基于云安全的主動(dòng)防御系統多引擎檢測設計發(fā)布者：本站     時(shí)間：2020-05-02 16:05:51

互聯(lián)網(wǎng)為惡意軟件提供了多樣化的傳播途徑.為了防范惡意軟件威脅,反病毒軟件是最常用的解決方案.然而反病毒軟件廣泛使用的基于特征碼的惡意軟件檢測技術(shù)無(wú)法應對病毒呈現爆炸式增長(cháng)背景下的安全威脅.

當前,安全防御研究的趨勢是利用云計算技術(shù)的強大數據處理與存儲能力,提升安全服務(wù).

例如,CloudAV通過(guò)在云端部署多個(gè)反病毒引擎為客戶(hù)端上傳的文件進(jìn)行掃描,將傳統的反病毒轉變成對客戶(hù)端的云安全服務(wù),但CloudAV對10個(gè)反病毒引擎獨立檢測的結果采用了最嚴格的決策,使得系統的誤報率較高.Ether實(shí)現了以透明及外部的方式進(jìn)行惡意代碼分析的平臺.Ether系統的透明性使它具有很強的脫殼分析能力,此外,它還能有效抵御絕大部分反虛擬機 (anti-VM)檢測攻擊.

但Ether的 細 粒 度 檢 測 方 式 使 其 性 能 開(kāi) 銷(xiāo) 較 高.CWSandbox構造了一個(gè)自動(dòng)化的基于行為的惡意代碼分 析 工 具,提 供 細 粒 度 且 較 完 整 的 監 控.Lorenzo等人提出了一種基于行為的惡意代碼云端分析框架.它允許云端分析與用戶(hù)端相配合共同完成惡意代碼的行為分析工作.然而,這種方式的分析對用戶(hù)使用干擾較多,不適于惡意軟件實(shí)時(shí)防御,且惡意軟件可能會(huì )逃避這種行為分析.

本文所提出基于云安全的主動(dòng)防御系統主要包括在云端使用多個(gè)殺毒引擎獨立對上傳的文件進(jìn)行檢測,并對各殺毒引擎產(chǎn)生的結果進(jìn)行綜合決策.

同時(shí),結合硬件虛擬化技術(shù),在云端構建基于系統調用序列的惡意代碼分析平臺.

1 云防御系統的多引擎檢測設計

1.1 常用病毒檢測技術(shù)

特征碼掃描首先由反病毒廠(chǎng)商獲取病毒樣本,再提取樣本PE文件的關(guān)鍵特征,一般是程序的關(guān)鍵性指令集合即一串二進(jìn)制位信息作為特征碼.將特征碼保存到特征庫發(fā)布后,反病毒軟件掃描文件時(shí)用特征碼比對被掃描的程序來(lái)辨別該文件是否存在惡意代碼.啟發(fā)式掃描技術(shù)利用病毒的一般行為特征和結構特征判斷文件是否包含惡意代碼.

例如,病毒典型行為包括訪(fǎng)問(wèn)系統引導扇區、對EXE文件執行寫(xiě)操作或未提醒刪除硬盤(pán)上數據等。主動(dòng)防御技術(shù)使用基于主機的入侵防御系統(host-based intrusion prevention system,HIPS)完成程 序 行 為 的 攔 截 和 記 錄.用 戶(hù) 通 過(guò) 制 定 規 則(rule)控制操作系統中本地程序的執行、對注冊表的訪(fǎng)問(wèn)和對文件系統的訪(fǎng)問(wèn).

如果未知程序執行時(shí)觸發(fā)了既定的規則,HIPS會(huì )根據規則庫釋放并清除病毒,當規則庫無(wú)法識別病毒時(shí)會(huì )采用聯(lián)機檢測或人工鑒定,同時(shí)將新病毒添加到病毒庫.

