伦理网站_欧美gvfreevideosxxxx_男女激烈动图_国产精品白浆在线播放

物聯網安全:攻擊防護

對于目前層出不窮的惡意軟件攻擊,需要采用多種策略來提高系統的安全性。本文結合幾個案例對攻擊防護的相關內容進行介紹。


1、防火墻


防火墻是眾多安全設備中的一種,是一種簡單有效的防護方式。防火墻的應用存在兩個矛盾:一個是安全和方便的矛盾,另一個是效果與效能的矛盾。前者是指安全必然會帶來過程的繁瑣、造成使用的不便,后者是指想要達到更好的安全防護效果就需要消耗更多的資源。在設計合理可用的防火墻時往往需要考慮上述矛盾,并根據要求進行權衡。


防火墻的提出和實現最早可以追溯到20世紀80年代。研究人員采用包過濾(Packet Filter)技術先后推出了電路層防火墻和應用層防火墻,開發了基于動態包過濾技術的第4代防火墻和基于自適應代理技術的防火墻。防火墻有其簡單的核心原理和運行機制,以確保有效性。下面介紹防火墻的基本原理、分類、技術架構等問題。


(1)防火墻的基本原理


防火墻是可以對計算機或網絡訪問進行控制的一組軟件或硬件設備,也可以是固件。防火墻將網絡分為內部網絡和外部網絡兩部分,而其自身就是這兩個部分之間的一道屏障。一般認為防火墻就是隔離在內部網絡和外部網絡之間的一道執行控制策略的防御系統。如圖1所示,防火墻是一種形象的說法,其科學本質是建立在內部網絡和外部網絡之間的一個安全網關。

圖片.png

防火墻的核心原理是:分析出入的數據包,決定放行還是攔截,只允許符合安全設置的數據通過。從這一點來看,防火墻實質上是一種隔離控制技術,是在不安全的網絡環境下構造一種相對安全的內部網絡環境,它既是一個分析器,又是一個限制器。


防火墻的必要性和有效性的基本假設是:外部存在潛在的安全威脅,內部絕對安全;內外互通的數據全部流經防火墻。


防火墻的作用是通過訪問控制來保證網絡安全,具體包括端口管理、攻擊過濾、特殊站點管理等。防火墻的具體作用如下。


1)強化安全策略,過濾掉不安全的服務和非法用戶,即過濾進、出網絡的數據,管理進、出網絡的訪問行為,拒絕發往或者來自所選網點的請求通過防火墻。


2)監視網絡的安全性,并報警。


3)利用網絡地址轉換技術,將有限的動態地址或靜態地址與內部的地址對應起來,以緩解地址空間短缺的問題。


4)防火墻是進出信息都必須通過的關口,適合收集關于系統和網絡使用和誤用的信息。利用此關口,防火墻能在網絡之間進行信息記錄,其是審計和記錄使用費用的一個最佳地點。網絡管理員可以在此提供連接的費用情況,查出潛在的帶寬瓶頸位置,并能夠依據本機構的核算模式提供部門級的計費。


5)防火墻可以連接到一個單獨的網絡上,在物理上與內部網絡隔開,并部署服務器以作為向外部發布內部信息的地點。


防火墻一般由服務訪問規則、驗證工具、包過濾、應用網關4個部分構成,微觀上可以存在于路由器、服務器、PC端等多種設備中,宏觀上部署在兩個網絡環境之間,如內部網絡和外部網絡之間、專用網絡和公共網絡之間等。


防火墻在運行時原理上可選的安全認證策略有3種:一種是肯定的,認為只有被允許的訪問才可以放行,這可能會造成對安全訪問行為的誤殺;另一種是否定的,認為只有被禁止的訪問才是不被允許的,這可能會導致未知的不安全訪問發生;還有一種是以上兩種策略的協調,即動態制定允許訪問與禁止訪問的條件。


(2)防火墻的分類


防火墻的實現有多種類型,基于其核心思想,根據分析數據的不同和安全防護機制的不同,其可以劃分為3種基本類型,基于這些基本類型可以構建復合類型。各類型的防火墻介紹如下。


