互联网出口检查系统.doc

.1互联网出口检查概述 1.1背景 Internet互联网被称为“信息高速公路”，是一个对外宣传、获取外部信息和对外交流的重要途径。特别是近几年随着信息化建设的成熟，政府、企业都相继推出了网上业务系统，互联网已成为重要的业务处理渠道。 互联网应用已经渗透到社会生活的每一个角落，成为人们学习、工作、生活不可或缺的工具，和政府、企业运营的基础平台。互联网为社会带来了巨大变革，但也产生了副作用。局域网内的成员能够在工作时间使用 IM 聊天、网上购物、在线欣赏音乐和电影，通过 BT 等 P2P 工具下载互联网资源、收发个人邮件等，除了员工或成员无心工作带来的直接损失，这些不良的上网行为还严重挤占了网络带宽，使得有限的带宽资源被滥用，业务无法得到高效运行。同时还让单位或企业面临泄密风险。 针对用户互联网访问行为的管控，美国于 2002 年颁布实施萨班斯-奥克斯利法案对内控和行为日志记录率先提出了要求；而中国于 2006 年 3 月 1 日实施互联网安全保护技术措施规定-简称公安部 82 号令，也对互联网访问行为及访问日志等提出了具体而严格的要求，例如82号令规定网络服务提供者或使用者保留登录和退出时间、账号、互联网地址或域名等上网行为信息。 网络出口工作在网络的边缘，是内部网络与Internet之间的桥梁。作为桥梁，出口的重要性是不言而喻的。出口如果断了，内部网络将成为信息孤岛；出口如果慢了，将造成用户体验下降，甚至影响整个办公业务。 1.2安全风险 网络出口的安全风险基本上可以分为三大类。 第一类是攻击类安全。 Internet网络中的恶意入侵者可能因为政治、商业目的或随机目的对企业网络发起恶意扫描和渗透式入侵，通过渗透或绕过防火墙，进入企业网络，获取、篡改甚至破坏敏感的数据，乃至破坏企业的正常业务和生产运行。Internet网络上大量肆虐的网络蠕虫病毒具备渗透防火墙的传播能力，他们可以穿透防火墙进入企业网络;一旦遭受了病毒和蠕虫的侵袭，不仅会造成网络和系统处理性能的下降，同时也会对核心敏感数据造成严重的威胁，甚至造成网络拥塞，导致业务和生产的中断。 10年前出现DDoS攻击是一种简单的、效果显著的攻击。由于近些年僵尸网络的发展，DDoS攻击重新成为恶意入侵者的新宠，直接威胁单位和企业网络的可用性。一些新的病毒以IM、P2P软件为传播通道，对企业网络的安全带来严重威胁。防范网页被篡改、防范网站被挂马等都是必要的网络安全措施。 第二类是日志审计安全。 重大政治事件、安全事件频发的大背景下，全国都在开展安全大检查，公安部82号令所要求的日志如何满足？如何避免公安网监日志检查带来的麻烦？ 企业和单位网络中，由于安全技能和安全意识存在差异，员工可能通过访问挂马网站、下载包含病毒的恶意程序，从而无意识的通过互联网络将Internet上 危险的、恶意的木马程序和恶意代码下载到内部网络执行，甚至将Internet上的蠕虫、网络病毒传播进入内部网络，这将对企业网络的安全带来严重威胁。员工因为各种IM即时通讯软件、网络在线游戏、P2P下载软件、在线视频、浏览工作无关网站导致企业网络资源滥用、网络性能下降，严重影响正常工作，形成新的威胁。随着我国互联网相关法规以及版权保护的重视，企业员工非法下载盗版影视、图书等资料，或外发反动言论等行为，将给企业带来合规性问题，使企业陷入法律纠纷。 完整的审计不仅是应对安全检查的必要内容，同时能够极大的降低由员工违规行为带来的安全风险，避免以上问题的发生。 第三类是实名制安全。不光接入网络要认证，访问Internet也要做准出认证，可以简单理解为网关认证。并在准出认证基础上，针对不同用户身份进行相应策略部署。 