趋势防毒墙网络版officescan10 分享之一云扫描、文件信誉、产品架构、实现原理

neol_zhai

趋势防毒墙网络版officescan10 分享之一云扫描、文件信誉、产品架构、实现原理

趋势officescan 10.0 也发布有一段时间了，针对企业版详细的评测也比较少，本人对officescan 10 还略微了解一些，在此和大家分享下。
首先和大家分享下officescan 10的一些原理性的东西，之后会有趋势防毒墙企业版officescan10 详解之二中详细分享对应的功能。
let's GO！
officescan 10.0 新增功能：
智能扫描 smart scan
AD域集成
基于角色的管理
设备控制
扩展平台支持
增强CPU性能，用户控制和web信誉管理
行为控制（SP1中增加）
-------------------------------------------------------
1：基于角色的管理
此功能在几乎所有的产品中都有，这部分没什么特别好说的


2：AD域集成--类似于OSCE8中TMVS
2.1 OSCE10中的AD域集成，部署安全策略
2.2 检测未受防病毒软件保护的终端，并安装防毒软件
2.3 可为AD域中账号分配不同权限

neol_zhai

3 设备控制
个人认为这点功能在symantec的SEP11中实现更好，SEP中可以针对AD中的用户来实现此策略
做到同台PC A账号登陆可以使用外设，B账号登陆不行。
而OSCE10 中这点没有SEP那么具体。
在OSCE 10中的设备控制主要实现以下几点
即插即用设备、光盘、软盘、网络资源
设备控制的权限如下：

设备控制功能在产品中的设置如下图:

4 扩展平台支持
这点也没啥多说的。主要提升了对windows 2008 X86 X64的支持。略过


5 增强CPU性能，用户控制和web信誉管理
其中OSCE应用程序保护控制得以改善，替代以前的防黑模式
体现在：
5.1 防止本身程序被插入病毒
5.2 保护OSCE 文件被修改
5.3 保护OSCE 系统进程被恶意关闭
5.4 保护OSCE 系统注册表被修改


5.5 性能控制部分可以智能监控CPU耗用，自动调整扫描速度
5.6 增加预设扫描控制，客户端可以控制 延迟、跳过、停止
5.7 细化web reputation 设置 在OSCE8中，云功能的开启，智能全部开启或者全部关闭，而OSCE10中可以针对每台计算机、每个组开进行云级别的设置。


6 增强的搜索功能
在OSCE 8中，无法使用通配符*来进行搜索，在OSCE10中支持


7 行为控制
详细见下图，这部分功能在趋势防毒墙网络版officescan10 分享之二 具体实现中会详细介绍：

neol_zhai

8 OSCE 10 产品架构
在OSCE 10 中，产品结构改变不大，基本和OSCE 8一致，详见下图：
图很简单，不做过多分析啦


与OSCE 8 来比，架构基本没有变化。
只是多了个smartscan serer 在OSCE server 里面（集成模式下）
也可以单独部署云安全服务器

9 OSCE 10 服务器架构

默认集成了云安全服务器

neol_zhai

10 智能扫描 smartscan
智能扫描将安全威胁从终端转移到云，smart protection network 中重要的一部分
优势在于：
10.1：实时扫描安全威胁在云端
10.2：更少的网络带宽占用，实际测试如下：

传统扫描 一天占用0.7M带宽
HTTP 只能扫描在0.3左右
HTTPS 智能扫描在0.5左右
10.3：较少硬件资源占用，这部分的体现主要是，使用云模式之后，85%的病毒码不再存放在本地，本地只存放一个病毒码的index
，减少病毒码比对的资源消耗，
详解如下图：

客户端病毒码：ICRC$OTH 相对于传统病毒码形式存在，但是只占有15%的量
云病毒码：ICRC$TBL
在云端生成BF.PTN病毒码索引，放在客户端。

以下是病毒码的一些基本情况，供了解:


[ 本帖最后由 neol_zhai 于 2009-11-25 21:56 编辑 ]

neol_zhai

10.4：更少的扫描时间 测试如下图：

99%的在本地扫描，只有1%需要提交到云端进行扫描

10.5 更高的病毒侦测率

传统模式下，20M病毒码+25M间谍软件的病毒码结合进行扫描 侦测率 72%
本地云模式 25M本地的病毒码+云端60M病毒码，侦测率97%
在离线状态下，使用25M 本地病毒码以及OTH部分的云端病毒码的index文件匹配 ，侦测率87%