1)包過濾型防火墻


包過濾型防火墻工作在網絡層,因此又稱為網絡級防火墻。包過濾技術是指根據網絡層和傳輸層的原則對傳輸的信息進行過濾,其是最早出現的防火墻技術。在網絡上傳輸的每個數據包都可以分為兩部分:數據部分和包頭。包過濾技術就是在網絡的出口(如路由器)處分析通過的數據包中的包頭信息,判斷該包是否符合網絡管理員設定的規則,以確定是否允許數據包通過。一旦發現不符合規則的數據包,防火墻就會將其丟棄。包過濾規則一般會基于某些或全部包頭信息,如數據的源地址和目標地址、TCP源端口和目標端口、IP類型、IP源地址等。


包過濾技術的優點是簡單實用、處理速度快、實現成本低、數據過濾對用戶透明等。同時其也有很多缺點,主要的缺點是安全性較低,不能徹底防止地址欺騙,正常的數據包過濾路由技術無法執行某些安全策略。包過濾技術工作在網絡層和傳輸層,與應用層無關,因此,其無法識別基于應用層的惡意侵入。


2)應用代理(Application Proxies)型防火墻


代理服務器技術也稱為應用層防火墻技術,它控制對應用程序的訪問,能夠代替網絡用戶完成特定的TCP/IP功能。一個代理服務器實質上是一個為特定網絡應用而連接兩個網絡的網關。當內部客戶機要使用外部服務器的數據時,首先會將數據請求發送給代理服務器,代理服務器接收到該請求后會檢查其是否符合規則,如果符合,則代理服務器會向外部服務器索取數據,然后外部服務器返回的數據會經過代理服務器的檢測,由代理服務器傳輸給內部客戶機。由于代理服務器技術徹底隔斷了內部網絡與外部網絡的直接通信,因此外部網絡的惡意侵害也就很難進入內部網絡。


代理服務器技術的優點是安全性較高,實施較強的數據流監控、過濾和日志功能,可以方便地與其他安全手段集成等。同時其也有很多缺點,主要的缺點是訪問速度慢、對于每項服務代理可能會要求不同的服務器、代理對用戶不透明等。


3)網絡地址轉化代理(NAT Proxies)型防火墻


網絡地址轉換技術是一種通過在防火墻上裝一個合法的IP地址集,把內部私有網絡地址(IP地址)翻譯成合法網絡IP地址的技術。當不同的內部網絡用戶向外連接時,使用一個公用的IP地址;當內部網絡用戶互相通信時,則使用內部IP地址。


內部網絡的IP地址對外部網絡來說是不可見的,這極大地提高了內部網絡的安全性,同時這種技術也緩解了少量的IP地址和大量主機間的矛盾。當然這種技術也有很多的局限,例如,內部網絡可以通過木馬程序利用網絡地址轉換技術與外部連接而穿越防火墻。


4)狀態檢測防火墻


狀態檢測技術采用的是一種基于連接的狀態檢測機制,能夠對各層的數據進行主動的、實時的檢測。當防火墻接收到初始化連接的數據包時,會根據事先設定的規則對該數據包進行檢查,如果該數據包被接受,則在狀態表中記錄下該連接的相關信息,并將其作為以后制定安全決策的參考。對于后續的數據包,將它們與狀態表中記錄的連接內容進行比較,以決定是否接受它們。狀態檢測技術的優點是提高了系統的性能、安全性高等。同時其也有很多缺點,主要的缺點是實現成本高、配置復雜、會降低網速等。


5)復合型防火墻


把前述的基于各種技術的防火墻整合成一個系統,即為復合型防火墻,其可構筑多道防御,確保更高的安全。

(3)防火墻的技術架構


從實現原理上分,防火墻的技術架構可分為4類:網絡級防火墻(也叫包過濾型防火墻)、應用級網關、電路級網關和規則檢查防火墻。它們各有所長,具體使用哪一種或是否混合使用,要根據具體需要確定。