1.2 云防御系統多引擎檢測設計思想

云防御系統包括客戶(hù)端和云服務(wù)兩個(gè)組成部分,如圖1所示.云防御系統客戶(hù)端是輕量級的主機防御程序,負責獲取本機文件及報警信息并上傳給云端檢測.云端則包括云端管理、反病毒引擎(Avg,Avast,Duba和ESET 4種)、分析引擎和黑白名單庫4個(gè)模塊.其中,云端管理作為云服務(wù)的前端模塊與客戶(hù)端直接通信并調用和管理其他模塊,反病毒引擎和分析引擎對客戶(hù)端上傳的文件進(jìn)行掃描和行為分析,黑白名單庫存儲已被檢測過(guò)的文件的MD5值及其安全性.云防御系統可以處理常規文件掃描,文件惡意代碼分析和網(wǎng)絡(luò )報警信息.

其研究?jì)热葜饕ㄒ韵聝蓚€(gè)方面.

1)由于單個(gè)引擎對可疑文件進(jìn)行檢測的檢出率不高,云防御系統采用多個(gè)不同類(lèi)型檢測引擎進(jìn)行獨立檢測.但是,當多種檢測引擎對單個(gè)可疑文件進(jìn)行檢測時(shí),相互之間得到的結果可能不一致,因此在這種情況下需要對各個(gè)檢測結果進(jìn)行綜合決策.云防御系統利用D-S證據理論(D-S evidential theo-ry)對4個(gè)獨立的檢測結果進(jìn)行綜合決策,當綜合決策的結果超過(guò)預定閾值時(shí)認定為惡意程序,而低于該閾值時(shí)則認為是正常文件.

2)云端對反病毒引擎不能檢出的可疑文件進(jìn)行基于行為的動(dòng)態(tài)分析.很多惡意程序能夠檢測是否在虛擬環(huán)境或調試狀態(tài)下被執行,從而具備對抗動(dòng)態(tài)分析的能力.為了能充分檢測程序的行為,云防御系統結合硬件虛擬化技術(shù),在全虛擬化環(huán)境下透明監控可疑程序的執行,根據程序執行的系統調用序列判斷程序的安全性.

1.3 云防御系統總體設計

云防御系統的客戶(hù)端采用輕量級主機防御設計,其功能模塊如圖2所示,客戶(hù)端程序分為內核層(Ring 0)和應用層(Ring 3)兩個(gè)部分.

內核層有進(jìn)程監控、注冊表監控和文件系統監控3個(gè)驅動(dòng)模塊分別完成進(jìn)程活動(dòng)、注冊表訪(fǎng)問(wèn)和文件訪(fǎng)問(wèn)的監控功能.云防御系統的云端管理程序采用了多線(xiàn)程異步通信的網(wǎng)絡(luò )框架.

系統架構使得云防御系統能夠實(shí)現高并發(fā)能力,并具有很強的可擴展性.

如圖3所示,I/O服務(wù)用來(lái)執行實(shí)際的I/O操作,即用TCP/IP讀寫(xiě)網(wǎng)絡(luò )流與客戶(hù)端直接交互,客戶(hù)端發(fā)送的服務(wù)器請求由I/O服務(wù)接收.I/O服務(wù)接收字節流后轉交給I/O過(guò)濾器處理,I/O過(guò)濾器根據網(wǎng)絡(luò )通信協(xié)議將字節流編碼成消息并把消息發(fā)送給I/O控制器處理.I/O控制器根據消息類(lèi)型調用不同的處理模塊,比如消息類(lèi)型是文件請求時(shí),控制器會(huì )調用掃描引擎掃描文件.

處理程序處理完畢后則經(jīng)過(guò)與此前過(guò)程相反的過(guò)程,I/O控制器將處理程序的結果以消息的形式發(fā)給I/O過(guò)濾器,I/O過(guò)濾器則將消息解碼 為 字 節 流 并 轉 發(fā) 給I/O服務(wù),I/O服務(wù)最后將字節流通過(guò)網(wǎng)絡(luò )返回給客戶(hù)端(如圖3).