隔离设备缓冲区的病毒扫描

隔离设备缓冲区的病毒扫描 隔离设备缓冲区的病毒扫描 服务病毒防范 NefW0rk&CoIllpurerSecurity 隔离设备缓冲区的病毒扫描 同济大学郭川汪海航谭成翔 摘要随着互联网的发展,局域网内的安全性将变得越来越重要,隔离网关设备的研 究也在逐渐兴起该文 简单介绍了隔离设备的大体框架,研究现状和对内外网单元的安全控制.蛮点描述 了安全控制单元中杀毒软件的 泉成和升级,并实现了对缓冲区中数据的病毒扫描 关键词网络隔离缓冲区病毒扫描 国内普遍采用的网络安全机制主要有防火墙,数据加密, 入侵检测和网络漏洞扫描等但是,由于网络攻击方式和黑客 技术的不断提高,使得仅仅运行普通网络安全产品已经无法满 足重要网络和数据的安垒需求.因此,国家保密局1999年发布 的计算机信息系统国际联网保密管理规定中明确规定:涉 及国家秘密的计算机信息系统,不得直接或问接地与国际互联 网或其他公共信息网络相连接.为r执行这一规定,具有高安 全等级需求的用户一般采用建设两个网络的 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 :一个内网, 用于存储,处理,传输涉密信息t一个外网,用于连接 Internet,内网和外网是严格物理隔离的.虽然重要信息一般 都是隔离的.但信息安全是动态的,其策略,管理,手段都在 不停更新,冈此内网也会受到潜在入侵和病毒的困扰.现在一? 般采用手动方式进行安全检测与防护,在效率和安全上部存在 一 定的足.】 本文基1国家2005信息安全专项;"隔离专网之防病毒反 入侵综合管理与更新网父的产品产业化".该隔离产品主要由 ._三个部分组成,内网单元,外网单元和中问的安全检查与控制 单元.安全检查与控制单元,简称控制单元乇要负责将内外网 单元传过来的数槲进行快速地安全摆渡和处理,既要提高效 率,义要兼顾安全,其中安全性是最为重要的.控制单元的 安全控制模块便主要负责检查交换数据的安全性,对缓存中的 数据进行关键字榆索和病毒查杀.控制单元足在Linux环境 下,其中波置两个缓冲区,分别存放由内外网单元传入的经过 协议剥离的纯数据,数据存入缓存后柯专门线程调用安全控制 模块中的杀毒模块对缓存内容进行病毒查杀.这时,如何将现 计瓣jIin安呈 有杀毒软件集成进系统,实现对缓存内容的扫描,并能完成病 毒库升级将变得至关重要.[5-71 本论文主要描述如何将ctamav杀毒软件集成进系统,实现 病毒库升级,并用通过调用其API接口实现对缓冲区的病毒扫 描. 国内外研究现状 目前国内外比较先进的隔离设备都是在1995年由俄罗斯人 RyJones等首先提出了GAP的思想基础上所开发的,以Whale Communications公司f~SpearHead公司为代表的一些美国和以 色列公司,先后提出和开发r各自的物理隔离方案和产品,该 类产品利用专用网络硬件设备,使两个网络在不连通的情况下 仍能实现数据安全传输和资源拭享,并且巳被美国和以色 列等国家的军队,航天,金融等要害部门以及其电子政务网络 巾广泛采用.近期,在国内的物理隔离设备供应商中,已有一 些公推出了类似的隔离交换设备,但总体来说,这些产品存 在功能单一',应用协议支持十分有限等不足.目前主流的产品 大多只有内外网处理单元,而没有中间的安全检查与控制单 元,更没有安全检查模块.只是对数据进行隔离摆渡,不会对 摆渡的数据进行安全检查和病毒扫描.但随着互联网的发展, 对数据安全的要求会越来越高,安全检查与控制单元中的安全 控制功能将会越来越重要.?3l1 由_jLinux环境下的病毒还未盛行,因此运行]:该系统的 杀毒软件还不多,]三要有clamav,F-port,Kaspersky等.目 2006.5f64 前人部分杀毒软件都只支持文件描,不提供直接对缓 冲区中数据进行扣描的接【__=1.很多运行于网关处的杀毒软 件,都只会建立个临时文件夹,将缓存中的数据提取出 来,放入临时文件夹中,再对临时文件夹中的文件进行扫 描.这样虽然会提高查毒成功率,但会大大影响传输效 率,对传输速率和延迟要求1E常高的网络隔离设备柬说, 此 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 会成为传输速率的一个瓶颈.1本文通过调用 clamav杀毒软件的API接口,实现了直接对缓冲区的病毒 扫描. 