1.3目标 针对以上问题，WINFUN万方盈科技有限公司推出新一代WINFUN互联网出口检查系统，该系统可以进行网络数据包检查，识别应用层信息，并根据应用的特征码等信息来判断应用类别，同时也可以依照经验数据，采用数理统计方法分析数据流并以此来判断那些难以识别的网络应用。这些特性和技术使得IT管理人员可以很容易地控制如即时通信信息传输、P2P多线程下载、Skype语音通信等网络的应用。只需通过Web页面的简单设置，即可完成对这些网络应用的管理，并可根据实际需要来设置对这些网络应用的审计或记录，以避免因不当网络应用所引起的法律风险。结合我国网络特点及用户需求，WINFUN互联网出口检查系统明确了以下三个目标： 防御来自外部的威胁，阻止蠕虫、网络病毒、间谍软件和黑客攻击对内部网络造成的安全损失，提高内部网络的整体抗攻击能力; 防御来自内部的威胁，阻止蠕虫、网络病毒爆发对内部网络的破坏，保障内部网络的正常运行，同时有效防范企业机密信息外泄等安全事故的发生; 有效控制网络资源滥用，阻止员工因为各种IM即时通讯软件、P2P下载、网络在线游戏、在线视频而影响正常工作，通过净化流量，为网络加速。 2WINFUN互联网出口检查方案 2.1系统简介 WINFUN互联网出口检查系统是一套构建于高性能硬件平台之上的互联网出口检查解决方案。该系统可通过旁路侦听的方式对内部网络连接到互联网（Internet）的数据流进行采集、分析和识别，实时监视用户使用互联网的状态，记录各种上网行为，发现互联网滥用情形，过滤不良信息，并对用户上网过程中发送和接收的相关内容进行控制、存储、查询和分析。 WINFUN互联网出口检查系统能够检测和阻止QQ、MSN等即时通讯软件，电驴、BT等P2P下载工具，以及在线游戏、视频等各种无关的网络应用，净化流量，为网络加速。WINFUN互联网出口检查系统能够为用户提供完整的网络审计信息，全面防止内部泄密；并能阻止外部病毒及攻击行为，防止arp攻击及dos攻击造成的网络瘫痪，提升网络整体抗攻击能力。 2.2网络部署 WINFUN互联网出口检查系统有三种工作模式，分别是内置防火墙模式、网桥模式、旁路侦听模式三种模式,保证了该系统可以应用于不同网络的网络监控，可以基于MAC地址跨网段、跨VLAN、跨平台、跨路由、跨交换机对互联网信息进行全面控制管理，彻底解决了同类软件不能对ICMP协议和UDP协议进行监控的难题。 其按旁路模式部署的网络拓扑图如下：2.3体系架构 WINFUN互联网出口检查系统，B/S架构，通过WEB控制台实现配置管理、系统管理以及日志管理。WINFUN互联网出口检查系统采用模块化设计，其体系架构如图所示，包含WEB控制台、安全中心及网络探测器三个部分，WEB控制台用于实现便捷的可视化管理，网络探测器负责网络数据包检测、报文捕获等，并将捕获的信息数据及时传送至安全中心，安全中心对信息数据进行审计，并下发策略，对捕获的信息作出相应的反馈，从而实现配置管理、系统监控、日志审计等重要功能。数据采用SSL加密方式传输，不会造成二次泄密，保证了系统及信息的安全。 WINFUN互联网出口检查系统内置防火墙模式、网桥模式、旁路侦听模式三种工作模式,保证了产品可以适合任何网络结构进行网络监控，还可以基于MAC地址跨网段、跨VLAN、跨平台、跨路由、跨交换机对互联网信息进行全面控制管理，彻底解决了同类软件不能对ICMP协议和UDP协议进行监控的难题。 2.4上网行为检测与审计 WINFUN互联网出口检查系统能够对各种应用层协议进行解析，对用户使用互联网过程中的各种网络服务和应用进行分析，实现用户上网的行为审计和用户访问的内容审计，能够对用户上网行为进行控制，根据不同的策略封堵各种网络应用，还能够针对用户的上网行为进行实时监控和流量分析。 