2021年基于云安全的主动防御系统多引擎检测设计(20210210173841)

基于云安全的主动防御系统多引擎检测设计特征码扫描首先由反病毒厂商获取病毒样木，再提取样木PE文件的关键特征，以下是搜集的一篇探究云防御系统多引擎检测设计的, 供大家阅读查看。

互联网为恶意软件提供了多样化的传播途径.为了防范恶意软件威胁，反病毒软件是最常用的解决方案.然而反病毒软件广泛使用的基于特征码的恶意软件检测技术无法应对病毒呈现爆炸式增长背景下的安全威胁.

当前,安全防御研究的趋势是利用云计算技术的强大数据处理与存储能力，提升安全服务.

例如,CloudAV通过在云端部署多个反病毒引擎为客户端上传的文件进行扫描，将传统的反病毒转变成对客户端的云安全服务，但CloudAV对10个反病毒引擎独立检测的结果采用了最严格的决策，使得系统的误报率较高.Ether实现了以透明及外部的方式进行恶意代码分析的平台.Ether系统的透明性使它具有很强的脱壳分析能力，此外,它还能有效抵御绝大部分反虚拟机(anti-W)检测攻击.

但Ether的细粒度检测方式使其性能开销较高.CWSandbox构造了一个自动化的基于行为的恶意代码分析工具,提供细粒度且较完整的监

控.Lorenzo等人提岀了一种基于行为的恶意代码云端分析框架. 它允许云

端分析与用户端相配合共同完成恶意代码的行为分析工作. 然而，这种方式的分析对用户使用干扰较多，不适于恶意软件实时防御，且恶意软件可能会逃避这种行为分析.

本文所提出基于云安全的主动防御系统主要包扌舌在云端使用多个杀毒引擎独立对上传的文件进行检测，并对各杀毒引擎产生的结果进行综合决策.

同时，结合硬件虚拟化技术,在云端构建基于系统调用序列的恶意代码分析平台.

1. 1常用病毒检测技术

特征码扫描首先由反病毒厂商获取病毒样本，再提取样木PE文件的关键特征，一般是程序的关键性指令集合即一串二进制位信息作为特征码.将特征码保存到特征库后，反病毒软件扫描文件时用特征码比对被扫描的程序来辨别该文件是否存在恶意代码.启发式扫描技术利用病毒的一般行为特征和结构特征判断文件是否包含恶意代码.

例如，病毒典型行为包括访问系统引导扇区、对EXE文件执行写操作或未提醒删除硬盘上数据等。主动防御技术使用基于主机的入侵防御系统(host-basedintrusionpreventionsystem, HIPS)完成程序行为的拦截

和记录.用户通过制定规则(rule)控制操作系统中本地程序的执行、对表的访问和对文件系统的访问.

如果程序执行时触发了既定的规则,HIPS会根据规则库释放并清除病毒，当规则库无法识别病毒时会采用联机检测或人工鉴定，同时将新病毒添加到病毒库.

1.2云防御系统多引擎检测设计思想

云防御系统包括客户端和云服务两个组成部分，如图1所示.云防御系统客户端是轻量级的主机防御程序，负责获取本机文件及报警信息并上传给云端检测.云端则包括云端管理、反病毒引擎

(Avg, Avast, Duba和ESET4种)、分析引擎和黑白___ 库4个模块.其中，云端管理作为云服务的前端模块与客户端直接通信并调用和管理其他模块，反病毒引擎和分析引擎对客户端上传的文件进行扫描和行为分析，黑白—库存储已被检测过的文件的MD5值及其安全性.云防御系统可以处理常规文件扫描，文件恶意代码分析和网络报警信息.

其研究内容主要包括以下两个方而.

1)由于单个引擎对可疑文件进行检测的检出率不高，云防御系统采用多个不同类型检测引擎进行独立检测.但是，当多种检测引擎对单个可疑

文件进行检测时，相互之间得到的结果可能不一致，因此在这种情况下需要对各个检测结果进行综合决策.云防御系统利用D-S证据理论(D-Sevidentialtheo-ry)对4个独立的检测结果进行综合决策，当综合决策的结果超过预定阈值时认定为恶意程序，而低于该阈值时则认为是正常文件.

2)云端对反病毒引擎不能检出的可疑文件进行基于行为的动态分析.很多恶意程序能够检测是否在虚拟环境或调试状态下被执行，从而具备对抗动态分析的能力.为了能充分检测程序的行为,云防御系统结合硬件虚拟化技术,在全虚拟化环境下透明监控可疑程序的执行，根据程序执行的系统调用序列判断程序的安全性.

1. 3云防御系统总体设计

云防御系统的客户端采用轻量级主机防御设计,其功能模块如图2所示，客户端程序分为内核层(RingO)和应用层(Ring3)两个部分.

内核层有进程监控、表监控和文件系统监控3个驱动模块分别完成进程活动、表访问和文件访问的监控功能.云防御系统的云端管理程序采用了多线程异步通信的网络框架.

系统架构使得云防御系统能够实现高并发能力，并具有很强的可扩展

性.

如图3所示,I/O服务用来执行实际的I/O操作，即用TCP/IP读写网络流与客户端直接交互，客户端发送的服务器请求由I/O服务接收.I/O 服务接收字节流后转交给I/O过滤器处理,I/O过滤器根据网络通信协议将字节流编码成消息并把消息发送给I/O控制器处理.I/O控制器根据消息类型调用不同的处理模块，比如消息类型是文件请求时,控制器会调用扫描引擎扫描文件.

处理程序处理完毕后则经过与此前过程相反的过程,I/O控制器将处理程序的结果以消息的形式发给I/O过滤器,I/O过滤器则将消息解码为字节流并转发给I/O服务,I/O服务最后将字节流通过网络返回给客户端（如图3）.

2.1多引擎检测的综合决策

证据理论也被称为D-S证据理论，是一种不确定推理方法，用集合来表示命题，将对命题的不确定性描述转化为对集合的不确定性描述，它的主要特点是在证据中引入不确定性，具有直接表达“不确定” 和“不知道”的能力.

当各杀毒引擎检测结果不一致时，云防御系统将利用D-S证据理论

进行决策，主要描述为:将在由算法计算得到的可信区间中选取一个数值作为对命题的最终信度,所有候选命题中信度最高者即为决策结果.

D-S证据理论的Dempster合成规则如下：【公式】

2. 2报警信息聚类与关联

当客户端向服务器端请求报警信息时，服务端从数据库中读取最近一段时间内的报警信息并从中筛选出具有相同源IP地址或目的IP地址的报警信息集合，以此为数据集使用Apriori算法进行关联运算.

利用Apriori算法，挖掘规则集分为两步:

1)找岀报警信息数据集中所有的频繁项集.把支持度大于最小支持度的minSupport的项集(Itemset)称为频繁项集(frequentitemset).可以以迭代的方式找出频繁集.算法伪代码如图4所示.

2)挖掘频繁关联规则置信度大于给定最小置信度minConf的关联规则称为频繁关联规则,利用上一步得到的频繁项集，挖掘出全部的关联规则，如果该关联规则的置信度大于或等于最小置信度，则该规则属于频繁关联规则.