二,现有杀毒软件的集成与升级 现在Iinux环境下比较常用的杀毒软件足clamav,而且 clamav也提供扣描缓冲区的API接口.要实现缓冲区的病毒扫 描,首先要安装damav,面介绍如何完成dainav的安装与升 级. 旨先进入clamav的官方网站www.clamav.net下载源程序 安装包clamav-O.88.tar.gz,目前最新版本是0.88.安装前首 先添加组和用户. #groupaddClalnav #useraddgclamavs/bin/falsec"ClamAntivirus" clamav 卜面开始安装,解压安装包,并将配置文件放到/etcH录 中. #tarzxvfclamav-0.88.tar.gz #cdclamav-O.88 #configuresysconfdir=/etc 垃1hake #makeinstal1 日志文件设定 茸touch/var/log/clamd.1og :茸chinod600/var/log/clamd.1og 茸chowI!clamav/var/log/clalnd.1og #touch/var/log/freshclaln.1og #chmod600/var/log/freshclan1.1og :#chownclamav/var/10g/freshc1arI1.1og 修改配置文件 #vi/etc/cla,nd.conf #Example\\前面加上# 换单元,病毒库无法直接在线升级.n』在内网元主机安 装同版本的clamav将病毒库升级后,~E/var/lib/clamav文 件灾中的main.cvd;~adaily.cvd两个病毒库文件,通过白定义 通信协议传入到数据交换单元,并将其原柬的病毒库文件覆 盖. 三实现对缓冲区的病毒扫描 由丁要对数据交换单元缓存中的数据进行病毒扫描,不可 以直接用clamav杀毒软件进行杳杀.只能自行编数,来调 用clamav提供的API 安全控制单元中设计将缓冲区分成很多块,由几个线程 来管理缓冲区的存储,其中一个线程专门负责调用病毒扫描 函数 excel方差函数excelsd函数已知函数     2 f x m x mx m      2 1 4 2拉格朗日函数pdf函数公式下载 ,依次对每块缓冲区进行扫描.如果没有病毒,返回 0,可以将该块信息摆渡到I^J外网单元.如果返回值不为0, 则存在病毒,将该块信息丢弃,外通知内外网单元断开相关 链接. 进程调用病毒扫描函数时,向该函数提供要扫描缓冲区 地址的指针,和要扫描缓冲的长度该函数辛爱设计如 卜. 先引用 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 输入输出雨数~Dclamav库函数. #include<stdio.h> #include<clamav.h> 调用要扫描缓冲区的头地址和长度. intscanbuff(char*buffer,unsignedintlength) J intret;//函数返回值 unsignedintsigs=O; constchar*virname; structclnode*root=NULL; 通过缺省路径加载病毒库,其qhcLretdbdirO~病毒库 的默认路径. if((ret=clloaddbdir(cl—retdbdir(),&root,&sigs)) LogFile/var/log/clamav/clamd.1og\\去掉前面的#==1)J LogFileMaxSize2M\\去掉前面的# LogTime\\去掉前面的# 65i计篙觚安呈2006.5 //JJH载不成功,返问2 服务病毒防范 Network&COmPuterSCCuI.ity 建立扫描引擎. if((ret=clbuild(root))==1){ cl_free(root);//建立失败,释放引擎 并返回2 return2 ) 扫描指定缓存块. ret=clJcanbuff(buffer,length,&vimame,root)l cl—free(root); retum(ret=CL—VIRUS?l:0);//存在病毒返回l,无病 毒返回0 } 扫描完某一缓存块后,扫描线程将返回结果通知给另?个 专rJ的读线程.该线程负责操作缓冲区的读指针,只有返回值 为0的数据块才可以由该线程发送到内外网单元. 该函数实现了对缓冲的实时病毒扫描,不必将缓冲区中 的纯数据重新组织起来再进行病毒查杀,大人节省了查毒时 间.