整理北信源杀毒软件V20技术白皮书Word下载.docx

1、1、引言近期，微软公司宣布将于2014年4月8日起停止对Windows XP系统（以下简称XP）的支持。其官方资料表明，由于XP系统采用的体系架构和安全技术已不足以面对日益增长的安全威胁，一旦停止支持和更新，将难以对零日漏洞和APT攻击等网络威胁进行有效防护，安全风险骤增。基于安全考虑，微软建议XP用户尽快向Win7/8系统迁移。据不完全统计，目前我国个人电脑市场上XP用户数高达1.5亿。在关键信息基础设施和重要信息系统中，XP占桌面操作系统的比例约为70%，有的行业甚至高达90%以上。XP作为桌面操作系统，是用户进入信息系统的入口，其安全性直接关系信息系统安全。由于业务应用服务稳定性、整体实

2、施复杂性、新系统采购周期等关键问题，党政机关和企事业单位的信息系统由XP系统向Win7/8系统迁移难以在短时间内完成，保守估计这一过程将持续1-5年。在此期间，我国关键信息基础设施和重要信息系统将面临巨大的安全风险。同时，由于一些系统涉及到我国的国计民生领域，这种风险将透过信息化渠道，大面积地扩散到社会相关行业与领域，极有可能演变为大范围的网络与信息安全事件，其后果决不亚于当年的千年虫事件。针对该现状，北信源公司基于多年的安全行业经验和技术积累，本着维护国家网络与信息安全的使命意识和责任意识，及时提出了“北信源杀毒软件V2.0”安全防护解决方案，并面向社会推出了免费系列产品。该解决方案及产品提

3、供系统和数据级的安全防护能力，不仅有效填补了微软停止技术支持给XP 用户带来的安全空白，还能支持微软后续产品，持续为广大Windows用户的网络与信息安全保驾护航。2、背景“北信源杀毒软件V2.0”是北信源与XX合作研发的全新杀毒软件。集合了北信源公司近20年的千万级计算机终端安全管理经验，和XX强大的私有云端计算、海量数据学习能力与专业反病毒引擎能力，一改杀毒软件卡机臃肿的形象，竭力为用户提供前所未有的产品体验。北信源杀毒软件V2.0的主动防御功能可以对试图攻击您个人电脑的恶意行为进行主动识别，并告知您可能存在的风险，降低个人电脑遭到破坏的可能性。实时监控功能可以实时监测您电脑运行过程中的所

4、有进程，将危险扼杀于萌芽状态。自主查杀功能为您提供了闪电查杀（快速查杀）、全盘查杀、自定义查杀三种选择，您可以根据您的需要进行选择，对您的个人电脑进行扫描检测。北信源杀毒软件V2.0具有4大杀毒引擎、PB级的病毒样本，已经具备清理感染型病毒、木马、蠕虫、后门程序等威胁系统安全的病毒或程序的能力,并且中控中心可以对病毒样本、病毒库版本、软件版本等进行管理，确保数据实时更新。更有审计和威胁趋势统计，极大的方便了用户的统计工作。使用户无论在个人体验或是企业管理都能感受到北信源杀毒软件V2.0带来的安全、简捷、放心。3、产品总体设计北信源杀毒软件V2.0产品系统架构北信源杀毒软件V2.0的系统架构如图

5、1所示：图 1 北信源杀毒软件V2.0系统架构图北信源杀毒软件V2.0的功能架构图如下图所示。图 2 北信源杀毒软件V2.0功能结构图4、产品详细设计1. 2. 3. 4. 4.1. 网络构架对于一般网络（例如1个C类地址或若干个C类地址的局域网范围），可使用一套本系统软件，集中管理所属区域内的所有设备。系统正常运行后，主要通过网页WEB管理平台来对整个计算机设备信息系统进行配置管理，在网络内设置区域管理器、扫描器IP地址。对于一般网络（如1个C类地址或若干个C类地址的局域网范围）适用一套本系统，集中管理所属区域内的设备。对于大规模的多个局域网或者跨地域的广域网，提供多区域集中管理模式，即下级

6、管理系统可将本级所有设备信息再传递给上级管理数据库，使得上一级管理人员对整个网络的设备状况能够完全掌握。图 4 系统逻辑图4.2. 统一配置管理北信源杀毒软件V2.0产品采用统一配置管理中心实现对内部网络终端的统一安全管理。配置管理中心内置终端安全防护需要的所有安全管理参数，提供对计算机终端的安全规则配置、安全功能配置开启/关闭、安全配置执行范围设定等一系列安全措施的管理。 图 5北信源杀毒软件V2.0产品配置下发界面4.3. 病毒查杀功能通过整合私有云安全技术和基于的智能学习能力所研发出来的反病毒引擎，北信源杀毒软件V2.0提供了强大的病毒检出和清除能力。根据不同用户的需要，北信源杀毒软件V

