基于云安全的主動(dòng)防御系統多引擎檢測設計

　　特征碼掃描首先由反病毒廠(chǎng)商獲取病毒樣本，再提取樣本PE文件的關(guān)鍵特征，以下是小編搜集整理的一篇探究云防御系統多引擎檢測設計的論文范文，供大家閱讀查看。

　　引言

　　互聯(lián)網(wǎng)為惡意軟件提供了多樣化的傳播途徑.為了防范惡意軟件威脅,反病毒軟件是最常用的解決方案.然而反病毒軟件廣泛使用的基于特征碼的惡意軟件檢測技術(shù)無(wú)法應對病毒呈現爆炸式增長(cháng)背景下的安全威脅.

　　當前,安全防御研究的趨勢是利用云計算技術(shù)的強大數據處理與存儲能力,提升安全服務(wù).

　　例如,CloudAV通過(guò)在云端部署多個(gè)反病毒引擎為客戶(hù)端上傳的文件進(jìn)行掃描,將傳統的反病毒轉變成對客戶(hù)端的云安全服務(wù),但CloudAV對10個(gè)反病毒引擎獨立檢測的結果采用了最嚴格的決策,使得系統的誤報率較高.Ether實(shí)現了以透明及外部的方式進(jìn)行惡意代碼分析的平臺.Ether系統的透明性使它具有很強的脫殼分析能力,此外,它還能有效抵御絕大部分反虛擬機(anti-VM)檢測攻擊.

　　但Ether的細粒度檢測方式使其性能開(kāi)銷(xiāo)較高.CWSandbox構造了一個(gè)自動(dòng)化的基于行為的惡意代碼分析工具,提供細粒度且較完整的監控.Lorenzo等人提出了一種基于行為的惡意代碼云端分析框架.它允許云端分析與用戶(hù)端相配合共同完成惡意代碼的行為分析工作.然而,這種方式的分析對用戶(hù)使用干擾較多,不適于惡意軟件實(shí)時(shí)防御,且惡意軟件可能會(huì )逃避這種行為分析.

　　本文所提出基于云安全的主動(dòng)防御系統主要包括在云端使用多個(gè)殺毒引擎獨立對上傳的文件進(jìn)行檢測,并對各殺毒引擎產(chǎn)生的結果進(jìn)行綜合決策.

　　同時(shí),結合硬件虛擬化技術(shù),在云端構建基于系統調用序列的惡意代碼分析平臺.

　　1云防御系統的多引擎檢測設計

　　1.1常用病毒檢測技術(shù)

　　特征碼掃描首先由反病毒廠(chǎng)商獲取病毒樣本,再提取樣本PE文件的關(guān)鍵特征,一般是程序的關(guān)鍵性指令集合即一串二進(jìn)制位信息作為特征碼.將特征碼保存到特征庫發(fā)布后,反病毒軟件掃描文件時(shí)用特征碼比對被掃描的程序來(lái)辨別該文件是否存在惡意代碼.啟發(fā)式掃描技術(shù)利用病毒的一般行為特征和結構特征判斷文件是否包含惡意代碼.

　　例如,病毒典型行為包括訪(fǎng)問(wèn)系統引導扇區、對EXE文件執行寫(xiě)操作或未提醒刪除硬盤(pán)上數據等。主動(dòng)防御技術(shù)使用基于主機的入侵防御系統(host-basedintrusionpreventionsystem,HIPS)完成程序行為的攔截和記錄.用戶(hù)通過(guò)制定規則(rule)控制操作系統中本地程序的執行、對注冊表的訪(fǎng)問(wèn)和對文件系統的訪(fǎng)問(wèn).

　　如果未知程序執行時(shí)觸發(fā)了既定的規則,HIPS會(huì )根據規則庫釋放并清除病毒,當規則庫無(wú)法識別病毒時(shí)會(huì )采用聯(lián)機檢測或人工鑒定,同時(shí)將新病毒添加到病毒庫.

　　1.2云防御系統多引擎檢測設計思想

　　云防御系統包括客戶(hù)端和云服務(wù)兩個(gè)組成部分,如圖1所示.云防御系統客戶(hù)端是輕量級的主機防御程序,負責獲取本機文件及報警信息并上傳給云端檢測.云端則包括云端管理、反病毒引擎(Avg,Avast,Duba和ESET4種)、分析引擎和黑白名單庫4個(gè)模塊.其中,云端管理作為云服務(wù)的前端模塊與客戶(hù)端直接通信并調用和管理其他模塊,反病毒引擎和分析引擎對客戶(hù)端上傳的文件進(jìn)行掃描和行為分析,黑白名單庫存儲已被檢測過(guò)的文件的MD5值及其安全性.云防御系統可以處理常規文件掃描,文件惡意代碼分析和網(wǎng)絡(luò )報警信息.

