只有通过重组,一些最复杂的混合型威胁才能被发现。为了补偿先进检测技术带来的性能延迟,天清汉马使用ASIC 芯片来为特征扫描、加密/解密和SSL 等功能提供硬件加速。天清汉马拥有专利的紧凑模式识别语言(Compact Pattern Recognition Language,简称CPRL)与ASIC 一起使用,提供比基于PC 工控机的安全设备高4-6 倍的性能。通过一些很巧妙的设计, ASIC 总能帮助用户在威胁到达之前完成更新,而不会停留在过期的阶段。正如图形加速卡能加速复杂图形的显示一样, ASIC 和CPRL能对病毒和攻击检测进行特征和模板匹配进行加速。
下图说明了天清汉马的完全内容检测和重组技术的原理。
天清汉马的完全内容检测和重组技术与业界第一个硬件加速检测引擎(ASIC 和CPRL )一起,提供了当今最先进的ASIC 加速安全产品。
动态威胁防御系统
天清汉马的动态威胁防御系统(DTPS)是由启明星辰独创的针对已知和未知威胁提升检测能力的技术。动态威胁防御系统从天清汉马的防病毒、IDS、IPS 和防火墙模块中进行攻击信息的关联。与许多其它安全公司将不同厂商的防病毒、IDS、IPS 和防火墙技术组合在一起不同,天清汉马能将各种安全模块无缝集成在一起,从而形成动态威胁防御系统。
天清汉马的DTPS 技术使每一个安全功能之间可以互相通信,并关联“威胁索引”信息,以识别可疑的恶意流量,这些流量可能还未被提取攻击特征。通过跟踪每一安全组件的检测活动,DTPS 还能降低误报率,以提高整个系统的检测精确度。
为了使性能达到最佳,所有会话流量首先被每一个安全和检测引擎使用已知特征进行分析。特征模式结合天清汉马ASIC硬件加速的CPRL是识别已知攻击最快的方法。如果发现了特征的匹配,DTPS 按照在行为策略中定义的规则来处理有害流量——丢弃、重置客户端、重置服务器、中止会话等。通过提供实时更新,可以保持天清汉马的病毒特征、IDS/IPS 特征以及安全引擎为最新版本。这就保证了基于最新特征的威胁会被识别出来,并被快速阻挡。
如果不能找到特征的匹配,系统就会启动启发式扫描和异常检测引擎,会话流量会得到进一步的仔细检查,以发现异常。通过使用最新的启发式扫描技术、异常检测技术和动态威胁防御系统,天清汉马安全设备大大提高了对已知和未知威胁的防御能力。而由多个不同厂商的安全部件(防病毒、IDS、IPS、防火墙)组合起来的安全方案缺乏协调检测工作的能力,当与天清汉马的DTPS 技术相比较时便体现出它们的弱点。 先进的启发式和异常检测
为了针对未知的威胁和有害流量的检测与防护,天清汉马将多个前沿的检测技术组合在一起,提供了启发式扫描和异常检测。启发式扫描技术用来增强防病毒、反垃圾邮件和其它相关的扫描活动。当异常检测被IDS 和IPS 检测引擎使用时,通过高级技术和基于特征的技术相结合,对于使用IP 碎片和协议受控方法攻击的检测能力就大大增强了。
启发式扫描防病毒
天清汉马先进的防病毒扫描技术包括: ? 文件分析 ? 蠕虫检测 ? 文件类型分析 ? 特征检查 ? 启发式检查
天清汉马的防病毒扫描引擎结合了多种技术来检测已知的和尚未开发出特征码的新病毒。检测未知病毒是通过复杂的启发式扫描技术来进行的,这些技术需要用到文件头和实际的包内容来完成。
图8:天清汉马先进的防病毒扫描技术
天清汉马的文件分析模块用于识别与HTTP、FTP、POP3、SMTP、IMAP数据流有关的文件类型。根据所识别的文件类型,防病毒引擎会调用专门为这种文件类型开发的扫描技术,如icrosoft Office 文件、宏文件、可执行文件和压缩文件等。
蠕虫检查模块对文件流进行多项检查。静态蠕虫检测是针对文件类型和文件特征(如大小、CRC 校验值等)进行的,通过特征匹配技术快速识别已知的蠕虫。如果找到匹配,会话就会被阻断,并发出一个通知。
文件类型分析模块对已知的文件类型进行专门的扫描。例如,压缩文件被解压和检查;Microsoft Word 文档会通过MS Word 检测引擎;可执行文件会通过二进制检查引擎。每个文件类型检测引擎会使用专门的规则和策略来检测与文件类型相关的已知威胁。
特征检查模块用于扫描已知的威胁。这一模块利用天清汉马的紧凑模式识别语言(CPRL)和FortiASIC 芯片,以硬件加速的优势,用上万个已知的特征,以不可思议的快速扫描文件流中的已知威胁。对于那些很难检测出来的病毒变