基于云安全的主動(dòng)防御系統(tǒng)多引擎檢測(cè)設(shè)計(jì)發(fā)布者：本站     時(shí)間：2020-05-02 16:05:51

互聯(lián)網(wǎng)為惡意軟件提供了多樣化的傳播途徑.為了防范惡意軟件威脅,反病毒軟件是最常用的解決方案.然而反病毒軟件廣泛使用的基于特征碼的惡意軟件檢測(cè)技術(shù)無法應(yīng)對(duì)病毒呈現(xiàn)爆炸式增長背景下的安全威脅.

當(dāng)前,安全防御研究的趨勢(shì)是利用云計(jì)算技術(shù)的強(qiáng)大數(shù)據(jù)處理與存儲(chǔ)能力,提升安全服務(wù).

例如,CloudAV通過在云端部署多個(gè)反病毒引擎為客戶端上傳的文件進(jìn)行掃描,將傳統(tǒng)的反病毒轉(zhuǎn)變成對(duì)客戶端的云安全服務(wù),但CloudAV對(duì)10個(gè)反病毒引擎獨(dú)立檢測(cè)的結(jié)果采用了最嚴(yán)格的決策,使得系統(tǒng)的誤報(bào)率較高.Ether實(shí)現(xiàn)了以透明及外部的方式進(jìn)行惡意代碼分析的平臺(tái).Ether系統(tǒng)的透明性使它具有很強(qiáng)的脫殼分析能力,此外,它還能有效抵御絕大部分反虛擬機(jī) (anti-VM)檢測(cè)攻擊.

但Ether的 細(xì) 粒 度 檢 測(cè) 方 式 使 其 性 能 開 銷 較 高.CWSandbox構(gòu)造了一個(gè)自動(dòng)化的基于行為的惡意代碼分 析 工 具,提 供 細(xì) 粒 度 且 較 完 整 的 監(jiān) 控.Lorenzo等人提出了一種基于行為的惡意代碼云端分析框架.它允許云端分析與用戶端相配合共同完成惡意代碼的行為分析工作.然而,這種方式的分析對(duì)用戶使用干擾較多,不適于惡意軟件實(shí)時(shí)防御,且惡意軟件可能會(huì)逃避這種行為分析.

本文所提出基于云安全的主動(dòng)防御系統(tǒng)主要包括在云端使用多個(gè)殺毒引擎獨(dú)立對(duì)上傳的文件進(jìn)行檢測(cè),并對(duì)各殺毒引擎產(chǎn)生的結(jié)果進(jìn)行綜合決策.

同時(shí),結(jié)合硬件虛擬化技術(shù),在云端構(gòu)建基于系統(tǒng)調(diào)用序列的惡意代碼分析平臺(tái).

1 云防御系統(tǒng)的多引擎檢測(cè)設(shè)計(jì)

1.1 常用病毒檢測(cè)技術(shù)

特征碼掃描首先由反病毒廠商獲取病毒樣本,再提取樣本PE文件的關(guān)鍵特征,一般是程序的關(guān)鍵性指令集合即一串二進(jìn)制位信息作為特征碼.將特征碼保存到特征庫發(fā)布后,反病毒軟件掃描文件時(shí)用特征碼比對(duì)被掃描的程序來辨別該文件是否存在惡意代碼.啟發(fā)式掃描技術(shù)利用病毒的一般行為特征和結(jié)構(gòu)特征判斷文件是否包含惡意代碼.

例如,病毒典型行為包括訪問系統(tǒng)引導(dǎo)扇區(qū)、對(duì)EXE文件執(zhí)行寫操作或未提醒刪除硬盤上數(shù)據(jù)等。主動(dòng)防御技術(shù)使用基于主機(jī)的入侵防御系統(tǒng)(host-based intrusion prevention system,HIPS)完成程 序 行 為 的 攔 截 和 記 錄.用 戶 通 過 制 定 規(guī) 則(rule)控制操作系統(tǒng)中本地程序的執(zhí)行、對(duì)注冊(cè)表的訪問和對(duì)文件系統(tǒng)的訪問.

如果未知程序執(zhí)行時(shí)觸發(fā)了既定的規(guī)則,HIPS會(huì)根據(jù)規(guī)則庫釋放并清除病毒,當(dāng)規(guī)則庫無法識(shí)別病毒時(shí)會(huì)采用聯(lián)機(jī)檢測(cè)或人工鑒定,同時(shí)將新病毒添加到病毒庫.