1)網絡級防火墻


網絡級防火墻一般是基于源地址和目的地址、應用、協議以及每個IP包的端口來做出通過與否的判斷的。一個路由器便是一個“傳統”的網絡級防火墻,大多數路由器都能通過檢查信息來決定是否將所收到的包轉發,但它不能判斷出一個IP包來自何方、去向何處。防火墻會檢查每條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合,則防火墻就會使用默認規則,一般情況下,默認規則就是要求防火墻丟棄該包。其次,通過定義基于TCP或UDP數據包的端口號,防火墻能夠判斷是否允許建立特定的連接,如Telnet連接、FTP連接等。


2)應用級網關


應用級網關能夠檢查進出的數據包,通過網關復制傳遞數據,防止受信任服務器和客戶機與不受信任的主機直接建立聯系。應用級網關能夠理解應用層上的協議,能夠做復雜的訪問控制,以及精細的注冊和稽核。應用級網關針對特別的網絡應用服務協議,即數據過濾協議,并且能夠對數據包進行分析以形成相關的報告。應用級網關會給予某些易于登錄和控制所有輸出輸入的通信環境嚴格的控制,以防有價值的程序和數據被竊取。在實際工作中,應用級網關一般由專用工作站系統來充當。但每一種協議都需要相應的代理軟件,使用時工作量大,效率不如網絡級防火墻。應用級網關有較好的訪問控制性能,是最安全的防火墻技術,但其實現困難,而且有的應用級網關缺乏“透明度”。在實際使用中,用戶在受信任的網絡上通過防火墻訪問Internet時,經常會出現時延問題并且必須進行多次登錄才能訪問Internet或Intranet。


3)電路級網關


電路級網關用來監控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,進而來決定該會話(Session)是否合法。電路級網關在OSI模型中的會話層上過濾數據包,這樣比包過濾防火墻要高兩層。電路級網關還提供了一個重要的安全功能:代理服務器(Proxy Server)。代理服務器是設置在Internet防火墻網關中的專用應用級代碼。這種代理服務準許網絡管理員允許或拒絕特定的應用程序或一個應用程序的特定功能。包過濾技術和應用級網關是通過特定的邏輯判斷來決定是否允許特定的數據包通過的,一旦判斷條件滿足,防火墻內部網絡的結構和運行狀態便會“暴露”在外來用戶面前,這就引入了代理服務的概念,即防火墻內外計算機系統應用層的“鏈接”由兩個終止于代理服務的“鏈接”來實現,這就成功地實現了防火墻內外計算機系統的隔離。同時,代理服務還可用于實施較強的數據流監控、過濾、記錄和報告等功能。代理服務技術主要通過專用計算機硬件(如工作站等)來實現。


4)規則檢查防火墻


規則檢查防火墻結合了包過濾防火墻、電路級網關和應用級網關的特點。它同包過濾防火墻一樣,能夠在OSI網絡層上通過IP地址和端口號過濾進出的數據包。規則檢查防火墻也像電路級網關一樣,能夠檢查SYN和ACK標志和序列數字是否邏輯有序。當然,其也像應用級網關一樣,可以在OSI應用層上檢查數據包的內容,查看這些內容是否符合企業網絡的安全規則。規則檢查防火墻雖然集成了前三者的特點,但是其不同于一個應用級網關的是,規則檢查防火墻并不打破客戶機/服務器模式來分析應用層的數據,它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火墻不依靠與應用層有關的代理,而是依靠某種算法來識別進出的應用層數據,這些算法通過已知合法數據包的模式來比較進出數據包,這樣在理論上其就能比應用級網關在過濾數據包上更有效。


(4)防火墻的問題分析


防火墻自身有其局限性,它解決不了的問題包括:① 不能防范不經過防火墻的攻擊和威脅;② 只能對跨越邊界的信息進行檢測、控制,而對網絡內部人員的攻擊不具備防范能力;③ 不能完全防止傳送已感染病毒的軟件或文件;④ 難于管理和配置,容易造成安全漏洞。