审计详细的用户上网信息，审计内容包括机器名、源IP、目的IP、源端口、目标端口、源MAC地址、用户名（域认证或者系统本地认证）、时间或时间段、网络行为的协议类别、网络行为的审计状态及其他网络行为关键信息。 WINFUN互联网出口检查系统能够检测虚拟账户、网站、论坛、博客、邮箱等登陆情况，并对外发及下载信息进行审计。提供网络行为数据报表和图表。在对数据统计时，本系统可从多方面进行了统计，给网络管理者提供方便的网络管理平台，帮助用户在网络管理、预防信息泄密、了解员工需求、规范员工行为等方面取得更高成效。从其支持的协议上看，WINFUN互联网出口检查系统审计的内容包括HTTP、FTP、TELNET、邮件、网络聊天、网络游戏、音视频、文件传输、P2P、股市软件等，具体如下： 1） HTTP:支持web、post的审计，支持自定义关键字，能够根据关键字搜索和审计特定内容及对特定内容的访问。 2） FTP: 审计FTP协议的登录、注销和一般操作等行为，及FTP操作的文件、目录以及文件名称等。 3） TELNET:支持远程TELNET操作审计与回放，审计TELNET用户、TELNET客户端IP地址、命令执行时间段、TELNET命令等。 4） P2P: 基于P2P 行为特征的智能识别技术，能够审计所有P2P的行为记录，可分类审计如BT、电驴、PPLIVE、PPSTREAM等主流P2P应用软件。 5） 邮件：支持基于SMTP、POP3、IMAP4等主流电子邮件协议的审计。 6） 网络聊天：能够审计即时通讯工具及网络聊天室，如QQ、MSN、ICQ、YAHOO MESSENGER、淘宝旺旺、UC、QQ聊天室私聊、WEBMSN、163聊天室、263聊天室等。可审计聊天内容，可根据自定义关键字实现内容过滤。 7） 网络游戏：支持识别主流网络游戏协议，支持联众、浩方、QQ游戏、大话西游、CS游戏等游戏平台、网络游戏和网页游戏的审计。 8） 音视频：支持网络音频和视频的检测及审计。 9） 股票应用：支持主流股票交易和查询平台的检测和审计，如大智慧系列（国泰君安大智慧、江南证券大智慧）、联合证券、银河证券（同花顺2006，双子星）、分析家、钱龙炒股软件、大参考等。 2.5审计控制策略 系统采用任务模式下发审计策略，通过添加、删除、修改审计控制策略，向全部计算机或计算机工作组或单个计算机实施审计策略。 WINFUN互联网出口检查系统制定了极细致的审计控制策略。主要包括时间段控制策略、IP控制策略、端口控制策略、网页浏览过滤策略、邮件控制策略、网络聊天控制策略、文件传输控制策略、远程登录控制、BT下载控制以及报警设置等。针对不同对象，可分别制定不同策略，使网络使用具备极大的易用性。2.6内容分析引擎 WINFUN互联网出口检查系统采用WINFUN独特的内容分析引擎和高效的索引算法。WINFUN互联网出口检查系统能够对各类协议的具体内容进行实时分析处理，能对论坛发言、网络信息发布，以及QQ、MSN、YAHOO等即时通讯软件的聊天内容进行实时过滤和监控，并依据策略报警或阻挡。 WINFUN内容分析引擎的特点是处理速度非常快，相比同类产品有极大地提高，因此能够实时监控，实时防范。传统的互联网出口检查系统只能对数据进行审计，在事后追查敏感信息或涉密信息的泄露，WINFUN互联网出口检查系统通过快速的内容分析，实现了事前预防，即在分析出敏感信息或涉密信息时就能够对目标计算机下发防御策略，避免了信息在互联网上的扩散。 高速及高效凸显出WINFUN互联网出口检查系统极高的应用价值和竞争力，WINFUN互联网出口检查系统能够适应日益巨增的大流量或规模庞大的用户环境。 2.7内容过滤 凭借出色的内容分析引擎，WINFUN互联网出口检查系统实现了网页、邮件、即时通讯和其他网络信息内容的过滤。