基于云安全的主動(dòng)防御系統(tǒng)多引擎檢測(cè)設(shè)計(jì)

　　特征碼掃描首先由反病毒廠商獲取病毒樣本，再提取樣本PE文件的關(guān)鍵特征，以下是小編搜集整理的一篇探究云防御系統(tǒng)多引擎檢測(cè)設(shè)計(jì)的論文范文，供大家閱讀查看。

　　引言

　　互聯(lián)網(wǎng)為惡意軟件提供了多樣化的傳播途徑.為了防范惡意軟件威脅,反病毒軟件是最常用的解決方案.然而反病毒軟件廣泛使用的基于特征碼的惡意軟件檢測(cè)技術(shù)無(wú)法應(yīng)對(duì)病毒呈現(xiàn)爆炸式增長(zhǎng)背景下的安全威脅.

　　當(dāng)前,安全防御研究的趨勢(shì)是利用云計(jì)算技術(shù)的強(qiáng)大數(shù)據(jù)處理與存儲(chǔ)能力,提升安全服務(wù).

　　例如,CloudAV通過(guò)在云端部署多個(gè)反病毒引擎為客戶端上傳的文件進(jìn)行掃描,將傳統(tǒng)的反病毒轉(zhuǎn)變成對(duì)客戶端的云安全服務(wù),但CloudAV對(duì)10個(gè)反病毒引擎獨(dú)立檢測(cè)的結(jié)果采用了最嚴(yán)格的決策,使得系統(tǒng)的誤報(bào)率較高.Ether實(shí)現(xiàn)了以透明及外部的方式進(jìn)行惡意代碼分析的平臺(tái).Ether系統(tǒng)的透明性使它具有很強(qiáng)的脫殼分析能力,此外,它還能有效抵御絕大部分反虛擬機(jī)(anti-VM)檢測(cè)攻擊.

　　但Ether的細(xì)粒度檢測(cè)方式使其性能開(kāi)銷較高.CWSandbox構(gòu)造了一個(gè)自動(dòng)化的基于行為的惡意代碼分析工具,提供細(xì)粒度且較完整的監(jiān)控.Lorenzo等人提出了一種基于行為的惡意代碼云端分析框架.它允許云端分析與用戶端相配合共同完成惡意代碼的行為分析工作.然而,這種方式的分析對(duì)用戶使用干擾較多,不適于惡意軟件實(shí)時(shí)防御,且惡意軟件可能會(huì)逃避這種行為分析.

　　本文所提出基于云安全的主動(dòng)防御系統(tǒng)主要包括在云端使用多個(gè)殺毒引擎獨(dú)立對(duì)上傳的文件進(jìn)行檢測(cè),并對(duì)各殺毒引擎產(chǎn)生的結(jié)果進(jìn)行綜合決策.

　　同時(shí),結(jié)合硬件虛擬化技術(shù),在云端構(gòu)建基于系統(tǒng)調(diào)用序列的惡意代碼分析平臺(tái).

　　1云防御系統(tǒng)的多引擎檢測(cè)設(shè)計(jì)

　　1.1常用病毒檢測(cè)技術(shù)

　　特征碼掃描首先由反病毒廠商獲取病毒樣本,再提取樣本PE文件的關(guān)鍵特征,一般是程序的關(guān)鍵性指令集合即一串二進(jìn)制位信息作為特征碼.將特征碼保存到特征庫(kù)發(fā)布后,反病毒軟件掃描文件時(shí)用特征碼比對(duì)被掃描的程序來(lái)辨別該文件是否存在惡意代碼.啟發(fā)式掃描技術(shù)利用病毒的一般行為特征和結(jié)構(gòu)特征判斷文件是否包含惡意代碼.

