北信源杀毒软件V2.0-技术白皮书

1、北信源杀毒软件北信源杀毒软件 v2.0v2.0技术白皮书技术白皮书北京北信源软件股份有限公司北京北信源软件股份有限公司二一三年二一三年目录目录目录. 2图目录 . 3一、 引言. 4二、 背景. 5三、 产品总体设计 . 5四、 产品详细设计 . 64.1.网络构架. 64.2.统一配置管理. 74.3.病毒查杀功能. 84.4.实时监控功能. 94.5. u 盘防护功能. 94.6.主动防御体系结构. 104.7.隔离恢复功能. 12五、 产品安全体系结构 . 145.1.系统自身安全设计. 14六、 产品价值. 146.1 雪狼引擎 . 146.2 百度私有云查杀引擎. 156.3 极光引

2、擎 v2.0 . 156.4 智能修复引擎 . 15七、 系统所需软、硬件配置要求 . 15图目录图目录图 1 北信源杀毒软件 v2.0 系统架构图. 5图 2 北信源杀毒软件 v2.0 功能结构图. 6图 3 主动防御体系结构设计 .错误！未定义书签。错误！未定义书签。图 4 系统逻辑图. 7图 5 北信源杀毒软件 v2.0 产品配置下发界面 . 8图 6 u 盘防护. 10图 7 急速弹出 . 10图 8 自动防御体系结构 .11图 9 异常文件恢复区. 13图 10 主防文件恢复区 . 13一、引言一、引言近期，微软公司宣布将于 2014 年 4 月 8 日起停止对 windows xp

3、系统（以下简称 xp）的支持。其官方资料表明，由于xp 系统采用的体系架构和安全技术已不足以面对日益增长的安全威胁，一旦停止支持和更新， 将难以对零日漏洞和 apt 攻击等网络威胁进行有效防护，安全风险骤增。基于安全考虑，微软建议 xp 用户尽快向 win7/8 系统迁移。据不完全统计，目前我国个人电脑市场上 xp 用户数高达 1.5 亿。在关键信息基础设施和重要信息系统中， xp 占桌面操作系统的比例约为 70%，有的行业甚至高达 90%以上。xp 作为桌面操作系统，是用户进入信息系统的入口，其安全性直接关系信息系统安全。由于业务应用服务稳定性、整体实施复杂性、新系统采购周期等关键问题，党政

4、机关和企事业单位的信息系统由 xp 系统向win7/8 系统迁移难以在短时间内完成，保守估计这一过程将持续1-5 年。 在此期间， 我国关键信息基础设施和重要信息系统将面临巨大的安全风险。同时，由于一些系统涉及到我国的国计民生领域，这种风险将透过信息化渠道，大面积地扩散到社会相关行业与领域，极有可能演变为大范围的网络与信息安全事件，其后果决不亚于当年的千年虫事件。针对该现状，北信源公司基于多年的安全行业经验和技术积累，本着维护国家网络与信息安全的使命意识和责任意识，及时提出了“北信源杀毒软件 v2.0”安全防护解决方案，并面向社会推出了免费系列产品。该解决方案及产品提供系统和数据级的安全防护能

5、力，不仅有效填补了微软停止技术支持给 xp 用户带来的安全空白，还能支持微软后续产品，持续为广大windows 用户的网络与信息安全保驾护航。二、背景二、背景“北信源杀毒软件 v2.0” 是北信源与百度合作研发的全新杀毒软件。 集合了北信源公司近 20 年的千万级计算机终端安全管理经验，和百度强大的私有云端计算、海量数据学习能力与专业反病毒引擎能力， 一改杀毒软件卡机臃肿的形象，竭力为用户提供前所未有的产品体验。北信源杀毒软件v2.0的主动防御功能可以对试图攻击您个人电脑的恶意行为进行主动识别，并告知您可能存在的风险，降低个人电脑遭到破坏的可能性。实时监控功能可以实时监测您电脑运行过程中的所有

6、进程，将危险扼杀于萌芽状态。自主查杀功能为您提供了闪电查杀（快速查杀） 、全盘查杀、自定义查杀三种选择，您可以根据您的需要进行选择，对您的个人电脑进行扫描检测。北信源杀毒软件 v2.0 具有 4 大杀毒引擎、pb 级的病毒样本，已经具备清理感染型病毒、木马、蠕虫、后门程序等威胁系统安全的病毒或程序的能力,并且中控中心可以对病毒样本、病毒库版本、软件版本等进行管理， 确保数据实时更新。 更有审计和威胁趋势统计， 极大的方便了用户的统计工作。使用户无论在个人体验或是企业管理都能感受到北信源杀毒软件v2.0 带来的安全、简捷、放心。三、产品总体设计三、产品总体设计北信源杀毒软件 v2.0 产品系统架