通过设定关键字，可过滤含有不良信息的网页、邮件等，还可以借助设定特定敏感信息关键字，阻止敏感信息、秘密信息的传播和传递。 2.8网络行为智能识别 传统互联网出口检查产品单纯的依赖URL地址库、网络应用程序库来对网络行为进行判断，面对当今日新月异的网络，每天都产生新的成千上万的网络应用，如果单纯依赖URL地址库和行为特征库，显然无法适应网络的千变万化。 WINFUN互联网出口检查系统能够根据行为特征、数据流特征、关联特征等，融合了逻辑学和统计学技术，能够对网络行为进行准确判断，使系统能够适应爆发式增长的新型网络应用，从而降低对传统URL地址库及行为特征库的依赖，实现了网络行为的智能化识别。智能化网络行为识别技术，结合WINFUN互联网出口检查系统提供的庞大的近千种网络应用特征，使该系统能对网络应用进行快速准确的判断。 对网络应用的误判，可能会对正常的网络使用造成不良影响甚至严重后果，WINFUN互联网出口检查系统的双重识别技术能降低这种风险，为用户带来良好的使用体验。WINFUN互联网出口检查系统不会造成网络延时，从而保障了网络的通畅运行。 2.9 网络应用过滤 WINFUN互联网出口检查系统根据应用协议类型判断应用类型，可以屏蔽各种通工具等程序，如BT、emule、QQ、MSN等。它能根据检测数据包的特征，按组禁止用户使用P2P工具。可以完全封死BT下载和emule，对用户正常下载有没有任何影响。 通过配置上网内容过滤服务器和上网过滤黑白名单表，该系统可以实时进行网页内容扫描并通过自定义策略屏蔽页面，还可屏蔽网页中的各种弹出窗口及广告窗口，禁止用户通过http下载指定的文件。 WINFUN互联网出口检查系统可以实时控制和限制游戏和流媒体程序，帮助用户减少带宽占用，并解决工作时间因游戏、电影等网络娱乐而导致的“工作效率低下”问题。 网络应用过滤的目的是为了保障关键核心业务的正常运转，越来越多的业务已经离不开网络的支持，视频会议、网上定单、在线交流、网上交易系统等等，无一不需网络高效、稳定运行做保障。而上述行为不仅严重挤占了关键业务正常运转的带宽，还为带来巨大的网络安全隐患，网络应用过滤能够解决这些问题，让网络管理者“高枕无忧”。 2.10客户端 WINFUN互联网出口检查系统的客户端登录控制包括web,pppoe,客户端程序,域用户等方式,系统支持自动mac绑定、自动用户识别、默认用户等,可以避免用户繁琐的输入用户密码以管理几乎所有的终端在线状态，使安全策略更有效地同整体安全防御体系结为一体。 2.11数据防泄密 据IDC调查报告显示，全球有近80%的企业存在着信息安全与风险问题。在报告所调查的公司中，进行网络常规安全检查的公司不到一半。报告显示：信息安全问题大都来自于企业内部，大多数信息泄密源于信息安全管理不善。在很多企事业单位的网络中，业务系统的WINFUN 操作没有明确授权人员，这导致非授权人员访问并修改内网服务器的重要数据；很多员工信息安全意识薄弱，将内网数据在公网上传播，导致严重后果。 WINFUN互联网出口检查系统通过高效的内容过滤和上网行为审计，有效遏制了内部数据泄密，保证了信息发布和传播的安全。 2.12安全防护 WINFUN互联网出口检查系统采用了网络威胁识别和防御技术。能够识别和阻止如DOS攻击、ARP攻击等多种网络威胁，进而保障网络的可靠性和稳定性。 该系统对网络流量进行实时监控，支持对每台电脑的带宽分配进行准确控制，或者根据当前的带宽使用情况自动设置流量，还能够在应用程序的层面进行智能管理。系统能够识别并拦截网络异常流量，从而防范网络所受的攻击，同时也避免数据泄露和扩散可能造成的不良影响。 2.13三种工作模式 内置防火墙模式、网桥模式、旁路侦听模式三种工作模式,保证了产品可以在任何网络结构下进行网络监控，还可以基于MAC地址跨网段、跨VLAN、跨平台、跨路由、跨交换机对互联网信息进行全面控制管理，彻底解决了不能对ICMP协议和UDP协议进行监控的难题。 