金山V8+白皮书
第三章 工作方式
3.1管理控制通信方式
金山V8+终端安全系统的整体控制通信方式是采用以系统中心为消息处
理、转发中心及具体功能节点,终端和服务器端为具体防毒节点的整体反
病毒解决方案。
管理员通过控制台向系统中心发出具体的操作命令,查看和管理下级系统
中心及其下面的终端,系统中心解析具体的命令目的地,按需转发或者处
理。
终端或者服务器端每次启动都会登录到指定的系统中心及定时汇报自己的
状态,并且将发现的病毒信息反馈到系统中心。
3.2边界防护工作方式
金山V8+终端安全系统的客户端会自动捕获通过边界进入到系统中的文
件,并通过云引擎对这些文件进行检测。
对于云引擎能够识别的文件,则按照预设好的处理方法进行处理“抓黑放
白”;对于云引擎不能识别的文件,则按照“分析灰”进行处理,将该文
件上报给动态行为分析系统。
3.3动态行为分析工作方式
对包括PDF、MS word、xls、ppt、rtf、wps等常见格式进行监控,无论是
未知漏洞还是已知漏洞都会使用一段代码,跳转到攻击者精心构造的可执
行代码中;动态行为分析不仅能够监视文档的加载进程,并且能够全面的
监视系统中的所有进程的活动,敏锐的捕获溢出行为,检测出已知和未知
的漏洞利用代码,对于特定漏洞可以给出相关的漏洞编号(例如CVE编号)。
通过精细化的感知能力在虚拟机环境中检测的程序动态行为包括远程程序
连接 、自删除(主体进程镜像被删除)、自复制、自启动、注册表敏感位
置(劫持)、恶意URL访问(恶意的域名,放马地址等)、恶意IP访问、映
像劫持、终止杀软进程、释放驱动、反主动防御。分析的结果可以判断一
个文件程序是否是恶意的,并对该文件程序相关联的网址包括、来源和试
图连接的一些恶意网址反馈给管理员。
强大的自我学习能力依据企业网络以往的检测分析历史记录,结合历史统
计的威胁类别、威胁来源、威胁操作行为等能够在不更新特征库的情况下