今后,防火墻技術的發展要求防火墻采用多級過濾措施,并輔以鑒別手段,使過濾深度不斷加強,從目前的地址過濾、服務過濾發展到頁面過濾、關鍵字過濾等,并逐漸具備病毒清除功能,安全管理工具、可疑活動的日志分析工具不斷完善,對網絡攻擊的檢測和警告將更加及時和準確。現行操作系統自身往往存在許多安全漏洞,而運行在操作系統之上的應用軟件和防火墻也不例外,一定會受到這些安全漏洞的影響和威脅。因此,其運行機制是防火墻的關鍵技術之一。為保證防火墻自身的安全和徹底堵住因操作系統的漏洞而帶來的各種安全隱患,防火墻的安全檢測核心引擎可以采用嵌入操作系統內核的形態運行,直接接管網卡,將所有數據包進行檢查后再提交給操作系統。并且,可以預見,未來防火墻的發展趨勢有高性能防火墻、分布式防火墻、集成智能化防火墻等。


(5)安卓防火墻


下面以安卓(Android)系統下基于服務申請攔截的惡意軟件檢測防護工具為例介紹安卓防火墻。Android系統的重要系統資源都是以服務的形式提供給應用程序的,基于這一點,可以對服務進行攔截、判定,從而防止惡意軟件非法申請資源。


Android系統下基于服務申請攔截的惡意軟件檢測防護工具的工作原理如圖2所示。

圖片.png

當Android系統啟動后,惡意軟件檢測防護工具的服務管理器跟蹤和入侵系統的服務管理進程,修改服務申請響應函數,攔截服務申請以供后續判斷;應用程序運行時,會申請其所需的各種服務,此時,服務管理器會對該服務申請進行攔截,獲取服務申請的各個參數,判定服務的類型;接下來,根據應用程序申請的服務類型,查詢行為規則庫,判定該服務申請是否安全;若該服務申請危險,則拒絕服務申請,并中止提出申請的應用程序;若該服務申請的安全性未知,則提示用戶,由用戶自行拒絕或接受服務申請。通過這樣的方法,我們可以在運行應用程序時發現并阻止軟件的惡意行為,增強系統的安全性。


2、病毒查殺


計算機病毒的防治要從防毒、查毒、解毒3個方面進行,系統對于計算機病毒的實際防治能力和效果也要從防毒能力、查毒能力和解毒能力3個方面來評判。防毒能力是指預防病毒侵入的能力,查毒能力是指發現和追蹤病毒的能力,解毒能力是指從感染對象中清除病毒、恢復被病毒感染前的原始信息的能力,該恢復過程不能破壞未被病毒修改的內容。


病毒查殺就是指利用各類安全工具發現系統中隱藏的各類可疑病毒程序,并且清除感染對象中的病毒,以恢復被病毒感染前的原始信息。病毒查殺的主要方式如下。


(1)主動防御技術


主動防御技術是指通過對病毒行為的規律進行分析、歸納、總結,并結合反病毒專家判定病毒的經驗提煉出病毒識別規則知識庫;模擬專家發現新病毒的機理,通過分布在用戶計算機系統上的各種探針動態監視程序運行的動作,并將程序的一系列動作通過邏輯關系分析組成有意義的行為,再結合病毒識別規則知識,實現對病毒的自動識別。


主動防御主要由以下模塊組成。


① 實時監控模塊:負責實時監控計算機系統內各個程序運行的動作,并將這些動作提交給程序行為分析模塊進行分析。


② 病毒識別規則知識庫:對病毒行為的規律進行分析、歸納、總結,并結合反病毒專家判定病毒的經驗提煉出病毒行為識別規則知識庫。病毒識別規則知識庫主要包括惡意程序識別規則知識庫和正常程序識別規則知識庫。


③ 程序行為自主分析判斷模塊:依據實時監控模塊監控的各個程序運行的動作,結合病毒識別規則知識庫,對程序動作進行關聯性分析,并結合反病毒專家判定病毒的經驗進行自主分析,如果某程序是病毒,則首先阻止病毒危害行為的發生,同時通知病毒處理模塊對病毒進行清除處理。


④ 病毒處理模塊:負責對判定為病毒的程序進行清除處理。


(2)云查殺技術


反病毒界提出的云查殺概念來源于云計算,試圖利用云計算的思路從另一個途徑解決越來越多的病毒危險問題。目前,云查殺基本上分為兩類。


① 作為一個最新的惡意代碼、垃圾郵件或釣魚網址等的快速收集、匯總和響應處理的系統。


② 病毒特征庫在云上的存儲與共享。作為收集響應系統,它可收集更多的病毒樣本。但是,因為“端”(用戶計算機)沒有自動識別新病毒的能力,所以需要將用戶計算機中的文件上傳到“云”(反病毒公司)。