　　其研究?jì)热葜饕�包括以下兩個(gè)方面.

　　1)由于單個(gè)引擎對可疑文件進(jìn)行檢測的檢出率不高,云防御系統采用多個(gè)不同類(lèi)型檢測引擎進(jìn)行獨立檢測.但是,當多種檢測引擎對單個(gè)可疑文件進(jìn)行檢測時(shí),相互之間得到的結果可能不一致,因此在這種情況下需要對各個(gè)檢測結果進(jìn)行綜合決策.云防御系統利用D-S證據理論(D-Sevidentialtheo-ry)對4個(gè)獨立的檢測結果進(jìn)行綜合決策,當綜合決策的結果超過(guò)預定閾值時(shí)認定為惡意程序,而低于該閾值時(shí)則認為是正常文件.

　　2)云端對反病毒引擎不能檢出的可疑文件進(jìn)行基于行為的動(dòng)態(tài)分析.很多惡意程序能夠檢測是否在虛擬環(huán)境或調試狀態(tài)下被執行,從而具備對抗動(dòng)態(tài)分析的能力.為了能充分檢測程序的行為,云防御系統結合硬件虛擬化技術(shù),在全虛擬化環(huán)境下透明監控可疑程序的執行,根據程序執行的系統調用序列判斷程序的安全性.

　　1.3云防御系統總體設計

　　云防御系統的客戶(hù)端采用輕量級主機防御設計,其功能模塊如圖2所示,客戶(hù)端程序分為內核層(Ring0)和應用層(Ring3)兩個(gè)部分.

　　內核層有進(jìn)程監控、注冊表監控和文件系統監控3個(gè)驅動(dòng)模塊分別完成進(jìn)程活動(dòng)、注冊表訪(fǎng)問(wèn)和文件訪(fǎng)問(wèn)的監控功能.云防御系統的云端管理程序采用了多線(xiàn)程異步通信的網(wǎng)絡(luò )框架.

　　系統架構使得云防御系統能夠實(shí)現高并發(fā)能力,并具有很強的可擴展性.

　　如圖3所示,I/O服務(wù)用來(lái)執行實(shí)際的I/O操作,即用TCP/IP讀寫(xiě)網(wǎng)絡(luò )流與客戶(hù)端直接交互,客戶(hù)端發(fā)送的服務(wù)器請求由I/O服務(wù)接收.I/O服務(wù)接收字節流后轉交給I/O過(guò)濾器處理,I/O過(guò)濾器根據網(wǎng)絡(luò )通信協(xié)議將字節流編碼成消息并把消息發(fā)送給I/O控制器處理.I/O控制器根據消息類(lèi)型調用不同的處理模塊,比如消息類(lèi)型是文件請求時(shí),控制器會(huì )調用掃描引擎掃描文件.

　　處理程序處理完畢后則經(jīng)過(guò)與此前過(guò)程相反的過(guò)程,I/O控制器將處理程序的結果以消息的形式發(fā)給I/O過(guò)濾器,I/O過(guò)濾器則將消息解碼為字節流并轉發(fā)給I/O服務(wù),I/O服務(wù)最后將字節流通過(guò)網(wǎng)絡(luò )返回給客戶(hù)端(如圖3).

　　2云防御系統的多引擎檢測實(shí)現

　　2.1多引擎檢測的綜合決策

　　證據理論也被稱(chēng)為D-S證據理論,是一種不確定推理方法,用集合來(lái)表示命題,將對命題的不確定性描述轉化為對集合的不確定性描述,它的主要特點(diǎn)是在證據中引入不確定性,具有直接表達“不確定”和“不知道”的能力.

　　當各殺毒引擎檢測結果不一致時(shí),云防御系統將利用D-S證據理論進(jìn)行決策,主要描述為:將在由算法計算得到的可信區間中選取一個(gè)數值作為對命題的最終信度,所有候選命題中信度最高者即為決策結果.

　　D-S證據理論的Dempster合成規則如下:【公式】

　　2.2報警信息聚類(lèi)與關(guān)聯(lián)

　　當客戶(hù)端向服務(wù)器端請求報警信息時(shí),服務(wù)端從數據庫中讀取最近一段時(shí)間內的報警信息并從中篩選出具有相同源IP地址或目的IP地址的報警信息集合,以此為數據集使用Apriori算法進(jìn)行關(guān)聯(lián)運算.