　　例如,病毒典型行為包括訪問(wèn)系統(tǒng)引導(dǎo)扇區(qū)、對(duì)EXE文件執(zhí)行寫(xiě)操作或未提醒刪除硬盤(pán)上數(shù)據(jù)等。主動(dòng)防御技術(shù)使用基于主機(jī)的入侵防御系統(tǒng)(host-basedintrusionpreventionsystem,HIPS)完成程序行為的攔截和記錄.用戶通過(guò)制定規(guī)則(rule)控制操作系統(tǒng)中本地程序的執(zhí)行、對(duì)注冊(cè)表的訪問(wèn)和對(duì)文件系統(tǒng)的訪問(wèn).

　　如果未知程序執(zhí)行時(shí)觸發(fā)了既定的規(guī)則,HIPS會(huì)根據(jù)規(guī)則庫(kù)釋放并清除病毒,當(dāng)規(guī)則庫(kù)無(wú)法識(shí)別病毒時(shí)會(huì)采用聯(lián)機(jī)檢測(cè)或人工鑒定,同時(shí)將新病毒添加到病毒庫(kù).

　　1.2云防御系統(tǒng)多引擎檢測(cè)設(shè)計(jì)思想

　　云防御系統(tǒng)包括客戶端和云服務(wù)兩個(gè)組成部分,如圖1所示.云防御系統(tǒng)客戶端是輕量級(jí)的主機(jī)防御程序,負(fù)責(zé)獲取本機(jī)文件及報(bào)警信息并上傳給云端檢測(cè).云端則包括云端管理、反病毒引擎(Avg,Avast,Duba和ESET4種)、分析引擎和黑白名單庫(kù)4個(gè)模塊.其中,云端管理作為云服務(wù)的前端模塊與客戶端直接通信并調(diào)用和管理其他模塊,反病毒引擎和分析引擎對(duì)客戶端上傳的文件進(jìn)行掃描和行為分析,黑白名單庫(kù)存儲(chǔ)已被檢測(cè)過(guò)的文件的MD5值及其安全性.云防御系統(tǒng)可以處理常規(guī)文件掃描,文件惡意代碼分析和網(wǎng)絡(luò)報(bào)警信息.

　　其研究?jī)?nèi)容主要包括以下兩個(gè)方面.

　　1)由于單個(gè)引擎對(duì)可疑文件進(jìn)行檢測(cè)的檢出率不高,云防御系統(tǒng)采用多個(gè)不同類型檢測(cè)引擎進(jìn)行獨(dú)立檢測(cè).但是,當(dāng)多種檢測(cè)引擎對(duì)單個(gè)可疑文件進(jìn)行檢測(cè)時(shí),相互之間得到的結(jié)果可能不一致,因此在這種情況下需要對(duì)各個(gè)檢測(cè)結(jié)果進(jìn)行綜合決策.云防御系統(tǒng)利用D-S證據(jù)理論(D-Sevidentialtheo-ry)對(duì)4個(gè)獨(dú)立的檢測(cè)結(jié)果進(jìn)行綜合決策,當(dāng)綜合決策的結(jié)果超過(guò)預(yù)定閾值時(shí)認(rèn)定為惡意程序,而低于該閾值時(shí)則認(rèn)為是正常文件.

　　2)云端對(duì)反病毒引擎不能檢出的可疑文件進(jìn)行基于行為的動(dòng)態(tài)分析.很多惡意程序能夠檢測(cè)是否在虛擬環(huán)境或調(diào)試狀態(tài)下被執(zhí)行,從而具備對(duì)抗動(dòng)態(tài)分析的能力.為了能充分檢測(cè)程序的行為,云防御系統(tǒng)結(jié)合硬件虛擬化技術(shù),在全虛擬化環(huán)境下透明監(jiān)控可疑程序的執(zhí)行,根據(jù)程序執(zhí)行的系統(tǒng)調(diào)用序列判斷程序的安全性.

　　1.3云防御系統(tǒng)總體設(shè)計(jì)

　　云防御系統(tǒng)的客戶端采用輕量級(jí)主機(jī)防御設(shè)計(jì),其功能模塊如圖2所示,客戶端程序分為內(nèi)核層(Ring0)和應(yīng)用層(Ring3)兩個(gè)部分.