7、构北信源杀毒软件 v2.0 的系统架构如图 1 所示：图 1 北信源杀毒软件 v2.0 系统架构图北信源杀毒软件 v2.0 的功能架构图如下图所示。图 2 北信源杀毒软件 v2.0 功能结构图四、产品详细设计四、产品详细设计4.1.4.1.网络构架网络构架对于一般网络 （例如 1 个 c 类地址或若干个 c 类地址的局域网范围） ，可使用一套本系统软件，集中管理所属区域内的所有设备。系统正常运行后，主要通过网页 web 管理平台来对整个计算机设备信息系统进行配置管理，在网络内设置区域管理器、扫描器 ip 地址。对于一般网络(如 1 个 c 类地址或若干个 c 类地址的局域网范围)适用一套本系统

8、，集中管理所属区域内的设备。对于大规模的多个局域网或者跨地域的广域网，提供多区域集中管理模式，即下级管理系统可将本级所有设备信息再传递给上级管理数据库，使得上一级管理人员对整个网络的设备状况能够完全掌握。图 3系统逻辑图4.2.4.2.统一配置管理统一配置管理北信源杀毒软件 v2.0 产品采用统一配置管理中心实现对内部网络终端的统一安全管理。配置管理中心内置终端安全防护需要的所有安全管理参数，提供对计算机终端的安全规则配置、安全功能配置开启/关闭、安全配置执行范围设定等一系列安全措施的管理。4.3.4.3.病毒查杀功能病毒查杀功能图 4北信源杀毒软件 v2.0 产品配置下发界面通过整合私有云安

9、全技术和基于的智能学习能力所研发出来的反病毒引擎，北信源杀毒软件 v2.0 提供了强大的病毒检出和清除能力。根据不同用户的需要，北信源杀毒软件v2.0 提供了三种常用的病毒查杀模式，在主界面即可直接进行选择：（1 1）闪电查杀闪电查杀 此模式只对电脑中的系统文件夹等敏感区域进行独立扫描。一般病毒入侵系统后均会在此区域进行一些非法的恶意修改，针对性的扫描此区域即可发现并解决大部分病毒问题，同时由于扫描范围较小，扫描速度会较快，通常只需若干分钟。（2 2）全盘查杀全盘查杀 此模式将对电脑的全部磁盘文件系统进行完整扫描。某些病毒入侵系统后不仅仅破坏系统文件，也会在其他部分进行一些恶意破坏行为，选择此

10、模式将对电脑系统中全部文件逐一进行过滤扫描，彻底清除非法侵入并驻留系统的全部病毒文件。（3 3）自定义查杀）自定义查杀 此模式将只对指定的目录进行扫描。可以根据扫描需求任意选择一个或多个区域。4.4.4.4.实时监控功能实时监控功能4.5.4.5. u u 盘防护功能盘防护功能实时监控功能可以实时监测电脑运行过程中的所有进程。北信源杀毒软件 v2.0 软件会对设备进行实时监测， 出现病毒威胁时，会根据设置，自动删除病毒文件，或者锁定病毒文件禁止其运行，等待您的处理。 当选择监控级别为“高”时：北信源杀毒软件 v2.0 将执行最严格的保护，保证安全。 当选择监控级别为“中”时：北信源杀毒软件 v

11、2.0 将确保系统性能和安全之间达到最佳的平衡。 当选择监控级别为“低”时：北信源杀毒软件 v2.0将对关键位置进行保护，确保最佳的系统性能。 当选择监控级别为“关”时：实时监控功能将关闭。系统向指定客户端（用户组）分发文件或安装软件，分发时可提供软件的运行参数和必要的运行控制。 此功能可减轻网络管理人员的工作负担，（1 1）风险扫描风险扫描 u 盘防护功能对于u 盘中存储的风险文件进行自动扫描，并告知存在的风险，降低电脑遭到破坏的可能性。图 5 u 盘防护（2 2）极速弹出极速弹出 一键“极速弹出”u 盘，保证您 u 盘中的数据不丢失。图 6 急速弹出程录制工具， 可以很方便的对软件和它的安

12、装过程进行录制打包，软件分发至终端后， 系统可在终端对软件安装过程进行回放，方便软件在客户端进行自动安装。 安装后的客户机端软件包括基本部分和用户工具，安装在客户机不同的目录中。4.6.4.6.主动防御体系结构主动防御体系结构主动防御体系结构主要由实时监控系统、 反病毒专家分析判断系统、恶意程序处理系统三大系统组成。图 7 自动防御体系结构通俗地讲，反病毒专家具有分析判断程序是否是木马、 病毒的能力，具有为计算机提供安全保护的能力。 主动防御就是用软件实现了反病毒专家分析判断病毒的过程。主动防御的体系结构就好比具有很强反扒能力的警察， 实时监控系统就是警察的眼睛，负责监控周围的环境和人的一举一

