽門鐵克的防病毒產品獲得了AV-Comparatives (Andreas Clementi)的“2009年度最佳產品”，AV-Comparatives的創建人Andreas Clementi 給出的評價是“賽門鐵克反病毒引擎2009年的整體出色表現展示了其產品在高性能、高檢測率和低誤報上的完美結合。” 華賽UTM也因完整融合該優秀的引擎和病毒庫使得我們的UTM在防病毒領域網關領域保證了高的檢出率和極低的誤報率。

全球實時病毒庫讓華賽UTM+零時差更新

計算機病毒的更新和變種速度同樣也是爆炸式的。根據歷史記錄，2000年，賽門鐵克每天發現新病毒數量約為5條；2007年，華賽每天發現新病毒的數量已經達到1000條；而今天，華賽每天都會發現超過15000條新的病毒及其變種。在2009年一年里，華賽共發現了2.4億個新的病毒威脅和變種，這個數據相比2008年整整翻了一番。

如何支撐新病毒檢測如此快速的更新能力呢？這歸功于華賽的全球實時安全威脅監控網絡。這是一個遍布200多個國家、部署了24萬個監控點的威脅監控網絡，由1.33億客戶端、服務器和網關組成。華賽的安全威脅監控網絡能提供精準深入的威脅分析，該監控網絡的每一個威脅結果都服務于華賽UTM+的AV、AS、IPS、URL功能。另外，華賽的全球實時安全威脅監控網絡具有7*24*365的實時升級服務能力，并實現全球同步，零時差更新。

AV TEST從今年1月1日到8月30日對各主要廠商對于內容安全升級次數的一個統計，我們可以看到，華為賽門鐵克以及賽門鐵克共同向用戶提供了總共1833次的內容升級服務。這意味著平均每四個小時就可以向客戶提供一次新的升級服務，這在所有業界廠商中效率是最高的。

面對詭異難測的安全威脅與瞬息萬變的市場競爭，華為賽門鐵克公司深入洞察用戶需求，著眼于全方位安全防護，將防病毒引擎等多項創新技術融入新一代UTM+平臺，在有效提升安全品質的同時保證企業高效運轉，同時為企業帶來了新的活力。