　　內(nèi)核層有進(jìn)程監(jiān)控、注冊(cè)表監(jiān)控和文件系統(tǒng)監(jiān)控3個(gè)驅(qū)動(dòng)模塊分別完成進(jìn)程活動(dòng)、注冊(cè)表訪問(wèn)和文件訪問(wèn)的監(jiān)控功能.云防御系統(tǒng)的云端管理程序采用了多線程異步通信的網(wǎng)絡(luò)框架.

　　系統(tǒng)架構(gòu)使得云防御系統(tǒng)能夠?qū)崿F(xiàn)高并發(fā)能力,并具有很強(qiáng)的可擴(kuò)展性.

　　如圖3所示,I/O服務(wù)用來(lái)執(zhí)行實(shí)際的I/O操作,即用TCP/IP讀寫(xiě)網(wǎng)絡(luò)流與客戶端直接交互,客戶端發(fā)送的服務(wù)器請(qǐng)求由I/O服務(wù)接收.I/O服務(wù)接收字節(jié)流后轉(zhuǎn)交給I/O過(guò)濾器處理,I/O過(guò)濾器根據(jù)網(wǎng)絡(luò)通信協(xié)議將字節(jié)流編碼成消息并把消息發(fā)送給I/O控制器處理.I/O控制器根據(jù)消息類型調(diào)用不同的處理模塊,比如消息類型是文件請(qǐng)求時(shí),控制器會(huì)調(diào)用掃描引擎掃描文件.

　　處理程序處理完畢后則經(jīng)過(guò)與此前過(guò)程相反的過(guò)程,I/O控制器將處理程序的結(jié)果以消息的形式發(fā)給I/O過(guò)濾器,I/O過(guò)濾器則將消息解碼為字節(jié)流并轉(zhuǎn)發(fā)給I/O服務(wù),I/O服務(wù)最后將字節(jié)流通過(guò)網(wǎng)絡(luò)返回給客戶端(如圖3).

　　2云防御系統(tǒng)的多引擎檢測(cè)實(shí)現(xiàn)

　　2.1多引擎檢測(cè)的綜合決策

　　證據(jù)理論也被稱為D-S證據(jù)理論,是一種不確定推理方法,用集合來(lái)表示命題,將對(duì)命題的不確定性描述轉(zhuǎn)化為對(duì)集合的不確定性描述,它的主要特點(diǎn)是在證據(jù)中引入不確定性,具有直接表達(dá)“不確定”和“不知道”的能力.

　　當(dāng)各殺毒引擎檢測(cè)結(jié)果不一致時(shí),云防御系統(tǒng)將利用D-S證據(jù)理論進(jìn)行決策,主要描述為:將在由算法計(jì)算得到的可信區(qū)間中選取一個(gè)數(shù)值作為對(duì)命題的最終信度,所有候選命題中信度最高者即為決策結(jié)果.

　　D-S證據(jù)理論的Dempster合成規(guī)則如下:【公式】

　　2.2報(bào)警信息聚類與關(guān)聯(lián)

　　當(dāng)客戶端向服務(wù)器端請(qǐng)求報(bào)警信息時(shí),服務(wù)端從數(shù)據(jù)庫(kù)中讀取最近一段時(shí)間內(nèi)的報(bào)警信息并從中篩選出具有相同源IP地址或目的IP地址的報(bào)警信息集合,以此為數(shù)據(jù)集使用Apriori算法進(jìn)行關(guān)聯(lián)運(yùn)算.

　　利用Apriori算法,挖掘規(guī)則集分為兩步:

　　1)找出報(bào)警信息數(shù)據(jù)集中所有的頻繁項(xiàng)集.把支持度大于最小支持度的minSupport的項(xiàng)集(Itemset)稱為頻繁項(xiàng)集(frequentitemset).可以以迭代的方式找出頻繁集.算法偽代碼如圖4所示.