7、2.0提供了三种常用的病毒查杀模式，在主界面即可直接进行选择：（1）闪电查杀 此模式只对电脑中的系统文件夹等敏感区域进行独立扫描。一般病毒入侵系统后均会在此区域进行一些非法的恶意修改，针对性的扫描此区域即可发现并解决大部分病毒问题，同时由于扫描范围较小，扫描速度会较快，通常只需若干分钟。（2）全盘查杀 此模式将对电脑的全部磁盘文件系统进行完整扫描。某些病毒入侵系统后不仅仅破坏系统文件，也会在其他部分进行一些恶意破坏行为，选择此模式将对电脑系统中全部文件逐一进行过滤扫描，彻底清除非法侵入并驻留系统的全部病毒文件。（3）自定义查杀 此模式将只对指定的目录进行扫描。可以根据扫描需求任意选择一个或多个

8、区域。4.4. 实时监控功能实时监控功能可以实时监测电脑运行过程中的所有进程。北信源杀毒软件V2.0软件会对设备进行实时监测，出现病毒威胁时，会根据设置，自动删除病毒文件，或者锁定病毒文件禁止其运行，等待您的处理。 当选择监控级别为“高”时：北信源杀毒软件V2.0将执行最严格的保护，保证安全。 当选择监控级别为“中”时：北信源杀毒软件V2.0将确保系统性能和安全之间达到最佳的平衡。 当选择监控级别为“低”时：北信源杀毒软件V2.0将对关键位置进行保护，确保最佳的系统性能。 当选择监控级别为“关”时：实时监控功能将关闭。4.5. U盘防护功能系统向指定客户端（用户组）分发文件或安装软件，分发时可

9、提供软件的运行参数和必要的运行控制。此功能可减轻网络管理人员的工作负担，（1） 风险扫描U盘防护功能对于U盘中存储的风险文件进行自动扫描，并告知存在的风险，降低电脑遭到破坏的可能性。图 6 U盘防护（2） 极速弹出 一键“极速弹出”U盘，保证您U盘中的数据不丢失。图 7 急速弹出程录制工具，可以很方便的对软件和它的安装过程进行录制打包，软件分发至终端后，系统可在终端对软件安装过程进行回放，方便软件在客户端进行自动安装。安装后的客户机端软件包括基本部分和用户工具，安装在客户机不同的目录中。4.6. 主动防御体系结构主动防御体系结构主要由实时监控系统、反病毒专家分析判断系统、恶意程序处理系统三大系

10、统组成。图 8 自动防御体系结构通俗地讲，反病毒专家具有分析判断程序是否是木马、病毒的能力，具有为计算机提供安全保护的能力。主动防御就是用软件实现了反病毒专家分析判断病毒的过程。主动防御的体系结构就好比具有很强反扒能力的警察，实时监控系统就是警察的眼睛，负责监控周围的环境和人的一举一动；反病毒专家分析判断系统就好比警察的大脑，负责将眼睛看到的环境和人的一举一动并结合自己判断盗窃者的经验进行分析判断；恶意程序处理系统就好比警察的手和脚，根据反病毒专家分析判断系统的通知做出相应的处理动作。实时监控系统：实时监控系统是主动防御的眼睛，负责监控电脑中所有运行程序的行为，并将监控的信息发送给反病毒专家分

11、析判断系统进行分析。实时监控系统由遍布操作系统的众多探针组成，这些探针通过监控应用编程接口（API），记录程序的每个动作，并将程序的每一个动作提交给反病毒专家分析判断系统进行分析判断。通俗地讲，探针就好比监控摄像头，实时监控系统就好比在家里部署监控摄像头一样。比如：在门口、窗户、存放贵重物品的箱柜等重要位置部署监控摄像头，这样就可以记录哪些人进出大门、窗户，以及打开存放贵重物品的箱柜，是否取出贵重物品。应用编程接口：简称API（Application Programming Interface），是用来操作组件、应用程序或者操作系统的一组函数。我们使用的各种应用软件，都是通过操作系统的各个应用

