技术中心 - 功能性

首页 > 技术中心 > 功能性

Anti-malware 流程

Anchiva上网安全网关部署在网络边界处，对进出网络的流量进行实时在线的检测过滤。首先进出的流量会经过“流量分类引擎”的识别与分类，分类出需要进行Anti-malware检测过滤的HTTP、HTTPS、FTP、SMTP、POP3等5种协议流量，同时流量分类引擎将HTTP、HTTPS流量发送到“Malicious Sites过滤引擎”，将FTP、SMTP、POP3流量发送到“深度内容检测（DCI）与特征匹配引擎”。


“Malicious Sites过滤引擎”对进出的HTTP、HTTPS流量进行第一道的检测过滤，过滤掉含有Malware的Web流量，对没有过滤掉的Web流量会继续发送给“深度内容检测（DCI）与特征匹配引擎”进行第二道的检测过滤。Anchiva的Malicious Sites特征库每天都会更新升级来保证检测的准确性。


“深度内容检测（DCI）与特征匹配引擎”对进出的HTTP、HTTPS、FTP、SMTP、POP3等5种协议流量进行深度的内容检测与Malware特征匹配。首先会识别出需要深度内容过滤的文件类型，比如PE文件、TXT文件、Bin文件等，然后会对相关文件进行每一个字节的逐一扫描与Malware特征匹配，对匹配到的文件会根据设置的策略进行相应的阻止、隔离等处理，对于通过的流量会继续发送到“Heuristic Engine”进行进一步的检测。


“Heuristic Engine”启发式检测引擎将可疑文件通过启发式检测规则根据可疑程度划分风险级别，分为高度可疑文件、中度可疑文件、低度可疑文件，同时根据用户自己设定的控制动作将可疑文件反馈到“Anchiva RapidRX威胁处理中心”进行进一步的监测分析，如果确定是Malware的文件，那么“Anchiva RapidRX威胁处理中心”将通过制作特征的方式通过ASDN升级服务网络分发到部署在客户网络边界处的Anchiva上网安全网关中，为客户提供联网式、整合式的防御服务。


通过以上众多步骤，才完成对一个文件的扫描。Anchiva RapidRX安全实验室在亚太，美国，欧洲分布着威胁采集系统、数据收集网络和行业交换系统，每天都会得到全球最新的Malware样本，并通过“Anchiva RapidRX威胁处理中心”生成Malware特征。“Anchiva RapidRX威胁处理中心”每天处理样本上万条，生成的Malware特征会通过ASDN升级网络分发到部署在客户网络边界处的Anchiva上网安全网关中，以加强对用户网络的实时防护。
Anchiva上网安全网关Anti-malware流程图