　　2)挖掘頻繁關(guān)聯(lián)規(guī)則置信度大于給定最小置信度minConf的關(guān)聯(lián)規(guī)則稱為頻繁關(guān)聯(lián)規(guī)則,利用上一步得到的頻繁項(xiàng)集,挖掘出全部的關(guān)聯(lián)規(guī)則,如果該關(guān)聯(lián)規(guī)則的置信度大于或等于最小置信度,則該規(guī)則屬于頻繁關(guān)聯(lián)規(guī)則.

　　通過(guò)Apriori算法處理后的報(bào)警信息剔除了誤報(bào)警,更能反映實(shí)際攻擊的內(nèi)部邏輯關(guān)聯(lián).將這些頻繁關(guān)聯(lián)規(guī)則返回到客戶端,同時(shí)在服務(wù)端由系統(tǒng)管理員分析關(guān)聯(lián)后的報(bào)警信息并做出相應(yīng)決策.

　　2.3基于行為的惡意代碼分析

　　惡意軟件要廣泛傳播必然要調(diào)用Windows系統(tǒng)API,因而其惡意行為可以表現(xiàn)為各種API調(diào)用,最后歸結(jié)為系統(tǒng)調(diào)用.

　　為了保證上述監(jiān)控系統(tǒng)調(diào)用判斷程序的安全性,需要預(yù)先生成威脅規(guī)則庫(kù),對(duì)程序進(jìn)行動(dòng)態(tài)分析時(shí)將程序的系統(tǒng)調(diào)用序列與規(guī)則庫(kù)中的規(guī)則匹配以達(dá)到自動(dòng)化分析的目的.

　　以一個(gè)病毒的典型感染過(guò)程為例,病毒為了實(shí)現(xiàn)感染要實(shí)現(xiàn)以下兩個(gè)功能:

　　1)病毒要隱藏自己.

　　病毒在運(yùn)行時(shí)常常將它真正的程序釋放到系統(tǒng)文件夾中,并且與系統(tǒng)文件名稱類似以避免被刪除,此時(shí)使用的系統(tǒng)API可能為CreateFileA或Move-FileA;

　　2)自動(dòng)運(yùn)行.病毒為了使自己在開(kāi)機(jī)時(shí)隨系統(tǒng)啟動(dòng),會(huì)篡改注冊(cè)表相應(yīng)的表項(xiàng),對(duì)應(yīng)的系統(tǒng)API分別為RegCreateKey,RegSetValue等等.將一個(gè)系統(tǒng)調(diào)用或系統(tǒng)調(diào)用序列定義為一條基本規(guī)則,一條或多條規(guī)則定義為程序的行為.將一條規(guī)則定義為下面的4元組(威脅規(guī)則):{ID,Threat,Syscall_length,Syscall_squence}

　　其中每個(gè)字段的解釋如表1所示.

　　惡意代碼可以使用變形技術(shù)輕易逃避系統(tǒng)規(guī)則的匹配檢測(cè),例如惡意軟件只需將自身的系統(tǒng)調(diào)用順序變換或在原有系統(tǒng)調(diào)用序列中插入無(wú)意義的系統(tǒng)調(diào)用就可以改變自己的系統(tǒng)調(diào)用序列.

　　為此,本系統(tǒng)只關(guān)注程序與安全相關(guān)的特定系統(tǒng)調(diào)用,如表2所示,具體包括讀寫(xiě)文件,讀寫(xiě)注冊(cè)表,網(wǎng)絡(luò)活動(dòng)以及開(kāi)啟或結(jié)束進(jìn)程和服務(wù)的系統(tǒng)調(diào)用,而且在檢測(cè)的時(shí)候,將程序的系統(tǒng)調(diào)用序列也劃分為關(guān)于文件,注冊(cè)表,網(wǎng)絡(luò)及進(jìn)程的相關(guān)系統(tǒng)調(diào)用序列,同一類型的系統(tǒng)調(diào)用序列只在規(guī)則庫(kù)中匹配相同類型的規(guī)則.

