1.病毒问题目前，恶意软件感染率大幅增高，以窃取公司敏感数据和破坏重要用户用户记录的恶意软件会给企业造成巨大的损失，企业必须选择正确的防御方式来阻止恶意软件感染。

针对现在的Internet，恶意软件研究人员发现了大量的恶意软件活动，并评估每天都有数以千计的恶意软件变种在发布并传播。

与之形成强烈对比的是，只是在几年前，研究人员每天只能发现少量新的恶意软件。

研究人员预计随着Internet中大量的新恶意继续恶化，这种情况仅是大流行的初期阶段。

同时黑客发布越来越复杂的恶意软件——一些被设计为偷渡式安装并通过一台曾经是信任的主机或假冒他人进行分发。

这篇文档针对在网关处检测数据的网关防病毒架构设计，描述、比较并提出了一份最好的实践指南。

这种架构被设计对识别并阻止恶意软件内容进行高速数据检查，如：键盘记录器、后门程序、间谍软件、rootkit等其它形态的恶意软件。

将两种主流架构进行比较。

第一种方式是Fortinet利用定制硬件来加速文件重组和应用识别的代理方式，可提供更全面的文件分析。

第二种是基于数据流方式，在对数据包进行逐个检测。

以下内容将描述基于流方式虽然可提供最大化的性能，但性能提高的代价是低检测率，增加用户因检测失败而感染恶意软件的高风险。

值得注意的是Fortinet向正规的第三方认证中心(ICSA实验室)提交了Fortinet架构以确保100%的WildList防御(WildList是一个Internet上最活跃病毒的数据库。

列表每月更新，由维护，Fortinet是其成员之一)。

每月的ICSA测试证明FortiGate设备可提供100%的WildList保护。

另外，Fortinet 对恶意软件防御相比WildList进行了扩充，使用启发式分析和文件还原引擎动态的检测多形态病毒及新的恶意软件变种。

通过对Web、FTP下载/上传、邮件信息及IM(即时消息)等应用的数据传输进行扫描，FortiGate设备可对最流行的恶意软件进行阻止。

反之，没有一种目前的基于流网关经过认证或行业证明可提供100% WildList保护。

2.Fortinet方式——加速的内容分析Fortinet网络架构是利用专用的硬件架构，在不牺牲网络安全性和性能的前提下，正确快速的检测恶意内容。

使用深度文件分析和基于代理的应用引擎，FortiGate设备把文件提交给内容层、协议层和启发式分析层等多个层次，使系统能检查到最复杂的多形态恶意软件。

为了进一步增加检测正确性，代理方式在检测前可对文件解包或解密，使FortiGate设备能解决规避方法。

由于文件经常被有意的打包或加密，以逃避基于流的检测方式。

例如，黑客清楚基于流检测的运行原理后，故意的打包恶意软件以逃避基于流扫描的检测。

打包文件是指把文件压缩或归档为某种格式，如UPX、gzip、ZIP和RAR。

正常使用Web应用时，Web服务器通常会为了更快的在Internet上传输内容对文件压缩。

一旦接收到文件，浏览器将会自动解压文件并显示或执行。

因为组成一个文件的所有数据包必须被缓存并重组，而解包文件通常会消耗很高的性能，大多数基于流的防病毒引擎只能提供有限的数据包重组支持。

微软最近的一份报告指出，超过一半的新发现的恶意软件为了逃避和迷惑的原因，都被进行了打包。

事实上许多基于流的引擎只能支持有限的数据包重组，这意味着部署基于流的防病毒网关后，超过50%的最活跃的恶意软件可能未被发现而流入网络——网关重要的安全缺陷使用户更易被感染，带来了高风险。