(3)基于云的終端主動防御技術


奇虎360公司提出了基于云的終端主動防御技術。該技術采用在服務器端進行文件審計與行為序列的統計模型,在客戶端部署輕量的行為監控點,以透過服務器端的文件知識庫與行為序列實現惡意軟件行為的攔截。


1)客戶端的行為監控技術


以往安全軟件的主動防御功能基本是基于客戶端的,即在客戶端本地具有一系列判定程序行為是否為惡意的規則,當某個程序的行為序列觸發了本地規則庫中的規則,并且超過權重評分系統的某個特定閾值時,即判斷該程序有惡意行為。這一方法的最大不足在于,惡意軟件作者通過逆向分析安全軟件程序及本地規則庫,較容易繞過安全軟件的行為監控點并實現“免殺”,這會降低安全軟件的防護能力,造成安全軟件的被動應對。


基于云的主動防御技術會在客戶端收集某一程序的行為特征,并將其發送到云端服務器,由云端服務器來判定客戶端程序的行為惡意與否。


2)服務器端的行為判定技術


將單體客戶端上的特定程序的特征/行為序列發送給服務器,由服務器在其數據庫中進行分析比對,根據比對結果判定該程序的特征/行為序列的惡意與否,并將判定結果反饋給客戶端。這一過程的難點在于如何實現服務器端的判定。其具體可以分為兩個步驟:首先,取得程序文件的信譽評級,包括文件的等級(黑、白、灰、未知)、文件的流行度、文件的年齡等;其次,根據程序文件的行為序列與文件的信譽評級進行綜合規則匹配。例如,若文件等級未知,流行度小于10個用戶,文件年齡小于2天,另外,行為規則符合特定行為特征串,那么返回“有風險須注意”的標示。


服務器端行為序列與文件信譽兩者結合匹配是一個社區化聯防的創新方式。隨著木馬手段趨向于社交工程方式攻擊,這套匹配方式可以快速提取行為特征并結合文件信譽評級,提高快速響應速度。


3)客戶端的響應處置技術


客戶端需要根據服務器端反饋的判定結果,決定是否對程序行為進行攔截,終止執行該程序或清理該程序,恢復系統環境。


服務器端針對反饋的結果可以采取不同的策略,有些是清除文件、結束進程,有些是指定放行,或配合其他新增的防御模塊提供新的動作,例如,提示用戶使用沙箱運行該程序。這種機制不再局限于傳統規則匹配后只能有命中和不命中兩種處理策略。由于處理策略是在服務器端指定的,因此只須變更服務器端,即可變更針對不同行為特征的惡意軟件的處置方法,使系統針對新型未知惡意行為的防護能力和響應速度大大提升。


綜上所述,基于云的主動防御技術將行為規則放在服務器端,提高了被突破的門檻,同時大大提高了響應速度,無須升級客戶端規則文件;并通過結合海量程序文件行為與屬性數據,可以實現行為攻擊預警與聯防。


(4)手機殺毒技術


隨著手機的廣泛使用,病毒也開始向手機傳播。下面以Android系統下基于包校驗的病毒查殺工具為例,介紹手機病毒查殺。在Android系統下,人們獲得軟件的渠道是不可控的,病毒、木馬和廣告程序等惡意代碼經常會被植入正常軟件中。由于Android系統下軟件都是以APK包的形式傳輸和安裝的,因此可以通過軟件包校驗的方法獲知軟件是否被篡改過,同樣地,也可以檢測軟件是否為已知的惡意軟件。


Android系統下基于包校驗的病毒查殺工具的工作原理如圖3所示。

圖片.png

病毒查殺工具的高效運行依賴于軟件黑白名單的建立。通過搜集大量常用軟件的可信版本(如軟件的官方網站版本、大的軟件市場的高下載量無惡評版本等),并對Android安裝包(Android Package,APK)文件做MD5和SHA-1的Hash運算,用軟件名、版本、Hash值即可形成白名單。與此類似,通過搜集大量惡意軟件的樣本,并對APK文件做MD5和SHA-1的Hash運算,用軟件名、版本、Hash值即可形成黑名單。