　　監(jiān)控程序在可疑程序在虛擬機(jī)中執(zhí)行完畢后,利用其記錄的系統(tǒng)調(diào)用序列完成判定識(shí)別惡意程序的過(guò)程,包括以下幾步:

　　1)將樣本的威脅度賦初值為0;2)從威脅規(guī)則庫(kù)中讀取規(guī)則,如果讀取成功進(jìn)入步驟3),否則進(jìn)入步驟6);3)將程序的系統(tǒng)調(diào)用序列與規(guī)則庫(kù)中的規(guī)則相匹配,只匹配系統(tǒng)調(diào)用,如果匹配成功轉(zhuǎn)到步驟4),否則轉(zhuǎn)到步驟2);4)將系統(tǒng)調(diào)用的參數(shù)與規(guī)則庫(kù)中系統(tǒng)調(diào)用參數(shù)進(jìn)行匹配,如果匹配成功進(jìn)入步驟5),否則進(jìn)入步驟6);5)進(jìn)入本步驟表明程序的系統(tǒng)調(diào)用與規(guī)則庫(kù)中惡意行為在調(diào)用序列和調(diào)用參數(shù)上都匹配,可以判定該程序?yàn)閻阂獬绦?6)如果只存在系統(tǒng)調(diào)用序列的匹配,而系統(tǒng)調(diào)用參數(shù)不能匹配,則將每次匹配的威脅規(guī)則的威脅度累加,若超過(guò)閾值則判定為惡意程序,否則判定該程序?yàn)檎�常程�?

　　3系統(tǒng)測(cè)試及結(jié)果與分析

　　3.1功能測(cè)試

　　客戶端及服務(wù)器端的軟硬件環(huán)境分別如下:

　　1)云防御系統(tǒng)客戶機(jī)的軟件環(huán)境:操作系統(tǒng)WindowsXPSP3,集成開(kāi)發(fā)環(huán)境VS2010并安裝云防御系統(tǒng)的客戶端程序;硬件環(huán)境:CPU為奔騰雙核E5300,主頻2.6GHz,內(nèi)存2GB,硬盤(pán)500GB.

　　2)云防御系統(tǒng)服務(wù)器端的軟件環(huán)境:操作系統(tǒng)為Fedora8,虛擬機(jī)管理器(VMM)Xen3.1,Java運(yùn)行環(huán)境JDK1.6,Tomcat6Web服務(wù)器及MySql5數(shù)據(jù)庫(kù);硬件環(huán)境:CPU為至強(qiáng)(Xeon)8核E5405,主頻2.0GHz,內(nèi)存8GB,硬盤(pán)1TB;虛擬機(jī)軟件環(huán)境:操作系統(tǒng)為WindowsXPSP3,內(nèi)存512MB,JAVA運(yùn)行環(huán)境JDK1.6,并分別安裝A-vast、AVG、金山毒霸和ESET殺毒軟件.

　　在測(cè)試云防御系統(tǒng)的病毒檢測(cè)率時(shí),使用1789個(gè)惡意軟件樣本讓云防御系統(tǒng)的客戶端程序進(jìn)行掃描,耗時(shí)約3h.

　　測(cè)試結(jié)果如表3所示.4種殺毒引擎的單獨(dú)檢測(cè)率分別為88.9%,36.6%,48.9%和76.2%,但是云防御系統(tǒng)的綜合決策算法利用這4種引擎的的檢測(cè)結(jié)果取得了95.6%的檢測(cè)率.

　　云防御系統(tǒng)的病毒平均檢測(cè)時(shí)間達(dá)到11s,這是由于綜合決策等待所有引擎檢測(cè)完畢后才開(kāi)始運(yùn)算.

