久久亚洲中文字幕精_精品国产一区二区三区不卡_99久久久无码国产精品免费手机_国产亚洲精品久久久久动漫

將想法與焦點(diǎn)和您一起共享

基于云安全的主動防御系統(tǒng)多引擎檢測設(shè)計發(fā)布者:本站     時間:2020-05-02 16:05:51

互聯(lián)網(wǎng)為惡意軟件提供了多樣化的傳播途徑.為了防范惡意軟件威脅,反病毒軟件是最常用的解決方案.然而反病毒軟件廣泛使用的基于特征碼的惡意軟件檢測技術(shù)無法應(yīng)對病毒呈現(xiàn)爆炸式增長背景下的安全威脅.

當(dāng)前,安全防御研究的趨勢是利用云計算技術(shù)的強(qiáng)大數(shù)據(jù)處理與存儲能力,提升安全服務(wù).

例如,CloudAV通過在云端部署多個反病毒引擎為客戶端上傳的文件進(jìn)行掃描,將傳統(tǒng)的反病毒轉(zhuǎn)變成對客戶端的云安全服務(wù),但CloudAV對10個反病毒引擎獨(dú)立檢測的結(jié)果采用了最嚴(yán)格的決策,使得系統(tǒng)的誤報率較高.Ether實(shí)現(xiàn)了以透明及外部的方式進(jìn)行惡意代碼分析的平臺.Ether系統(tǒng)的透明性使它具有很強(qiáng)的脫殼分析能力,此外,它還能有效抵御絕大部分反虛擬機(jī) (anti-VM)檢測攻擊.

但Ether的 細(xì) 粒 度 檢 測 方 式 使 其 性 能 開 銷 較 高.CWSandbox構(gòu)造了一個自動化的基于行為的惡意代碼分 析 工 具,提 供 細(xì) 粒 度 且 較 完 整 的 監(jiān) 控.Lorenzo等人提出了一種基于行為的惡意代碼云端分析框架.它允許云端分析與用戶端相配合共同完成惡意代碼的行為分析工作.然而,這種方式的分析對用戶使用干擾較多,不適于惡意軟件實(shí)時防御,且惡意軟件可能會逃避這種行為分析.

本文所提出基于云安全的主動防御系統(tǒng)主要包括在云端使用多個殺毒引擎獨(dú)立對上傳的文件進(jìn)行檢測,并對各殺毒引擎產(chǎn)生的結(jié)果進(jìn)行綜合決策.

同時,結(jié)合硬件虛擬化技術(shù),在云端構(gòu)建基于系統(tǒng)調(diào)用序列的惡意代碼分析平臺.

1 云防御系統(tǒng)的多引擎檢測設(shè)計

1.1 常用病毒檢測技術(shù)

特征碼掃描首先由反病毒廠商獲取病毒樣本,再提取樣本PE文件的關(guān)鍵特征,一般是程序的關(guān)鍵性指令集合即一串二進(jìn)制位信息作為特征碼.將特征碼保存到特征庫發(fā)布后,反病毒軟件掃描文件時用特征碼比對被掃描的程序來辨別該文件是否存在惡意代碼.啟發(fā)式掃描技術(shù)利用病毒的一般行為特征和結(jié)構(gòu)特征判斷文件是否包含惡意代碼.

例如,病毒典型行為包括訪問系統(tǒng)引導(dǎo)扇區(qū)、對EXE文件執(zhí)行寫操作或未提醒刪除硬盤上數(shù)據(jù)等。主動防御技術(shù)使用基于主機(jī)的入侵防御系統(tǒng)(host-based intrusion prevention system,HIPS)完成程 序 行 為 的 攔 截 和 記 錄.用 戶 通 過 制 定 規(guī) 則(rule)控制操作系統(tǒng)中本地程序的執(zhí)行、對注冊表的訪問和對文件系統(tǒng)的訪問.

如果未知程序執(zhí)行時觸發(fā)了既定的規(guī)則,HIPS會根據(jù)規(guī)則庫釋放并清除病毒,當(dāng)規(guī)則庫無法識別病毒時會采用聯(lián)機(jī)檢測或人工鑒定,同時將新病毒添加到病毒庫.

1.2 云防御系統(tǒng)多引擎檢測設(shè)計思想

云防御系統(tǒng)包括客戶端和云服務(wù)兩個組成部分,如圖1所示.云防御系統(tǒng)客戶端是輕量級的主機(jī)防御程序,負(fù)責(zé)獲取本機(jī)文件及報警信息并上傳給云端檢測.云端則包括云端管理、反病毒引擎(Avg,Avast,Duba和ESET 4種)、分析引擎和黑白名單庫4個模塊.其中,云端管理作為云服務(wù)的前端模塊與客戶端直接通信并調(diào)用和管理其他模塊,反病毒引擎和分析引擎對客戶端上傳的文件進(jìn)行掃描和行為分析,黑白名單庫存儲已被檢測過的文件的MD5值及其安全性.云防御系統(tǒng)可以處理常規(guī)文件掃描,文件惡意代碼分析和網(wǎng)絡(luò)報警信息.

