资源描述:
《基于云安全的主动防御系统多引擎检测设计》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、基于云安全的主动防御系统多引擎检测设计 引言 互联X为恶意软件提供了多样化的传播途径.为了防范恶意软件威胁,反病毒软件是最常用的解决方案.然而反病毒软件广泛使用的基于特征码的恶意软件检测技术无法应对病毒呈现爆炸式增长背景下的安全威胁. 当前,安全防御研究的趋势是利用云计算技术的强大数据处理与存储能力,提升安全服务. 例如,CloudAV通过在云端部署多个反病毒引擎为客户端上传的文件进行扫描,将传统的反病毒转变成对客户端的云安全服务,但CloudAV对10个反病毒引擎独立检测的结果采用了最严格
2、的决策,使得系统的误报率较高.Ether实现了以透明及外部的方式进行恶意代码分析的平台.Ether系统的透明性使它具有很强的脱壳分析能力,此外,它还能有效抵御绝大部分反虚拟机(anti-VM)检测攻击. 但Ether的细粒度检测方式使其性能开销较高.CD5值及其安全性.云防御系统可以处理常规文件扫描,文件恶意代码分析和X络报警信息. 其研究内容主要包括以下两个方面. 1)由于单个引擎对可疑文件进行检测的检出率不高,云防御系统采用多个不同类型检测引擎进行独立检测.但是,当多种检测引擎对单个可疑文
3、件进行检测时,相互之间得到的结果可能不一致,因此在这种情况下需要对各个检测结果进行综合决策.云防御系统利用D-S证据理论(D-Sevidentialtheo-ry)对4个独立的检测结果进行综合决策,当综合决策的结果超过预定阈值时认定为恶意程序,而低于该阈值时则认为是正常文件. 2)云端对反病毒引擎不能检出的可疑文件进行基于行为的动态分析.很多恶意程序能够检测是否在虚拟环境或调试状态下被执行,从而具备对抗动态分析的能力.为了能充分检测程序的行为,云防御系统结合硬件虚拟化技术,在全虚拟化环境下透明监控
4、可疑程序的执行,根据程序执行的系统调用序列判断程序的安全性. 1.3云防御系统总体设计 云防御系统的客户端采用轻量级主机防御设计,其功能模块如图2所示,客户端程序分为内核层(Ring0)和应用层(Ring3)两个部分. 内核层有进程监控、注册表监控和文件系统监控3个驱动模块分别完成进程活动、注册表访问和文件访问的监控功能.云防御系统的云端管理程序采用了多线程异步通信的X络框架. 系统架构使得云防御系统能够实现高并发能力,并具有很强的可扩展性. 如图3所示,I/O服务用来执行实际的I/O
5、操作,即用TCP/IP读写X络流与客户端直接交互,客户端发送的服务器请求由I/O服务接收.I/O服务接收字节流后转交给I/O过滤器处理,I/O过滤器根据X络通信协议将字节流编码成消息并把消息发送给I/O控制器处理.I/O控制器根据消息类型调用不同的处理模块,比如消息类型是文件请求时,控制器会调用扫描引擎扫描文件. 处理程序处理完毕后则经过与此前过程相反的过程,I/O控制器将处理程序的结果以消息的形式发给I/O过滤器,I/O过滤器则将消息解码为字节流并转发给I/O服务,I/O服务最后将字节流通过X络
6、返回给客户端(如图3). 2云防御系统的多引擎检测实现 2.1多引擎检测的综合决策 证据理论也被称为D-S证据理论,是一种不确定推理方法,用集合来表示命题,将对命题的不确定性描述转化为对集合的不确定性描述,它的主要特点是在证据中引入不确定性,具有直接表达不确定和不知道的能力. 当各杀毒引擎检测结果不一致时,云防御系统将利用D-S证据理论进行决策,主要描述为:将在由算法计算得到的可信区间中选取一个数值作为对命题的最终信度,所有候选命题中信度最高者即为决策结果. D-S证据理论的Demps
7、ter合成规则如下:【公式】 2.2报警信息聚类与关联 当客户端向服务器端请求报警信息时,服务端从数据库中读取最近一段时间内的报警信息并从中筛选出具有相同源IP地址或目的IP地址的报警信息集合,以此为数据集使用Apriori算法进行关联运算. 利用Apriori算法,挖掘规则集分为两步: 1)找出报警信息数据集中所有的频繁项集.把支持度大于最小支持度的minSupport的项集(Itemset)称为频繁项集(frequentitemset).可以以迭代的方式找出频繁集.算法伪代码如图4所
8、示. 2)挖掘频繁关联规则置信度大于给定最小置信度minConf的关联规则称为频繁关联规则,利用上一步得到的频繁项集,挖掘出全部的关联规则,如果该关联规则的置信度大于或等于最小置信度,则该规则属于频繁关联规则. 通过Apriori算法处理后的报警信息剔除了误报警,更能反映实际攻击的内部逻辑关联.将这些频繁关联规则返回到客户端,同时在服务端由系统管理员分析关联后的报警信息并做出相应决策. 2.3基于行为的恶意代码分析 恶意软件要广泛传播必然要调用ySql5数据库