13、动；反病毒专家分析判断系统就好比警察的大脑， 负责将眼睛看到的环境和人的一举一动并结合自己判断盗窃者的经验进行分析判断；恶意程序处理系统就好比警察的手和脚， 根据反病毒专家分析判断系统的通知做出相应的处理动作。实时监控系统：实时监控系统：实时监控系统是主动防御的眼睛， 负责监控电脑中所有运行程序的行为， 并将监控的信息发送给反病毒专家分析判断系统进行分析。实时监控系统由遍布操作系统的众多探针组成， 这些探针通过监控应用编程接口（api） ，记录程序的每个动作，并将程序的每一个动作提交给反病毒专家分析判断系统进行分析判断。通俗地讲，探针就好比监控摄像头， 实时监控系统就好比在家里部署监控摄像头一

14、样。比如：在门口、窗户、存放贵重物品的箱柜等重要位置部署监控摄像头， 这样就可以记录哪些人进出大门、 窗户， 以及打开存放贵重物品的箱柜， 是否取出贵重物品。应用编程接口：简称 api（application programminginterface） ，是用来操作组件、 应用程序或者操作系统的一组函数。我们使用的各种应用软件， 都是通过操作系统的各个应用编4.7.4.7.隔离恢复功能隔离恢复功能程接口来实现相应的功能， 病毒以及木马程序也必须通过操作系统的应用编程接口实现其危害目的。反病毒专家分析判断系统：反病毒专家分析判断系统：反病毒专家分析判断系统是主动防御的大脑， 由程序行为逻辑分析判

15、断模块、恶意程序行为识别规则知识库、 正常程序行为识别规则知识库组成。程序行为逻辑分析判断模块根据实时监控系统提交的运行程序一系列动作通过逻辑关系分析组成有意义的行为。根据程序行为逻辑分析判断模块分析所得到的程序行为， 结合恶意程序行为识别规则知识库和正常程序行为识别规则知识库，反病毒专家系统对程序性质进行自主分析判断。 如果判定程序行为符合木马和病毒的定义，确定该程序是木马、病毒，同时阻断木马、病毒对电脑的侵害，并通知处理系统自动清除病毒。一个动作通常是无法判断程序的性质， 只有将一系列动作通过逻辑关系分析组成有意义的行为，才能判断这个程序的目的。因此，反病毒专家系统不能只根据程序单一动作，

16、 而必须根据程序的一系列动作组成由意义的行为才能对程序是否是病毒做出准确的判断。恶意程序处理系统：恶意程序处理系统：恶意程序处理系统是主动防御的手和脚。恶意程序处理系统接到反病毒专家分析判断系统的通知后，自动完成对木马、病毒的清除工作。（1 1）异常文件恢复区异常文件恢复区 主动查杀、 实时防护、u 盘防护中发现并清除的风险文件，将会被隔离在异常文件恢复区，可以在该恢复区手动恢复您信任的文件以及彻底删除被隔离的文件。图 8 异常文件恢复区（2 2）主防文件恢复区主防文件恢复区 主动防御中拦截以及放行的所有行为都将备份在主防操作恢复区中，您可以手动还原恢复区中所有的被拦截或者被放行的行为。图 9

17、 主防文件恢复区五、产品安全体系结构五、产品安全体系结构5.1.5.1.系统自身安全设计系统自身安全设计1 1通信保护：通信保护：系统的组件间通信时，数据传输是经过加密的，客户端和服务器端相互通信使用双向认证机制。2 2客户端软件强保护机制：客户端软件强保护机制： 系统的客户端系统具有自我防护机制，防止用户随意停止、卸载。3 3服务器安全设计：服务器安全设计：服务器系统具备保护服务器功能。保证管理系统服务器端使用的安全性， 保证其受到恶意修改 ip 地址的方式攻击时仍可正常工作 ,网络中出现恶意修改成与管理服务器相同属性（如相同的 ip 地址、相同的 mac 地址等）的机器时，出现 ip 地址

18、或 mac 地址冲突等现象时，管理服务器将不会被阻断出网（即不会出现地址冲突的现象） ，只有发起恶意攻击的设备才会被自动阻断，不会影响管理服务器的正常管理。4 4三权分立：三权分立：提供系统审计员、系统管理员、系统操作员三权分立的权限管理体系。5 5系统日志：系统日志：系统提供病毒查杀审计、运行审计和操作审计机制，保证系统的稳定运行。六、产品价值六、产品价值6.16.1 雪狼引擎雪狼引擎独创冰山安全防御系统，由全新自主研发雪狼查杀引擎、冰心防护系统，百度强大的 bsb 云安全平台，并集合海量数据学习能力与卡巴斯基反病毒引擎专业能力，为用户提供专业贴心的反病毒服务。6.26.2 百度私有云查杀引擎百度私有云查杀引擎私有云查杀引擎不仅扫描速度比传统杀毒引擎快 10 倍以上，而且不再需要频繁升级木马库。只要用户与服务器通讯，就能实时与私有云安全数据中心无缝对接，利用服务器端的最新木马库对自己电脑进行扫描和查杀，占用系统资源极小， 实现了用户0 负担。6.36.3 极光引擎极光引擎 v2.0v2.0极光引擎具有模糊识别功能，多维模式识别文件，消除传统特征码无法判定文件的安全性造成的