VDS

VDS简介

VDS是Virus DetectionSystem的缩写，是一种基于旁路接入方式，能够对网络传输中的数据进行计算机病毒相关检测的设备型产品形态的总称。此类产品其必备的能力包括，基于旁路接入条件获取数据包并进行协议解析和部分还原、对基于主流明文协议病毒传输的检测和对可疑对象的捕获、对病毒源头的定位、对病毒相关行为的检测、以及对相关数据的汇总、分析与呈现等等。

在VDS类产品产生之前，传统的病毒防护环节，基本都部署在主机节点上。VDS类网络安全设备为传统的主机协同防病毒机制增加了一条全网警戒线，能够增强大规模网络病毒防范的及时性和准确性，为大规模网络提供网络病毒现状的全局监控视图，因此成为当今网络安全管理的重要组成部分。

VDS后续发展

大陆市场上的VDS类产品较为丰富，除了安天的VDS、趋势的TDA外，还有瑞星的SPS、国联天成的MDS等等。

而放眼全球，作为病毒检测领域的后起之秀，美国的新兴安全企业Fireeye等，在设备中引入了自动化分析和判定环节，从而通过使厂商后台分析手段前置化的方式，使VDS类设备能够形成对可疑对象的闭合判断能力，从而缩短了响应时间。这代表了相关产品的一种新的发展趋势。

VDS产品相关的其他发展趋势还包括：

实现万兆及更大带宽的检测能力。通过统一SOC管理的分布式部署。对移动运营商协议的支持，对智能手机病毒的检测。与主机环节相结合，实现对rootkit的细粒度检测。

VDS历史沿革

Virus Detection System一词，较早见诸语汇，是出现在Symantec(赛门铁克)公司早期（上世纪90年代）文献中，当时并无网络病毒这一概念，赛门铁克公司使用这一语汇，描述了一个基于主机的病毒检测系统。

1999年后，随着信息高速公路的快速发展，网络逐渐取代软盘成为病毒传播的主要介质。网络蠕虫病毒开始兴起。当时各反病毒公司，在传统的工作站/桌面级别的病毒防护之外，首先尝试了从服务节点和网关两个方面进行相关应对。从服务节点的角度，包括研发了安装于文件共享、群件、邮件等应用服务器，并可以嵌入相关应用进行文件级病毒检测的机制，从网关的角度尝试开发了各种反病毒产品，其代表包括Mcafee的E系列、趋势的NVW等、Symantec的All in one等。但从服务节点的角度面临着防护面较窄，从网关的角度则存在着影响网络效率和应用的隐患。

一些其他安全企业和机构也进行了相关的研究，如著名的开源IDS类（入侵检测系统）工具snort，则添加了一些用于邮件病毒检测的规则。

但直到2002年之前，传统的反病毒引擎技术与旁路检测技术的结合尝试，并不常见。

2002年，Antiy Labs（安天实验室）与HIT（哈尔滨工业大学）合作在中国教育科研网进行了基于ZeroCopy（零拷贝）、并行协议栈和高速反病毒引擎的结合的尝试，其原型平台命名为P-A，后演化为教育网公益性研究计划“探云”。同年，Antiy Labs在XCON（安全焦点峰会）发表了大会报告《基于网络流和包的病毒监测》，对snort采用的文件名监测等方法进行了批判和反思，并基于当时协议栈能力偏弱，介绍了基于传统反病毒监测匹配原理，但基于包层次进行病毒检测的整体思想。

2004年，上述有关研究者借鉴IDS类网络安全设备一词，将此类相关形态网络安全产品命名为VDS。

2005年，Antiy Labs在Xcon上发表了大会报告，《VirusDetection System——网络病毒监控系统的架构体系与研究方法》，将相关思路公开，文中概括了VDS的若干特性，旁路接入、简单协议解析、海量检测规则、时间分析整合等。

安全业界直路和旁路孰优孰劣的争议一直存在。在传统的威胁检测领域，是FW/IPS等直路接入安全产品与IDS产品的优劣争议，而在反病毒领域则是防毒墙与VDS之争。

2006年，在网络病毒监测非常活跃的趋势科技，向经销商分发了《趋势科技NVW与安天VDS对比资料》一文，引发了安天的不满，并发文驳斥，从而引发了一场小规模的直路和旁路熟优熟劣的技术争论。但事实证明，直路和旁路的反病毒产品，其应用场景有较大差异，并不存在优劣之分。

2008年，趋势也推出了自己的VDS类旁路病毒监控产品TDA，不但为相关争论划上了句号，作为主流厂商的跟进，可以看成VDS类产品市场走向成熟。