　　利用Apriori算法,挖掘規則集分為兩步:

　　1)找出報警信息數據集中所有的頻繁項集.把支持度大于最小支持度的minSupport的項集(Itemset)稱(chēng)為頻繁項集(frequentitemset).可以以迭代的方式找出頻繁集.算法偽代碼如圖4所示.

　　2)挖掘頻繁關(guān)聯(lián)規則置信度大于給定最小置信度minConf的關(guān)聯(lián)規則稱(chēng)為頻繁關(guān)聯(lián)規則,利用上一步得到的頻繁項集,挖掘出全部的關(guān)聯(lián)規則,如果該關(guān)聯(lián)規則的置信度大于或等于最小置信度,則該規則屬于頻繁關(guān)聯(lián)規則.

　　通過(guò)Apriori算法處理后的報警信息剔除了誤報警,更能反映實(shí)際攻擊的內部邏輯關(guān)聯(lián).將這些頻繁關(guān)聯(lián)規則返回到客戶(hù)端,同時(shí)在服務(wù)端由系統管理員分析關(guān)聯(lián)后的報警信息并做出相應決策.

　　2.3基于行為的惡意代碼分析

　　惡意軟件要廣泛傳播必然要調用Windows系統API,因而其惡意行為可以表現為各種API調用,最后歸結為系統調用.

　　為了保證上述監控系統調用判斷程序的安全性,需要預先生成威脅規則庫,對程序進(jìn)行動(dòng)態(tài)分析時(shí)將程序的系統調用序列與規則庫中的規則匹配以達到自動(dòng)化分析的目的.

　　以一個(gè)病毒的典型感染過(guò)程為例,病毒為了實(shí)現感染要實(shí)現以下兩個(gè)功能:

　　1)病毒要隱藏自己.

　　病毒在運行時(shí)常常將它真正的程序釋放到系統文件夾中,并且與系統文件名稱(chēng)類(lèi)似以避免被刪除,此時(shí)使用的系統API可能為CreateFileA或Move-FileA;

　　2)自動(dòng)運行.病毒為了使自己在開(kāi)機時(shí)隨系統啟動(dòng),會(huì )篡改注冊表相應的表項,對應的系統API分別為RegCreateKey,RegSetValue等等.將一個(gè)系統調用或系統調用序列定義為一條基本規則,一條或多條規則定義為程序的行為.將一條規則定義為下面的4元組(威脅規則):{ID,Threat,Syscall_length,Syscall_squence}

　　其中每個(gè)字段的解釋如表1所示.

　　惡意代碼可以使用變形技術(shù)輕易逃避系統規則的匹配檢測,例如惡意軟件只需將自身的系統調用順序變換或在原有系統調用序列中插入無(wú)意義的系統調用就可以改變自己的系統調用序列.

　　為此,本系統只關(guān)注程序與安全相關(guān)的特定系統調用,如表2所示,具體包括讀寫(xiě)文件,讀寫(xiě)注冊表,網(wǎng)絡(luò )活動(dòng)以及開(kāi)啟或結束進(jìn)程和服務(wù)的系統調用,而且在檢測的時(shí)候,將程序的系統調用序列也劃分為關(guān)于文件,注冊表,網(wǎng)絡(luò )及進(jìn)程的相關(guān)系統調用序列,同一類(lèi)型的系統調用序列只在規則庫中匹配相同類(lèi)型的規則.

　　監控程序在可疑程序在虛擬機中執行完畢后,利用其記錄的系統調用序列完成判定識別惡意程序的過(guò)程,包括以下幾步:

　　1)將樣本的威脅度賦初值為0;2)從威脅規則庫中讀取規則,如果讀取成功進(jìn)入步驟3),否則進(jìn)入步驟6);3)將程序的系統調用序列與規則庫中的規則相匹配,只匹配系統調用,如果匹配成功轉到步驟4),否則轉到步驟2);4)將系統調用的參數與規則庫中系統調用參數進(jìn)行匹配,如果匹配成功進(jìn)入步驟5),否則進(jìn)入步驟6);5)進(jìn)入本步驟表明程序的系統調用與規則庫中惡意行為在調用序列和調用參數上都匹配,可以判定該程序為惡意程序;6)如果只存在系統調用序列的匹配,而系統調用參數不能匹配,則將每次匹配的威脅規則的威脅度累加,若超過(guò)閾值則判定為惡意程序,否則判定該程序為正常程序.