[ 本帖最后由 neol_zhai 于 2009-11-25 22:08 编辑 ]

neol_zhai

11 云安全模式详解
其实OSCE10中的文件信誉服务就包含在云安全模式中。简称CCFR
在了解云安全模式之前先了解下为什么趋势要推出云安全模式：
趋势传统的病毒码接近40M，还在不断变大，耗用的资源也越来越多，造成更多的效能问题
而云安全则体现以下优点：
1：将病毒码防止在云端（scan server），客户端可以使用CRC query，确认病毒是否含有病毒
2：客户单不需要传送所有文件的CRC刀云端，客户单有自己的client 运算法则可以过滤掉99%的病毒，不会造成带宽占用问题
3：趋势提供global scan service，用户只需要安装本地的local scan service
4：云端包含2部分，一是 Internet 云服务器，由趋势35000台服务器组成，一是公司内部的OSCE server集成部署成云服务器。
   同时，企业内部的云服务器也包含2种，一是集成在osce server 中，一是单独部署一台独立的云服务中。这2种架构支持的客户
端数量不同，独立云服务器支持的更多，效果更好。

11.1文件信誉服务拓扑：

在局域网中，osce 客户端默认从本地的osce服务器进行扫描
当osce 客户端脱离局域网，可以直接到Internet上的服务器上进行扫描。即如下图所示：


[ 本帖最后由 neol_zhai 于 2009-11-25 21:58 编辑 ]

neol_zhai

11.2 集成云服务器病毒码更新情况：

1：AU服务器上有新的 更新，通知全球云端服务器
2：通知本地云服务器，本地云服务器更新病毒索引，更新到客户端
3：如果客户端不能连接本地云服务器，尝试直接联系Internet 云服务器
更新的内容：
smart scan pattern （icrc.tbl）生成BF.PTN 提供给client更新
smart scan agent pattern （icrc.oth）提供给client 更新

11.3 云安全扫描原理 详见如下拓扑：

当有文件被读取时，进行扫描
1：先使用本地的病毒码进行匹配，类似于黑名单的概念，如果病毒码匹配，则认为是病毒，被处理，如果OTH查询没有查询到任何
符合情况，则osce 客户端会进行本地的过滤算法CRC，通过哈希等方法算出此文件的值。
2：然后CRC值与本地的云服务器病毒库索引文件BF.Ptn进行对比。如果没有匹配到，则不是病毒
3：如果是，则检查本地文件缓存，如果此时本地文件缓存能查询到，则进行处理
4：如果本地缓存没有查询到，则提交CRC到本地云或者internet云服务器进行扫描
5：云服务器扫描过后将扫描的结果添加到本地文件缓存，等待下一次的查询

neol_zhai

12 其中在云模式下，没有间谍软件病毒码
在云模式下，间谍软件病毒吗包含在TBL pattern 和agent pattern 即包含在云病毒码中，但是在client log 仍会反馈结果为：病毒文件 or 间谍软件

13 云安全和普通模式图标状态不同

第一部分 就到这里吧，不知道有没有讲清楚。。呵呵，图片部分发部分摘自趋势官方PPT中，其中文字部分，为本人的理解，难免有错误的地方，还请大家指正。
在接下来的第二部分中，我会主要体现在功能面上，具体是云安全、文件信誉、行为管理、设备控制等功能在OSCE 中如何设置，效果如何等等。

PS：其中用到的图片90%出自趋势官方PPT中。此处只是借用，用于做知识面的交流

jpzy

说点我的看法。
第一，企业部署一台服务器作为“云服务器”。这能叫做云么？
第二，云病毒码只有60M，放在本地应该也不至于占用太多资源吧。如果只有60M，那还要云服务器做什么？
第三，用了45M的库，侦测率为72%，用了25M的库，侦测率为87%，这个数据太雷人了吧！
第四，云安全扫描原理里面阐述了趋势的云扫描，可是看得我很崩溃！！所谓云扫描，就是云病毒库生成本地BF.Ptn，所谓本地Ptn就是CRC值……囧死……然后扫描的时候，先比对本地库，再计算CRC查询本地的BF.Ptn，这难道就叫云了？我真的晕了~~~这比本地特征码还糟糕。难道趋势不知道，文件随便修改几个字节就可以过掉CRC么？
第五，行为控制图太小了。我在客户端没有看到这个界面，这应该是服务器端部署的界面。这部分功能具体怎么体现到客户端里呢？仅仅一张图似乎说明不了什么！

随便看了一下，没有更深层次的问题提出来。以上五个，等高人解答

neol_zhai

1：企业中部署的云服务器，应该是和趋势Internet 的云服务器进行同步的，企业中的云服务器，应该只是起到中转的作用，减轻客户单的负荷
2：PPT里的病毒码的大小，个人认为只是为了方便说明而列的数据，并不代表实际大小
3：72%的侦测率完全是使用的传统的病毒码，而其他两种模式都是用了云安全模式下病毒码
4：原理部分，CRC如何计算，我认为不应该类似于哈希一类，修改了部分内容就改变。但是具体的如何计算，估计只有趋势原厂的人员知道了。。
不过，从实际效果来看，有很多部署了officescan 10的用户反馈比officescan 8 要好许多，这倒是事实。

5：行为控制的 截图是在服务器端的截图。。详细的设置部分也都在服务器上完成的

PS：对于原理部分的内容，小弟研究的也不深，我们比较注重的是实用、部署、策略建制等等。。。。

[ 本帖最后由 neol_zhai 于 2009-11-25 22:30 编辑 ]