1.2 云防御系統(tǒng)多引擎檢測(cè)設(shè)計(jì)思想

云防御系統(tǒng)包括客戶端和云服務(wù)兩個(gè)組成部分,如圖1所示.云防御系統(tǒng)客戶端是輕量級(jí)的主機(jī)防御程序,負(fù)責(zé)獲取本機(jī)文件及報(bào)警信息并上傳給云端檢測(cè).云端則包括云端管理、反病毒引擎(Avg,Avast,Duba和ESET 4種)、分析引擎和黑白名單庫4個(gè)模塊.其中,云端管理作為云服務(wù)的前端模塊與客戶端直接通信并調(diào)用和管理其他模塊,反病毒引擎和分析引擎對(duì)客戶端上傳的文件進(jìn)行掃描和行為分析,黑白名單庫存儲(chǔ)已被檢測(cè)過的文件的MD5值及其安全性.云防御系統(tǒng)可以處理常規(guī)文件掃描,文件惡意代碼分析和網(wǎng)絡(luò)報(bào)警信息.

其研究內(nèi)容主要包括以下兩個(gè)方面.

1)由于單個(gè)引擎對(duì)可疑文件進(jìn)行檢測(cè)的檢出率不高,云防御系統(tǒng)采用多個(gè)不同類型檢測(cè)引擎進(jìn)行獨(dú)立檢測(cè).但是,當(dāng)多種檢測(cè)引擎對(duì)單個(gè)可疑文件進(jìn)行檢測(cè)時(shí),相互之間得到的結(jié)果可能不一致,因此在這種情況下需要對(duì)各個(gè)檢測(cè)結(jié)果進(jìn)行綜合決策.云防御系統(tǒng)利用D-S證據(jù)理論(D-S evidential theo-ry)對(duì)4個(gè)獨(dú)立的檢測(cè)結(jié)果進(jìn)行綜合決策,當(dāng)綜合決策的結(jié)果超過預(yù)定閾值時(shí)認(rèn)定為惡意程序,而低于該閾值時(shí)則認(rèn)為是正常文件.

2)云端對(duì)反病毒引擎不能檢出的可疑文件進(jìn)行基于行為的動(dòng)態(tài)分析.很多惡意程序能夠檢測(cè)是否在虛擬環(huán)境或調(diào)試狀態(tài)下被執(zhí)行,從而具備對(duì)抗動(dòng)態(tài)分析的能力.為了能充分檢測(cè)程序的行為,云防御系統(tǒng)結(jié)合硬件虛擬化技術(shù),在全虛擬化環(huán)境下透明監(jiān)控可疑程序的執(zhí)行,根據(jù)程序執(zhí)行的系統(tǒng)調(diào)用序列判斷程序的安全性.

1.3 云防御系統(tǒng)總體設(shè)計(jì)

云防御系統(tǒng)的客戶端采用輕量級(jí)主機(jī)防御設(shè)計(jì),其功能模塊如圖2所示,客戶端程序分為內(nèi)核層(Ring 0)和應(yīng)用層(Ring 3)兩個(gè)部分.

內(nèi)核層有進(jìn)程監(jiān)控、注冊(cè)表監(jiān)控和文件系統(tǒng)監(jiān)控3個(gè)驅(qū)動(dòng)模塊分別完成進(jìn)程活動(dòng)、注冊(cè)表訪問和文件訪問的監(jiān)控功能.云防御系統(tǒng)的云端管理程序采用了多線程異步通信的網(wǎng)絡(luò)框架.

系統(tǒng)架構(gòu)使得云防御系統(tǒng)能夠?qū)崿F(xiàn)高并發(fā)能力,并具有很強(qiáng)的可擴(kuò)展性.

如圖3所示,I/O服務(wù)用來執(zhí)行實(shí)際的I/O操作,即用TCP/IP讀寫網(wǎng)絡(luò)流與客戶端直接交互,客戶端發(fā)送的服務(wù)器請(qǐng)求由I/O服務(wù)接收.I/O服務(wù)接收字節(jié)流后轉(zhuǎn)交給I/O過濾器處理,I/O過濾器根據(jù)網(wǎng)絡(luò)通信協(xié)議將字節(jié)流編碼成消息并把消息發(fā)送給I/O控制器處理.I/O控制器根據(jù)消息類型調(diào)用不同的處理模塊,比如消息類型是文件請(qǐng)求時(shí),控制器會(huì)調(diào)用掃描引擎掃描文件.

處理程序處理完畢后則經(jīng)過與此前過程相反的過程,I/O控制器將處理程序的結(jié)果以消息的形式發(fā)給I/O過濾器,I/O過濾器則將消息解碼 為 字 節(jié) 流 并 轉(zhuǎn) 發(fā) 給I/O服務(wù),I/O服務(wù)最后將字節(jié)流通過網(wǎng)絡(luò)返回給客戶端(如圖3).