　　3系統測試及結果與分析

　　3.1功能測試

　　客戶(hù)端及服務(wù)器端的軟硬件環(huán)境分別如下:

　　1)云防御系統客戶(hù)機的軟件環(huán)境:操作系統WindowsXPSP3,集成開(kāi)發(fā)環(huán)境VS2010并安裝云防御系統的客戶(hù)端程序;硬件環(huán)境:CPU為奔騰雙核E5300,主頻2.6GHz,內存2GB,硬盤(pán)500GB.

　　2)云防御系統服務(wù)器端的軟件環(huán)境:操作系統為Fedora8,虛擬機管理器(VMM)Xen3.1,Java運行環(huán)境JDK1.6,Tomcat6Web服務(wù)器及MySql5數據庫;硬件環(huán)境:CPU為至強(Xeon)8核E5405,主頻2.0GHz,內存8GB,硬盤(pán)1TB;虛擬機軟件環(huán)境:操作系統為WindowsXPSP3,內存512MB,JAVA運行環(huán)境JDK1.6,并分別安裝A-vast、AVG、金山毒霸和ESET殺毒軟件.

　　在測試云防御系統的病毒檢測率時(shí),使用1789個(gè)惡意軟件樣本讓云防御系統的客戶(hù)端程序進(jìn)行掃描,耗時(shí)約3h.

　　測試結果如表3所示.4種殺毒引擎的單獨檢測率分別為88.9%,36.6%,48.9%和76.2%,但是云防御系統的綜合決策算法利用這4種引擎的的檢測結果取得了95.6%的檢測率.

　　云防御系統的病毒平均檢測時(shí)間達到11s,這是由于綜合決策等待所有引擎檢測完畢后才開(kāi)始運算.

　　可利用改進(jìn)的策略進(jìn)行決策,如系統可以先接受Avast的檢測結果作為臨時(shí)的檢測結果,然后等待其他引擎檢測完畢再進(jìn)行綜合決策,由于A(yíng)vast的檢測率較高,這樣使平均檢測時(shí)間可以大大縮短而對檢測結果沒(méi)有太大影響.

　　3.2性能測試

　　對網(wǎng)絡(luò )延時(shí)進(jìn)行的測試結果如表4所示.

　　其中,首次提交響應時(shí)間是指云端沒(méi)有現成的病毒樣本,從本地上傳文件并檢測出結果所需的時(shí)間.傳輸時(shí)間是指客戶(hù)端與云端通信傳輸病毒樣本所需的時(shí)間.首次提交響應時(shí)間包括傳輸時(shí)間和云端掃描響應時(shí)間.命中時(shí)間是指云端有現成的樣本時(shí),通過(guò)上傳文件MD5值來(lái)判斷可疑文件所需的時(shí)間,由于在云端數據庫中已有保存,查詢(xún)時(shí)間很短.

　　在大規模應用的環(huán)境下,由于云端數據庫中保存有大量的樣本MD5值及其掃描結果,而各個(gè)系統的常用軟件基本類(lèi)似,因而在實(shí)際使用中,掃描命中的概率可高達90%以上,不會(huì )影響用戶(hù)正常使用程序.

　　為了測試云防御系統整體性能(見(jiàn)表5),本文使用標準測試集PCMark05,并選取與CPU和內存相關(guān)的10項測試作為基準,以原生操作系統作為對比參考,運行了云防御系統的PCMark05,測試結果如表5所示,相比于原生操作系統,云防御系統系統在其中8項測試中的性能損耗都低于1%,PC-Mark05測試結果顯示云防御系統客戶(hù)端整體性能表現較好.

　　4結論

　　本文在基于云的主動(dòng)安全防御上做了初步的探索和嘗試,將客戶(hù)端的主動(dòng)防御技術(shù)與云端安全檢測相結合,為用戶(hù)提供了更全面的安全防御.在服務(wù)器端使用多個(gè)反病毒引擎獨立檢測上傳的文件,并采用D-S證據理論決策算法進(jìn)行綜合決策,提高了云防御中多引擎的綜合檢測率.

【基于云安全的主動(dòng)防御系統多引擎檢測設計】相關(guān)文章：

新時(shí)期信息安全主動(dòng)防御系統研究論文08-30

基于GIS的多源地學(xué)信息系統設計09-03

基于PIC單片機的氣壓檢測顯示系統設計08-15

基于VxWorks的多DSP系統的多任務(wù)程序設計10-22

校園網(wǎng)絡(luò )安全防御系統的設計與實(shí)現10-17

基于A(yíng)SP.NET的計算機安全檢測系統10-25

基于ZIGBEE技術(shù)的輪胎壓力檢測系統07-28

基于DSP的視頻檢測和遠程控制系統設計07-16

基于云計算的電力信息系統數據安全技術(shù)探討07-04