这对于网络流黾很大的隔离设备来说是非常重要的,特别 是对数据延迟要求很高的即时通讯部分.但是由十缓冲区中的 数据只足某文件的一部分,也许只包含部分病毒特征码,冈此 l杏毒成功率将会有所卜降.缓冲区病毒的实时扫描,正是一种 用效率换安全的方法. 目前国内外网络安全隔离和信息技术的研究还处于起步阶 段,但随着全球信息化的不断发展和安全要求的不断提高,相 信安全隔『噶和信息交换技术的应用将会逐步扩大,对内部网络 的安全保护也会变得越来越重要.内外网传来的数据经过协议 剥离,会以纯数据的形式存放存安全控制单元的缓冲区中, 再对缓冲区中的数据进行病毒扫描,无病毒的数据才可以被 转发但现在基于网关缓冲区的杀毒软件非常少,本文在隔 离专项的大背景下,利用现有的杀毒软件和ApI接n,简单 实现了对缓冲区的病毒扫描,使得内网的安全性有了更可靠 的保障.国 参考文献 [1】信息技术网闸产品安全检验 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 [s】.编号:MSCTC-GFJ--04 2005年12月0{日. [2】2derance,&ostaling,~ognon.SynchronouBm&chine~faui~detection andisolationbyusingreluctancenetworkmode[C1.ICEM2002.15曲 InternationalConferenceollElectricalIMacf炯e8.Lodz:InstituteofMech&tron~ andInformationSystems,2002.8:6, Kim,Jongbok.Anewarch}tectureforenha,ncingthesecurityofe— ma,ilsystem[C].Proceedingsofthelnterna:~ionalConferenceOfl$ecur{ty andManagement,200449--454. 【4】WWW.clamav.net. [5】李建华,潘理.安全隔离与信息交换系统及其在电子政务 中的应用研剐J】.计算机安全,20o,9:51,54. [6】邓智群,刘福,幕德傻等.网络隔离体系结构研究[J]. 计算机应用研究,20053(22):219-22 [7】何鹏举,王万诚,李高盈等.网络隔离器的设计与实现 【J】.控制工程.2002,6(9):52-55,90. (上接62贞) 当小开启网关防病毒和入侵防御功能时,PRO4100是状 态检测防火墙.当开扁网关防病毒和IPS时,所有过PRO4100的 数据都经过r七层的扣描,对病毒,入侵和『H】谍软件进行检 测,把应用层的嘲络安全威胁阻挡在校园网络之外.不仅如 此,本地LAN安全区域的机器访问位于服务器区(DMZ区)的 服务器时旧样可以实现七层扫描,最大限度保护服务器的安 伞,HPPRO4100不仅町以做到防御来自外部网络的应用层的安 全成胁,同样对源白内部网络的安全威胁进行过滤. SonicWAIL采用独一无二的逐个包扫描深度包检测引擎无需对 数据包重组及对文件进行缓存就可以实现对病毒,入侵和间谍 软件的扫描和防护,彻底消除了传统的网关设备对同时下载的 文件数日和文件的大小的限制,从UTM技术上是一个突破. SonicWALLUTM设备能够并行扫描25000多种病毒,检测并阻 断20oO多种入侵威胁,阻挡14oo~,种间谍软件,最大限度确保内 部网络的安全.同时SoIficWALL支持近100多种签名,检测并按 需阻断MSN,QQ,BT,eMule等应用,对这些即时消息和 埘等应用的控制可以按照网段放开或阻断,还可以按时问段放 开或阻断这些应用,如所有学生在fI:课时间能使用MSN, QQ,在中午休息时间可以使用,教师可以在任意时间使用这 些应用等等. SonicWAIL的病毒签名,入侵箍名和反间谍软件签名每 个小时会自动和SonicWALI的后台签名数据库进行同步,确 保能够防御最新出现的安全成胁.部署PRO41O0之后,学校 的网络安全策略较部署之前有了质的飞跃,从过击的三层防护 进入了七层,即应用层的安伞防护. SonicWALLPRO4100集成防火墙,VPN,网关防病 毒,入侵防御,反问谍软件等等功能,无疑是一款功能丰富, 高度灵活的一体化网络安全解决案.(本文作者VClENT为 SoI1icWALL技术经理)@ 计鞠觚安墓2006.5f66