對待驗證的軟件,病毒查殺工具會獲得其APK文件的軟件名、版本、Hash值,并將它們與白、黑名單中的內容進行對比分析,若白名單中有相應的軟件名、版本,且Hash值完全匹配,則說明用戶要安裝的軟件是安全的;若白名單中有相應的軟件名、版本,但Hash值不匹配,則說明用戶要安裝的軟件被篡改過,是危險的;如果白名單中沒有相應的軟件名、版本,則查詢黑名單,若黑名單中有相應的軟件名、版本,且Hash值完全匹配,則說明用戶要安裝的軟件是已知的惡意軟件,是危險的(僅Hash值完全匹配也可以說明是惡意軟件);若黑名單中也沒有相應的軟件名、版本、Hash值,則說明白、黑名單未收錄該軟件,安全性未知。通過這樣的方法,我們可以快速有效地識別軟件的安全性,直接查殺部分惡意軟件,歸類未知軟件,為其他安全策略提供參考。

3、云安全體系架構


云安全系統是一個客戶端和服務器端(云端)配合實現的智能安全防護體系,由客戶端的云安全智能防護終端軟件和服務器端的云端智能協同計算平臺兩部分構成,如圖4所示。

圖片.png

(1)云安全智能防護終端


作為云安全體系的重要組成部分,客戶端發揮了“傳感器”和“處置器”的作用。


首先,客戶端的主要作用是充當惡意軟件/網頁樣本的采集傳感器。為了確保采集的全面性,需要盡可能多地對惡意軟件可能的行為、傳播途徑進行監控和審計,主動防御技術可以用于這一目的。在云安全的客戶端軟件中,從以下各個層面實現了針對惡意軟件的查殺、行為監控和審計。


1)惡意軟件云查殺


當用戶進行系統掃描時,對系統的關鍵啟動位置、內存、關鍵目錄、指定的文件目錄等進行掃描,提取文件名稱、路徑、大小、MD5指紋、簽名信息等文件特征信息,并通過實時聯網與云安全查詢引擎通信,將文件特征信息發送給云安全查詢引擎,然后根據云安全查詢引擎返回的結果或規則的分析,對被掃描文件進行相應的處置。


2)網頁安全監控和防護


據統計,90%以上的惡意軟件是通過瀏覽惡意網頁傳播的,因此網頁安全瀏覽是終端安全防護的第一道關口。網盾采用靜態特征匹配和動態行為監控相結合的技術,通過掛鉤系統關鍵應用程序編程接口(Application Programming Interface,API)實現行為監控,根據一系列規則判定被瀏覽網頁是否為惡意網頁。網頁惡意行為的特征包括:修改系統文件、寫注冊表、下載可執行文件、創建進程、加載驅動程序、加載系統DLL等。當發現可疑的惡意網頁時,即將惡意網頁的統一資源定位符(Uniform Resource Locator,URL)地址及其行為特征上傳至云端服務器。


3)下載安全防護


惡意軟件傳播的另一個主要途徑是通過軟件的捆綁或后臺升級,下載器軟件就是典型的木馬傳播者。云安全智能防護終端會監控系統所有進程的下載行為,一旦發現有從可疑地址下載文件的行為,就會將下載者的進程文件樣本及其行為特征上傳至云端服務器。


4)移動介質安全防護


大量惡意軟件利用AutoRun的機制通過U盤等移動介質進行傳播,U盤防火墻功能將自動監測移動介質的連接及其自動運行的程序,一旦發現其有可疑行為,就會將其文件樣本和行為特征上傳至云端服務器。


5)惡意行為智能攔截


惡意行為智能攔截即主動防御功能,又稱系統防火墻。木馬等惡意軟件入侵系統時總會試圖執行若干特定操作以便實現駐留系統并開機運行的目的,這些基本上都是通過修改系統關鍵啟動項、修改文件關聯、增加瀏覽器插件、劫持通信協議等方式實現的。有效發現文件的可疑行為,并將其樣本和行為特征上傳至云端服務器。