图2 基于流的防病毒网关潜在安全缺陷3.文件分析和恶意代码检测检测恶意软件内容的第一步，也是最重要的步骤，是应用检测规则前要把整个文件进行重组。

一旦FortiGate收到数据，将执行解包、解密及文件还原程序，复原出真实的二进制文件。

而基于流的引擎因不能对文件解包、解密并还原为二进制格式，所以静态签名库只能对文件的内容进行推测。

这种方式将提高误判的可能性，并可能阻塞正常的流量或中断重要应用程序的运行。

图3 FortiGate透明截取传输中的文件进行检测因数据在两台主机间传输，当数据传输到请求文件下载的客户端时，FortiGate透明的截取文件分片。

一旦接收到所有的分片，FortiGate将重组成完整的文件进行分析。

如果发现文件经过打包，将调用解包程序对文件解压缩，以得到真实的内容。

如果发现文件经过加密，FortiGate系统将对文件仿真执行以解密文件，显示出文件的真实内容并进行精确的分析。

当大文件的解包和解密时，FortiGate将提供更高的检测及精确性级别，以确保重要应用程序的正确运行。

以下的章节将讨论一个FortiGate如何正确检测多形态病毒的实例，这种病毒专门为设计为逃避基于流的检测。

4.比较多形态病毒检测方法多形态病毒是专门用来逃避依靠静态文件特征检测病毒的方法，这种病毒加密病毒代码并自动执行解和文件转化程序。

当多形态病毒在主机间传播时，通过使用不同的加密算法和前一个版本的关键信息，转化程序改变文件结构形成病毒变种。

变种包括同样的病毒，但文件结构已被改变，所以相对以前的版本很少或没有留下可被识别的模板。

因为转化引擎可能产生上百万的新变种，依靠特征检测每一种变种效率将非常低，占用资源也很高。

只有通过先重组完整文件再应用仿真程序来解密并显示文件代码的方式才能正确高效的检测多形态病毒。

图4 逃避静态签名库检测的多形态病毒变种基于流的方法基于流的防病毒厂商可能辩解他们能轻松的编写签名库来匹配打包或加密的文件本身。

事实上，捕获所有的初始和变种病毒将使签名库数量变得不切合实际，数据包级的检测会面对可量化性及系统资源问题。

签名库数量越多，可利用系统资源就越少，基于流的方法将严重的影响性能。

举例来说，一种多形态病毒变异出1,000种不同的变种。

多形态病毒每感染一台主机，转化引擎都可能为每一种形态随机使用不同的加密或关键信息进行编码。

通过为每个文件形态编写签名库来正确捕获一个病毒，基于流的方法需要：1 (初始) + 1,000 (变种) = 1,001 (为检测一种病毒的签名)文件变种数量的另一个要素是打包方法，对于基于流的防病毒网关，将需要更高的检测一种病毒的签名库数量。

Fortinet的方法通过使用仿真引擎，FortiGate架构只需要一条签名检测同一个多形态病毒。

文件被重组和分析时，如果发现文件被加密，FortiGate将仿真文件执行，以前的加密代码被解密并分析。

这种状态下，不管文件架构如何变化，只需要检查一条文件签名，不需要为每一变体编一条签名。

图5 FortiGate设备执行文件重组图6 FortiGate仿真引擎解密文件发现病毒代码Fortinet基于代理的方法能提供高性能和高水平安全的更好的平衡。

使用加速文件分析的专用硬件，FortiGate设备在保护高性能和低延迟的同时，还能实现包含解包和仿真引擎的更深度文件分析。

图7 Fortinet代理架构和基于流的防病毒网关功能比较基于流的防病毒测试在一些Internet网关上使用基于流的检测方式作为主要的恶意软件检测引擎。

尽管这种方式能提供较高的性能，但使用基于流的方式检测恶意软件有很大的局限性。

基于流的扫描技术通常用来做IPS(入侵保护)系统，能最有效和最理想的执行深度包检测，发现那些明确包含在一个或一些数据包中发送的攻击。

对使用基于流引擎网关防病毒产品功能测试中，通过在FTP客户端和服务器间传输EICAR测试文件测试检测能力。

首先传输ZIP格式EICAR文件，可以正确检测并阻止。

但同一个EICAR文件在传输前使用常用打包软件打包或归档后，轻易的通过了基于流的防病毒引擎检测。

图8 阻止FTP传输EICAR文件在使用常打包和归档程序对文件打包后，文件没有被检测到，轻易的通过了基于流的网络防病毒产品，并可在客户端下载和执行。

图9 FTP传输RAR格式的EICAR文件使用常用的RAR格式，EICAR文件未被检测到，成功的发送到客户端。

在下一个测试中，使用BZ2格式打包文件。

BZ2是在Internet上传输文件的另一种常用打包格式。

图10 FTP传输BZ2格式的EICAR文件使用常用的BZ2格式，EICAR文件未被检测到，成功的发送到客户端。

5.专利技术的硬件加速只有通过数据包的关联与重组，一些最复杂的混合型威胁才能被发现。

为了补偿先进检测技术带来的性能延迟，Fortinet使用FortiASIC芯片来为特征扫描、加密/解密和SSL等功能提供硬件加速。

Fortinet拥有专利的紧凑模式识别语言（Compact Pattern Recognition Language，简称CPRL）与FortiASIC一起使用，提供比基于PC工控机的安全设备高出数倍的性能。

通过一些很巧妙的设计，FortiASIC 总能帮助用户在威胁到达之前完成更新，而不会停留在过期的阶段。

正如图形加速卡能加速复杂图形的显示一样，FortiASIC和CPRL能对病毒和攻击检测进行特征和模板匹配进行加速。

Fortinet的完全内容检测和重组技术与业界第一个硬件加速检测引擎(FortiASIC和CPRL语言)一起，提供了当今最先进的ASIC加速安全产品⏹多种FortiASIC处理器加速防病毒FortiASIC是构建Fortinet独有硬件平台的基础。

FortiASIC处理器是针对实际应用开发的系列产品，它们或能够达到高速的网络处理性能，或采用了智能的扫描引擎，能够对安全应用、内容层处理进行加速，降低对CPU等系统资源的占用。

FortiASIC技术涵盖与FortiOS这样的经过安全加固的操作系统集成，以达到高速处理和完善的安全体系。

防病毒技术采用了最新的FortiASIC网络处理器(NP)、内容层处理器(CP)和多核处理器(SP)进行加速。

其中内容层处理器(CP)可以对文件级的病毒过滤进行加速，是目前业内文件级病毒网关技术性能最好的产品之一。

FortiASIC-SP可以对病毒的流扫描技术进行加速，以应用到高吞吐、低延时的网络环境中。

⏹先进的启发式和异常检测为了针对未知的威胁和有害流量的检测与防护，Fortinet将多个前沿的检测技术组合在一起，提供了启发式扫描和异常检测。

启发式扫描技术用来增强防病毒、反垃圾邮件和其它相关的扫描活动。

当异常检测被IDS和IPS检测引擎使用时，通过高级技术和基于特征的技术相结合，对于使用IP碎片和协议受控方法攻击的检测能力就大大增强了。

先进的防病毒扫描技术：●文件分析●蠕虫检测●文件类型分析●流扫描●启发式检查Fortinet的防病毒扫描引擎结合了多种技术来检测已知的和尚未开发出特征码的新病毒。

检测未知病毒是通过复杂的启发式扫描技术来进行的，这些技术需要用到文件头和实际的包内容来完成。