特征库升级技术白皮书V11.docx

特征库升级技术白皮书V11.docx

《特征库升级技术白皮书V11.docx》由会员分享，可在线阅读，更多相关《特征库升级技术白皮书V11.docx（8页珍藏版）》请在冰豆网上搜索。

特征库升级技术白皮书V11

Conplat特征库升级说明文档

Preparedby

拟制

杨兴博

Date

日期

2014-5-5

Reviewedby

评审人

Date

日期

Authorizedby

签发

Date

日期

修订记录RevisionRecord

日期Date

修订版本Revisionversion

描述Description

作者Author

2014-3-20

V1.0

初稿完成

杨兴博

2014-5-5

V1.0

按照文档规范进行修改

杨兴博

2014-6-9

V1.1

修订最新病毒特征库规格

杨兴博

一、特征库简介

特征库本质是一些基础数据，它主要用于深度检测相关业务，如IPS防护、病毒防护、访问控制等。

如果没有对应的特征库，这些流程将无法生效。

特征库目前有以下四种：

（1）APP特征库（协议特征库）：

APP特征库是最基础的特征库，它是协议识别的基础。

目前所有深度检测业务，如病毒防护、访问控制等都需要APP特征库的支持。

目前DPX、IPS、UAG、FW等设备均自带APP特征库。

（2）URL特征库：

URL特征库用于URL过滤相关业务。

由于URL特征库通常较大，目前各种设备中均不自带URL特征库，使用时需手动升级。

（3）AV特征库（病毒特征库）：

AV特征库用于防病毒业务。

目前DPX、UAG、IPS设备自带AV特征库，部分FW设备版本不带有AV特征库，使用防病毒功能需手动升级该特征库。

（4）IPS特征库（漏洞特征库）：

IPS特征库用于IPS防护相关业务。

目前DPX、IPS设备自带IPS特征库，部分FW设备版本不带有IPS特征库，如需使用IPS防护功能需手动升级该特征库。

设备自带特征库类型与可手动加入特征库类型详细信息可参见附录一。

不同类型的设备，特征库所带特征条目也不同。

大致规格可参见附录二。

需要注意的是，特征库具有一定时效性。

为了使设备发挥最大功效，应在使用一段时间后对特征库升级。

对某一种特征库升级时，需要有相应类型迪普公司认证的license文件，可见图1。

图1License导入页面

二、特征库升级说明

特征库升级或解析有四种方式：

1.设备初次启动

设备初次启动时，会解析版本中自带的特征库。

特征库相关信息可在

“基本—》系统管理—》特征库升级”页面下查看，如图2所示：

图2APP特征库升级页面

如果该版本中不带有某种类型的特征库，则发布日期和特征库版本为空，页面显示如图3：

图3URL特征库升级页面

2.软件版本更换

2.1Conplat主线V100R003B00D013P02、神州一号V100R002B01D083之前版本及其他分支

在软件版本升级时，会有“是否使用软件版本中的特征库”的选项。

如果选是，则会删除原来的特征库，并从新软件版本中解出特征库。

如果某个类型的特征库在新的软件版本中没有，则该特征库会被删除，但页面上原特征库信息还存在。

主线V100R003B00D005版本、神州V100R002B01D065版本及之后的版本针对FW设备手动升级IPS、AV特征库做出了新版本中保留处理。

其他分支请按上述说明注意。

图4部分软件版本升级时提示是否使用新版本中的特征库

2.2Conplat主线V100R003B00D013P02、神州一号V100R002B01D083版本及之后版本

Conplat主线V100R003B00D013P02、神州一号V100R002B01D083版本（2014年4月2日发布）中针对此点做出了改动，版本升级不会再询问“是否使用新版本中的特征库”，默认使用原软件版本中的特征库。

如果新版本中带有原来没有的特征库，才会使用新版本中的特征库。

3.特征库自动升级

特征库自动升级功能可根据用户设置的开始时间、间隔时间、以及升级地址定期升级。

如需立即升级，也可点击立即升级来进行升级操作。

4.特征库手动升级

如果拥有迪普公司相应类型的特征库文件，也可以通过手动导入的方式升级特征库。

手动升级有一点需要特别注意：

APP特征库、IPS特征库有“1.4.*”、“1.5.*”、“2.*”的版本之分，相互不兼容，如果使用错误版本可能导致死机等严重问题，使用前务必注意。

如果已经有特征库，可通过之前特征库的版本号来确认。

如果没有，可通过所使用分支软件版本确认。

开局分支可通过查看拉出前分支所使用特征库版本。

如果仍然不能确定，请联系开发人员帮助确认。

（1）“1.4.*”版本特征库

1.4.*版本的特征库是最早的特征库，在目前新的开局版本中已废弃不用，之前开局的软件版本中可能还有极少部分在使用。

（2）“1.5.*”版本特征库

除成都医学院之外的主流分支都在2013年9～10月做出了对64位产品的兼容，因此特征库也进行了相应修改。

兼容前的特征库为“1.5.*”版本，兼容后为“2.*”。

具体更新版本与日期请参见附录三。

在这些版本之前的版本请使用“1.5.*”的特征库。

此外，成都医学院应该使用“1.5.*”的特征库。

（3）“2.*”版本特征库

目前，主线、神舟一号、郑州教育局、北京化工大学、安徽财政及基于上述拉出的分支软件版本都使用“2.*”版本的特征库。

开局分支请通过附录三来确认。

图5手动升级特征库页面

附录

附录一：

设备自带特征库与可升级特征库类型对应表

表1设备自带特征库与可升级特征库类型对应表

设备类型

自带特征库

可升级特征库

DPX

APP、AV、IPS、

URL

IPS

APP、AV、IPS

URL

UAG

APP、AV

URL

FW（马来分支）

APP、AV

IPS、URL

FW（安徽财政分支）

APP、AV、IPS

URL

FW（其他）

APP

AV、IPS、URL

UTM

APP、AV、IPS

URL

SRG

APP、AV、IPS

附录二：

目前各类特征库大致规格

（1）APP特征库各设备规格基本相同，目前约1800条

（2）URL特征库根据所选类别不同，差别较大。

具体规格请参考所选特征库

（3）AV特征库规格

表2AV（病毒）特征库规格

设备类型

特征库大致规格（条）

DPX

3000

FW

100

IPS

20000（AV-R1.4.223之前版本）

SRG

300

UAG

5000（AV-R1.4.223之前版本）

UTM

6000

*IPS、UAG设备的AV特征库规格在2014年5月13日发布的AV-R1.4.223版本中做出了变化，IPS设备AV库规格由20000条变为5000条，UAG设备AV库规格由5000条变为3000条。

（4）IPS特征库规格

表3IPS特征库规格

设备类型

特征库大致规格（条）

DPX

8000

FW

1000

IPS

8000

SRG

200

UTM

8000

附录三：

兼容64位分支修改时间与版本（开始使用“2.*”特征库）

表4各分支兼容64位修改时间及版本

分支

修改时间

修改版本

主线

2013.9.26

Conplat主线SP325版本

郑州教育局

2013.9.26

郑州教育局SP159PATCH189版本

北京化工大学

2013.9.26

北京化工大学SP209PATCH19版本

安徽财政

2013.9.2

安徽财政SP201P61PATCH20版本