2.14典型应用 某单位管辖着21个分局及2个事业单位,这些分支机构均通过信息化建设，实现了网络办公。随着政务网的建设以及信息化程度的不断提高，越来越多的业务依赖于网络完成。网络带来了工作方式的革新，极大的提高了办公效率，提升了该单位的服务品质。 然而员工利用网络在工作时间处理个人事务、从事与本职工作无关的事情：上网浏览娱乐和体育新闻、下载MP3和电影、上网炒股等，这些网上旷工现象对工作效率产生了负面影响；喜欢在网上冲浪、但缺乏安全意识的员工在不经意间访问了黑客网站，把间谍软件、木马、蠕虫等恶意程序带入网络，可能给单位网络带来安全隐患；还有的员工喜欢在论坛上发表言论，这就也有可能给公司带来法律风险；同时MSN、QQ等即时通讯手段的大量应用，还可能把企业的商业机密通过互联网传送出去，给企业造成潜在的经济损失。 解决方案： 将WINFUN互联网出口检查系统通过旁路部署在互联网出口处，不需要更改现有的网络架构。同时，该系统只对封包采取监控和检测，而不会影响原有的网络性能，对网络流量不会产生影响。此外，还能有效地防范间谍软件、恶意代码以及网络诈骗等恶意攻击。 WINFUN互联网出口检查系统通过在网关的层次、网络的层次和桌面的层次，分别规范员工访问网页，使用网络和应用程序，从而避免业务遭受非法安全威胁的攻击。与此同时，通过策略的设定避免员工访问不良内容，也避免了法律纠纷。 另外，该系统可以监测和管理网络协议，允许高优先级的协议通过，低优先级的协议被阻挡，从而减轻带宽压力，让关键业务得到充足的带宽。通过互联网使用策略的设定确保员工不会浪费时间和资源在与工作无关的事情上。可以说，WINFUN互联网出口检查系统能够帮助规范员工的上网行为，保护单位政务网络的通顺运行和安全运行。 方案特点： WINFUN互联网出口检查系统作为Web安全和过滤组件，不仅能够轻松实现上网行为的管理，使网络符合相关的保密要求，而且还可以有效防范间谍软件、广告软件以及假冒和域名欺诈攻击，使恶意攻击无法到达主机服务器，确保了网络的安全和稳定。 员工无论是在办公室还是在出差途中，都能安全有效地进行内、外交流，合理利用互联网，有效访问单位内部资源，同时避开了含有恶意代码的站点，从而远离互联网上的不安全因素。 3互联网出口检查的技术实现 3.1 P2DR设计模型与思路 P2DR 模 型 称 为 动 态 安 全 检 测 策 略 模 型， 即Policy，Protection， Detection，Response。也就是策略，防护，检测和响应 。采用此模型，是在规定的安全策略的控制下， 在综合运用防护工具如地址过滤、内容过滤等同时，利用检测工具如协议检测、端口检测、内容分析等来了解信息内容和评估信息流的安全状态，通过适当的响应， 将防护网段上的信息流调整到最安全的状态。 按照 P2DR 模型，互联网出口检查主要由4个部分构成，即信息收集、信息分析、存储处理和控制处理。信息收集实时地收集流出的信息流，信息分析对采集到的信息进行协议分析， 状态检查及内容分析，并将结果送给存储模块进一步审计和处理。 互联网出口检查在出入口网段上进行，将网络线路上的信息流复制下来，进行处理，因而不会影响网络线路上的正常信息流传输。 3.2 网络监听原理 以太网协议的工作方式是将要发送的数据包发往连接在一起的所有主机。在包头中包括有应该接收数据包的主机的正确地址，因为只有与数据包中目标地址一致的那台主机才能接收到信息包，但是当主机工作在监听模式下的话不管数据包中的目标物理地址是什么，主机都将可以接收到。