其研究內(nèi)容主要包括以下兩個方面.

1)由于單個引擎對可疑文件進(jìn)行檢測的檢出率不高,云防御系統(tǒng)采用多個不同類型檢測引擎進(jìn)行獨(dú)立檢測.但是,當(dāng)多種檢測引擎對單個可疑文件進(jìn)行檢測時,相互之間得到的結(jié)果可能不一致,因此在這種情況下需要對各個檢測結(jié)果進(jìn)行綜合決策.云防御系統(tǒng)利用D-S證據(jù)理論(D-S evidential theo-ry)對4個獨(dú)立的檢測結(jié)果進(jìn)行綜合決策,當(dāng)綜合決策的結(jié)果超過預(yù)定閾值時認(rèn)定為惡意程序,而低于該閾值時則認(rèn)為是正常文件.

2)云端對反病毒引擎不能檢出的可疑文件進(jìn)行基于行為的動態(tài)分析.很多惡意程序能夠檢測是否在虛擬環(huán)境或調(diào)試狀態(tài)下被執(zhí)行,從而具備對抗動態(tài)分析的能力.為了能充分檢測程序的行為,云防御系統(tǒng)結(jié)合硬件虛擬化技術(shù),在全虛擬化環(huán)境下透明監(jiān)控可疑程序的執(zhí)行,根據(jù)程序執(zhí)行的系統(tǒng)調(diào)用序列判斷程序的安全性.

1.3 云防御系統(tǒng)總體設(shè)計

云防御系統(tǒng)的客戶端采用輕量級主機(jī)防御設(shè)計,其功能模塊如圖2所示,客戶端程序分為內(nèi)核層(Ring 0)和應(yīng)用層(Ring 3)兩個部分.

內(nèi)核層有進(jìn)程監(jiān)控、注冊表監(jiān)控和文件系統(tǒng)監(jiān)控3個驅(qū)動模塊分別完成進(jìn)程活動、注冊表訪問和文件訪問的監(jiān)控功能.云防御系統(tǒng)的云端管理程序采用了多線程異步通信的網(wǎng)絡(luò)框架.

系統(tǒng)架構(gòu)使得云防御系統(tǒng)能夠?qū)崿F(xiàn)高并發(fā)能力,并具有很強(qiáng)的可擴(kuò)展性.

如圖3所示,I/O服務(wù)用來執(zhí)行實(shí)際的I/O操作,即用TCP/IP讀寫網(wǎng)絡(luò)流與客戶端直接交互,客戶端發(fā)送的服務(wù)器請求由I/O服務(wù)接收.I/O服務(wù)接收字節(jié)流后轉(zhuǎn)交給I/O過濾器處理,I/O過濾器根據(jù)網(wǎng)絡(luò)通信協(xié)議將字節(jié)流編碼成消息并把消息發(fā)送給I/O控制器處理.I/O控制器根據(jù)消息類型調(diào)用不同的處理模塊,比如消息類型是文件請求時,控制器會調(diào)用掃描引擎掃描文件.

處理程序處理完畢后則經(jīng)過與此前過程相反的過程,I/O控制器將處理程序的結(jié)果以消息的形式發(fā)給I/O過濾器,I/O過濾器則將消息解碼 為 字 節(jié) 流 并 轉(zhuǎn) 發(fā) 給I/O服務(wù),I/O服務(wù)最后將字節(jié)流通過網(wǎng)絡(luò)返回給客戶端(如圖3).



選擇我們,優(yōu)質(zhì)服務(wù),不容錯過
1. 優(yōu)秀的網(wǎng)絡(luò)資源,強(qiáng)大的網(wǎng)站優(yōu)化技術(shù),穩(wěn)定的網(wǎng)站和速度保證
2. 15年上海網(wǎng)站建設(shè)經(jīng)驗,優(yōu)秀的技術(shù)和設(shè)計水平,更放心
3. 全程省心服務(wù),不必?fù)?dān)心自己不懂網(wǎng)絡(luò),更省心。
------------------------------------------------------------
24小時聯(lián)系電話:021-58370032
罗平县| 巴东县| 江源县| 伊川县| 娱乐| 家居| 威海市| 张家口市| 高安市| 南陵县| 富阳市| 临漳县| 蕉岭县| 潞西市| 新邵县| 台江县| 辽宁省| 琼结县| 莱西市| 南开区| 桐庐县| 安吉县| 马龙县| 姜堰市| 桐城市| 民丰县| 磴口县| 诸城市| 兰考县| 疏附县| 清丰县| 简阳市| 巴彦淖尔市| 三门县| 台安县| 饶平县| 卓资县| 和林格尔县| 灵川县| 阜平县| 阳信县|