天翼云：天翼云终端杀毒技术白皮书（12页）.pdf

1、 地址：北京市东城区青龙胡同 邮编：100007 天翼云天翼云终端杀毒终端杀毒 技术白皮书技术白皮书 天翼云终端杀毒技术白皮书 技术白皮书 天翼云科技 第 2 页，共 12 页 版权声明版权声明 本文中出现的任何文字叙述、文档格式、插图、图片、方法、过程等内容，除另有特别注明，版权均归天翼云集团（指包括但不限于北京天翼云科技有限公天翼云集团（指包括但不限于北京天翼云科技有限公司、信息技术（北京）股份有限公司、北京网康科技有限公司）司、信息技术（北京）股份有限公司、北京网康科技有限公司）所有，受到有关产权及版权法保护。任何个人、机构未经天翼云集团天翼云集团的书面授权许可，不得以任何方式复制或引用

2、本文的任何片段。修订记录修订记录 版本版本 状态状态 修订理由和内容摘要修订理由和内容摘要 修订人修订人 批准人批准人 修订日期修订日期 状态：C-创建，A-增加，M-修改，D-删除 天翼云终端杀毒技术白皮书 技术白皮书 天翼云科技 第 3 页，共 12 页 目目 录录 1 主要核心技术主要核心技术.4 1.1 多种部署方式.4 1.2 多引擎扫描技术.5 1.3 多维化安全管理.5 1.4 文件缓存技术.6 2 产品主要功能模块说明产品主要功能模块说明.6 2.1 防病毒模块.6 2.1.1 功能简介.6 2.1.2 实现原理.8 2.2 入侵防御模块.9 2.2.1 功能简介.9 2.2.

3、2 实现原理.10 3 产品安全性说明产品安全性说明.11 3.1 管理中心.11 3.1.1 网络通信的安全性设计.11 3.2 客户端.11 3.2.1 客户端的自我保护能力.11 3.2.2 内核对象保护.11 4 产品可靠性说明产品可靠性说明.12 4.1 管理中心.12 4.1.1 微服务架构的可靠性设计.12 4.2 客户端.12 4.2.1 升级.12 4.2.2 Dump 自动保存和收集.错误错误!未定义书签。未定义书签。4.2.3 日志.12 4.2.4 重要模块使用独立进程.12 天翼云终端杀毒技术白皮书 技术白皮书 天翼云科技 第 4 页，共 12 页 1 主要核心技术主

4、要核心技术 1.1 多种部署方式多种部署方式 随着虚拟化场景的多样化，传统的部署方式需要在各个主机上安装代理客户端，对主机资源的占用，容易出现效率问题。天翼云终端杀毒针对多种虚拟化平台，提供了有代理和无代理的部署方式。有代理部署即在每个虚拟机安装杀毒引擎，和传统的物理环境部署类似。无代理部署即在宿主机或者安全虚机部署杀毒引擎，在虚拟机上不需要部署或者只需要部署很轻量的消息中心。减少对主机资源的占用，不仅提升了运行效率，同时能够有效保证主机的安全。天翼云终端杀毒技术白皮书 技术白皮书 天翼云科技 第 5 页，共 12 页 1.2 多引擎扫描技术多引擎扫描技术 随着黑客攻击手段的不断进化，新兴病毒

5、样本成指数倍增长，传统杀毒引擎已疲于应对。天翼云依靠多年在杀毒领域的技术积累，自主研发了云查杀引擎、QOWL 查杀引擎、QDE 深度学习引擎，可对各种新兴变种病毒进行有效查杀与隔离。其中，云查引擎依托于天翼云云端超过 200 亿条样本，进行家族类可视化分析，可对未知变种病毒实现精准的查杀与隔离；云查杀引擎的使用还可以根据企业的网络环境自由选择，终端无法连接天翼云云的情况下也可以选择通过管理中心或者独立的代理服务器代理到天翼云云，企业内部网络和互联网完全隔离的情况下还可以使用专用的私有云安全鉴定中心来保障安全。QOWL 是天翼云自研的本地查杀引擎，除了对木马类病毒、脚本病毒、感染型病毒、宏病毒等

6、多种病毒的查杀能力外，还具备丰富的格式识别和解析功能、脱壳功能，以及 CVE 病毒检测和启发式检测功能。QOWL 引擎资源占用极低，内存平均占用30MB，单文件扫描平均毫秒级即可完成，同时病毒库支持细粒度更新，可最小化升级的带宽占用。QOWL 引擎同时支持 Windows、Linux、MacOS、国产化等终端平台，在天翼云用户的千万级终端上经过了验证。QDE 深度学习引擎基于天翼云安全大数据平台对样本数据进行预处理和统计分析，形成科学的模型评估和设计过程，具有海量的、带优质标签样本数据集为深度学习系统赋能，无需频繁升级特征库，就能快速识别鉴定多种未知病毒和变种病毒。QDE 引擎基于自主建构的