许多局域网内有十几台甚至上百台主机是通过一个电缆、一个集线器连接在一起的，在协议的高层或者用户来看，当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机，或者当网络中的一台主机同外界的主机通信时，源主机将写有目的的主机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP层交给网络接口，也就是数据链路层。网络接口不会识别IP地址的，在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太祯的祯头的信息。在祯头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址，这是一个48位的地址，与IP地址相对应。作为网关的主机，由于它连接了多个网络，它也就同时具备有多个IP地址，在每个网络中它都有一个。而发向网络外的祯中继携带的就是网关的物理地址。 以太网中填写了物理地址的祯从网络接口中，也就是从网卡中发送出去传送到物理的线路上。如果局域网是由一条粗网或细网连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。当数字信号到达一台主机的网络接口时，正常状态下网络接口对读入数据祯进行检查，如果数据祯中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据祯交给IP层软件。对于每个到达网络接口的数据祯都要进行这个过程的。但是当主机工作在监听模式下的话，所有的数据祯都将被交给上层协议软件处理。 当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候，那么要是有一台主机处于监听模式，它还将可以接收到发向与自己不在同一个子网(使用了不同的掩码、IP地址和网关)的主机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。 3.3数据捕获与SNIFFER嗅探器 互联网出口检查的基础是数据捕获，这次数据获取方式被称为网络嗅探，网络嗅探是网络监控的实现基础。 以太网中的所有数据传输都是以广播方式进行的，即在同一个网段上的所有网络接口都可访问在物流媒体上传输的所有数据，而每个网络接口都有唯一的硬件地址(地址)，在硬件地址和IP地址间使用地址解析协议和反向地址解析协议进行相互转换。通常一个网络接口只响应这两种数据帧。 嗅探器作为一种网络通讯程序，是通过对网卡的编程来实现网络通讯的，对网卡的编程是使用通常的套接字（socket）方式来进行。但是，通常的套接字程序只能响应与自己硬件WINFUN 地址相匹配的或是以广播形式发出的数据帧，对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数据帧，网络接口在验证投递地址并非自身地址之后将不引起响应，也就是说应用程序无法收取到达的数据包。而网络嗅探器的目的恰恰在于从网卡接收所有经过它的数据包，这些数据包即可以是发给它的也可以是发往别处的。显然，要达到此目的就不能再让网卡按通常的正常模式工作，而必须将其设置为混杂模式。 这种对网卡混杂模式的设置是通过原始套接字（raw socket）来实现的，原始套接字能够帮组捕获数据包，打不此时捕获到的数据包并不仅仅是单纯的数据信息，而是包含有 IP头、 TCP头等信息头的最原始的数据信息，这些信息保留了它在网络传输时的原貌。通过对这些在低层传输的原始信息的分析可以得到有关网络的信息，包括上网行为和网络传输内容。由于这些数据经过了网络层和传输层的打包，因此还需要根据其附加的帧头对数据包进行分析。 3.4内容识别与分析 在采集到信息之后，对其进行信息分析。