-飞塔防病毒解决方案白皮书.pdf

恶意代码检测 Fortinet 白皮书


恶意代码检测
FortiGate 设备能解决规避方法。由于文件经常被
有意的打包或加密，以逃避基于流的检测方式。
例如，黑客清楚基于流检测的运行原理后，故意的打包恶意软件以逃避基于
流扫描的检测。打包文件是指把文件压缩或归档为某种格式，如 UPX、gzip、ZIP
Fortinet 白皮书
和 RAR。正常使用 Web 应用时，Web 服务器通常会为了更快的在 Internet 上传
输内容对文件压缩。一旦接收到文件，浏览器将会自动解压文件并显示或执行。
因为组成一个文件的所有数据包必须被缓存并重组，而解包文件通常会消耗
很高的性能，大多数基于流的防病毒引擎只能提供有限的数据包重组支持。微软
最近的一份报告指出，超过一半的新发现的恶意软件为了逃避和迷惑的原因，都
被进行了打包。事实上许多基于流的引擎只能支持有限的数据包重组，这意味着
部署基于流的防病毒网关后，超过 50%的最活跃的恶意软件可能未被发现而流入
网络——网关重要的安全缺陷使用户更易被感染，带来了高风险。
图 2 基于流的防病毒网关潜在安全缺陷
3. 文件分析和恶意代码检测
检测恶意软件内容的第一步，也是最重要的步骤，是应用检测规则前要把整
个文件进行重组。一旦 FortiGate 收到数据，将执行解包、解密及文件还原程序，
复原出真实的二进制文件。而基于流的引擎因不能对文件解包、解密并还原为二
进制格式，所以静态签名库只能对文件的内容进行推测。这种方式将提高误判的
可能性，并可能阻塞正常的流量或中断重要应用程序的运行。
Fortinet 白皮书
图 3 FortiGate 透明截取传输中的文件进行检测
因数据在两台主机间传输，当数据传输到请求文件下载的客户端时，
FortiGate 透明的截取文件分片。一旦接收到所有的分片，FortiGate 将重组成完
整的文件进行分析。如果发现文件经过打包，将调用解包程序对文件解压缩，以
得到真实的内容。如果发现文件