　　可利用改進(jìn)的策略進(jìn)行決策,如系統(tǒng)可以先接受Avast的檢測(cè)結(jié)果作為臨時(shí)的檢測(cè)結(jié)果,然后等待其他引擎檢測(cè)完畢再進(jìn)行綜合決策,由于Avast的檢測(cè)率較高,這樣使平均檢測(cè)時(shí)間可以大大縮短而對(duì)檢測(cè)結(jié)果沒(méi)有太大影響.

　　3.2性能測(cè)試

　　對(duì)網(wǎng)絡(luò)延時(shí)進(jìn)行的測(cè)試結(jié)果如表4所示.

　　其中,首次提交響應(yīng)時(shí)間是指云端沒(méi)有現(xiàn)成的病毒樣本,從本地上傳文件并檢測(cè)出結(jié)果所需的時(shí)間.傳輸時(shí)間是指客戶端與云端通信傳輸病毒樣本所需的時(shí)間.首次提交響應(yīng)時(shí)間包括傳輸時(shí)間和云端掃描響應(yīng)時(shí)間.命中時(shí)間是指云端有現(xiàn)成的樣本時(shí),通過(guò)上傳文件MD5值來(lái)判斷可疑文件所需的時(shí)間,由于在云端數(shù)據(jù)庫(kù)中已有保存,查詢時(shí)間很短.

　　在大規(guī)模應(yīng)用的環(huán)境下,由于云端數(shù)據(jù)庫(kù)中保存有大量的樣本MD5值及其掃描結(jié)果,而各個(gè)系統(tǒng)的常用軟件基本類似,因而在實(shí)際使用中,掃描命中的概率可高達(dá)90%以上,不會(huì)影響用戶正常使用程序.

　　為了測(cè)試云防御系統(tǒng)整體性能(見(jiàn)表5),本文使用標(biāo)準(zhǔn)測(cè)試集PCMark05,并選取與CPU和內(nèi)存相關(guān)的10項(xiàng)測(cè)試作為基準(zhǔn),以原生操作系統(tǒng)作為對(duì)比參考,運(yùn)行了云防御系統(tǒng)的PCMark05,測(cè)試結(jié)果如表5所示,相比于原生操作系統(tǒng),云防御系統(tǒng)系統(tǒng)在其中8項(xiàng)測(cè)試中的性能損耗都低于1%,PC-Mark05測(cè)試結(jié)果顯示云防御系統(tǒng)客戶端整體性能表現(xiàn)較好.

　　4結(jié)論

　　本文在基于云的主動(dòng)安全防御上做了初步的探索和嘗試,將客戶端的主動(dòng)防御技術(shù)與云端安全檢測(cè)相結(jié)合,為用戶提供了更全面的安全防御.在服務(wù)器端使用多個(gè)反病毒引擎獨(dú)立檢測(cè)上傳的文件,并采用D-S證據(jù)理論決策算法進(jìn)行綜合決策,提高了云防御中多引擎的綜合檢測(cè)率.

【基于云安全的主動(dòng)防御系統(tǒng)多引擎檢測(cè)設(shè)計(jì)】相關(guān)文章：

新時(shí)期信息安全主動(dòng)防御系統(tǒng)研究論文08-30

基于GIS的多源地學(xué)信息系統(tǒng)設(shè)計(jì)09-03

基于PIC單片機(jī)的氣壓檢測(cè)顯示系統(tǒng)設(shè)計(jì)08-15

基于VxWorks的多DSP系統(tǒng)的多任務(wù)程序設(shè)計(jì)10-22

校園網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)10-17

基于ASP.NET的計(jì)算機(jī)安全檢測(cè)系統(tǒng)10-25

基于ZIGBEE技術(shù)的輪胎壓力檢測(cè)系統(tǒng)07-28

基于DSP的視頻檢測(cè)和遠(yuǎn)程控制系統(tǒng)設(shè)計(jì)07-16

基于云計(jì)算的電力信息系統(tǒng)數(shù)據(jù)安全技術(shù)探討07-04