一般首先进行预处理，如包头部检查、协议分 析、端口分析、数据包重组与还原等，然后才是信息处理。一般进行的步骤为： ( 1) 有效负载归一化，去掉各种空白字符 ; ( 2) 关键字匹配 ; ( 3) 自然语言理 解 ,如词法分析 ,句法分析 ,上下文理解等 ; ( 4) 全信息分析、即语义分析、语用分析、全信息分析。通过上述手段，可以比较准确完整地获取并传输网络数据。 字符串匹配是计算机科学中最古老、研究最广泛的问题之一。计算机串匹配算法发展了几十年，然而非常实用的算法是近年才出现。很长时间以来，串匹配问题的研究存在理论研究和实际应用的脱节，将理论研究和实际应用结合的算法(如BNDM算法)近年才出现并得到广泛应用。在字符串匹配研究领域中，算法的思想越简单，实际应用的效果越好。 传统的串匹配算法可以概括为前缀搜索、后缀搜索、子串搜索。代表算法有KMP，Shift-And，Shift-Or，BM，Horspool，BNDM，BOM等。所用到的技术包括滑动窗口、位并行、自动机、后缀树等。 采用串匹配算法的内容安全分析的方法,对网络通信、网页、邮件等应用层信息进行分析，从而防御网络病毒,保证网络内容安全。其中，网络内容安全分析包括内容过滤和病毒检测，实现对网络上传输的内容进行安全监控。通过对网络病毒传播途径和特点进行分析,WINFUN 截获网络传输层的数据包,并将其进行重组与分析,还原成用户可见的应用层信息,以便准确检测病毒,精确匹配过滤违禁内容。对数据包进行重组、还原之后,再采用高效的内容过滤算法对无效、泄密、反动、黄色等文本内容进行过滤,同时还采用病毒检测引擎对文本内容、附件内容和上下载文件进行扫描,从而清除、隔离病毒或蠕虫。 3.5P2P识别原理 P2P出口检查技术根据P2P出口检查的特征，对P2P出口检查进行封杀或限流控制，分为P2P出口检查识别和P2P出口检查两部分。 大部分P2P出口检查中包含有特定的字符，通过这些字符可以唯一标识某种P2P出口检查。这些字符以特征码的形式保存在特征文件中。当系统加载了特征文件后，P2P出口检查识别特性根据这些字符匹配每一条流，如果该流符合特征则认为是P2P出口检查。 P2P出口检查识别出来之后，通过QoS对它进行出口检查。设备通过将网络报文与P2P出口检查特征码进行比较，可以在复杂的出口检查环境下快速精确地识别P2P出口检查。按安全域或者接口进行P2P出口检查识别，只有使用了P2P出口检查识别功能的安全域或者接口才能对P2P出口检查进行识别，不影响其它未使用此功能的安全域或者接口的业务处理。 P2P的出口检查识别基于特征文件中的特征码。在需要进行P2P出口检查时将特征文件加载到系统中。当P2P出口检查技术支持识别新的P2P出口检查时，只需要将新的特征文件下载到设备中，并通过配置重新加载特征文件就可以支持对新的P2P出口检查的识别和控制。 3.6特征过滤技术 某些客户端软件分布范围非常广，用户量极其庞大，如果该类软件存在缺陷，在某种特殊情况下不间断地向某固定资源发起访问请求，相当于数量庞大的僵尸主机同时向特定资源发起了DDoS攻击，5.19暴风影音断网事件就是该类攻击的典型案例。当时为暴风影音提供域名服务的DNSPod服务器被攻击瘫痪，数以千万计的暴风影音用户就充当了“肉鸡”，向运营商DNS递归服务器发送大量请求，DNS访问出口检查瞬间就超过30G，导致了本次重大WINFUN 互网络安全事件，可见分布广泛的正常客户端因某种突发异常而发起的访问出口检查比常见的僵尸网络发起的攻击出口检查还要大。 特征过滤技术提供基于攻击事件的抓包功能，抓取到的报文发送到管理中心分类管理，并支持基于抓包报文自动提取出口检查特征。为了避免将正常出口检查特征误识别为攻击特征，提取时可指定用于参照的没有攻击时的抓包文件。也就是说系统将静态过滤和抓