12、编程接口来实现相应的功能，病毒以及木马程序也必须通过操作系统的应用编程接口实现其危害目的。反病毒专家分析判断系统：反病毒专家分析判断系统是主动防御的大脑，由程序行为逻辑分析判断模块、恶意程序行为识别规则知识库、正常程序行为识别规则知识库组成。程序行为逻辑分析判断模块根据实时监控系统提交的运行程序一系列动作通过逻辑关系分析组成有意义的行为。根据程序行为逻辑分析判断模块分析所得到的程序行为，结合恶意程序行为识别规则知识库和正常程序行为识别规则知识库，反病毒专家系统对程序性质进行自主分析判断。如果判定程序行为符合木马和病毒的定义，确定该程序是木马、病毒，同时阻断木马、病毒对电脑的侵害，并通知处理系统

13、自动清除病毒。一个动作通常是无法判断程序的性质，只有将一系列动作通过逻辑关系分析组成有意义的行为，才能判断这个程序的目的。因此，反病毒专家系统不能只根据程序单一动作，而必须根据程序的一系列动作组成由意义的行为才能对程序是否是病毒做出准确的判断。恶意程序处理系统：恶意程序处理系统是主动防御的手和脚。恶意程序处理系统接到反病毒专家分析判断系统的通知后，自动完成对木马、病毒的清除工作。4.7. 隔离恢复功能（1） 异常文件恢复区 主动查杀、实时防护、U盘防护中发现并清除的风险文件，将会被隔离在异常文件恢复区，可以在该恢复区手动恢复您信任的文件以及彻底删除被隔离的文件。图 9 异常文件恢复区（2） 主

14、防文件恢复区 主动防御中拦截以及放行的所有行为都将备份在主防操作恢复区中，您可以手动还原恢复区中所有的被拦截或者被放行的行为。图 10 主防文件恢复区5、产品安全体系结构5. 5.1. 系统自身安全设计1通信保护：系统的组件间通信时，数据传输是经过加密的，客户端和服务器端相互通信使用双向认证机制。2客户端软件强保护机制：系统的客户端系统具有自我防护机制，防止用户随意停止、卸载。3服务器安全设计：服务器系统具备保护服务器功能。保证管理系统服务器端使用的安全性，保证其受到恶意修改IP地址的方式攻击时仍可正常工作,网络中出现恶意修改成与管理服务器相同属性（如相同的IP地址、相同的MAC地址等）的机器

15、时，出现IP地址或MAC地址冲突等现象时，管理服务器将不会被阻断出网（即不会出现地址冲突的现象），只有发起恶意攻击的设备才会被自动阻断，不会影响管理服务器的正常管理。4三权分立：提供系统审计员、系统管理员、系统操作员三权分立的权限管理体系。5系统日志：系统提供病毒查杀审计、运行审计和操作审计机制，保证系统的稳定运行。6、产品价值6.1雪狼引擎 独创冰山安全防御系统，由全新自主研发雪狼查杀引擎、冰心防护系统，XX强大的BSB云安全平台，并集合海量数据学习能力与卡巴斯基反病毒引擎专业能力，为用户提供专业贴心的反病毒服务。6.2XX私有云查杀引擎 私有云查杀引擎不仅扫描速度比传统杀毒引擎快10倍以上

16、，而且不再需要频繁升级木马库。只要用户与服务器通讯，就能实时与私有云安全数据中心无缝对接，利用服务器端的最新木马库对自己电脑进行扫描和查杀，占用系统资源极小， 实现了用户0负担6.3极光引擎V2.0 极光引擎具有模糊识别功能，多维模式识别文件，消除传统特征码无法判定文件的安全性造成的困惑，并且能有智能预判，机器学习与搜索技术结合，预先判断关联文件的安全性。6.4智能修复引擎独有云修复技术，智能解决系统异常。7、系统所需软、硬件配置要求系统需求 计算机和处理器处理器1GHz以上操作系统Microsoft Windows XP SP1以上内存256MB以上硬盘安装需要200MB的硬盘空间显示器最小

17、1024 x 768屏幕分辨率浏览器Microsoft Internet Explorer 6 或更高版本Internet 连接独立安装版:软件升级，补丁和软件市场需要互联网接入北信源杀毒软件V2.0客户端:需要与北信源杀毒软件V2.0中控服务器连通软件配置：CentOS Release 6.3Kernel Linux 2.6.32-279.el6.x86_64GNOME 2.28.2建议硬件配置：建议使用专业服务器或高档PC机，具体配置为CPU: Intel（R） Xeon（R） CPU E5-2620 0 2.00GHz 以上，内存：32GB以上，磁盘：1TB以上。北信源杀毒软件V2.0中控服务器具有较强的负载能力（每台服务器最大支持15000台终端），在管理数量较大的网络终端时（如数千台终端），为保障系统效率，应使用32G或32G以上的内存。