6)網絡防火墻


網絡防火墻可以對可疑軟件的網絡通信行為進行監控,例如,ARP攻擊、劫持通信協議、連接惡意網址等,一旦發現即可將其樣本和行為特征上傳至云端服務器。


7)用戶隱私數據保護


絕大部分木馬惡意軟件的目的是實施盜號,因此,它們必然會對特定的應用(如網絡游戲、網上銀行等)實施掛鉤、注入、直讀內存等行為。賬號保險箱軟件對針對特定應用程序的敏感操作進行了監控,一旦發現即可將其樣本和行為特征上傳至云端服務器。


由上述分析可知,云安全智能防護終端在惡意軟件傳播的各個主要途徑都進行了攔截監控,一旦發現有某個文件的行為觸發了一定的規則,就會判定其行為可疑,經過與云安全中心確認該文件尚未采集,即可將其文件樣本和客戶端對其行為特征的初步分析結果上傳至云端服務器。這就保證了對新的可疑文件的最全面的采集能力,同時將對可疑文件行為分析的一部分工作分散至終端完成,從而節約了服務器端的計算資源。


(2)云端智能協同計算平臺


云端智能協同計算平臺是云安全體系的服務器端核心技術。它可以完成惡意軟件/網頁的云計算分析,即不僅可以對文件/網頁樣本進行自動分析,還可以結合客戶端分析該樣本初步行為的結果,以及大量用戶對客戶端處置的人工交互反饋結果(如對安全告警的選擇),這實際上體現了群體智慧或協同計算的概念。云端智能協同計算平臺包括文件/網頁安全分析中心、海量白名單采集與自動更新系統、高性能云安全查詢引擎、智能海量數據挖掘系統、全網安全威脅預警系統、大規模分布式計算平臺、海量數據存儲平臺等幾個部分。各部分功能說明如下。


1)文件/網頁安全分析中心


文件/網頁安全分析中心主要包括海量樣本自動分析系統、惡意網頁監測系統和惡意行為監控和審計系統3部分。


① 海量樣本自動分析系統:采用靜態特征碼匹配、啟發式掃描、機器學習等方法,對客戶端采集并上傳的海量可疑文件/網頁樣本,或者通過搜索引擎蜘蛛程序抓取的網頁,進行自動分析,判定每個樣本的安全級別。


② 惡意網頁監測系統:監測整個中國互聯網,檢測識別掛馬、釣魚、欺詐等惡意網頁,同時發現新的操作系統和應用軟件漏洞。


③ 惡意行為監控和審計系統:對于無法通過自動靜態分析判定安全級別的文件/網頁樣本,將其放入虛擬機環境運行,監控并記錄其所有行為,若其行為特征觸發特定的惡意行為規則且超過指定閾值,則判定其為惡意行為。


2)海量白名單采集與自動更新系統


文件/網頁安全分析中心的結果是形成惡意軟件/網頁的黑名單,但是對于惡意軟件的判定,無論是采用靜態特征碼匹配,還是采用動態行為監控技術,都不可能保證100%的準確性,因而可能導致誤報。此外,基于一個假設“惡意軟件的數量可能會遠遠超過可信正常軟件的數量”,這個黑名單的數量可能會非常龐大。這時,更為有效的解決方案是建立可信正常軟件的白名單技術,亦即盡可能多地采集用戶常用的各類軟件(包括操作系統軟件、硬件驅動程序、辦公軟件、第三方應用軟件等)的文件白名單,且保持白名單的實時更新。事實上,只要白名單技術足夠有效,云安全系統就完全可以采用“非白即黑”的策略(即前述可信軟件的配置管理方案),也就是任何不在白名單內的文件即可認為其是可疑的惡意軟件(黑)。


3)高性能云安全查詢引擎


高性能云安全查詢引擎是云安全體系中的核心部件之一。云安全體系所要形成的主要結果為文件/網頁的安全級別和可信度信息(包括惡意軟件/網頁黑名單數據、正常軟件的白名單數據、未知安全級別文件數據),數據的規模十分龐大,而且具有極快的更新速度。服務器端需要為海量的文件/網頁的安全級別和可信度信息建立索引,并提供面向客戶端的高性能查詢引擎。


4)智能海量數據挖掘系統


智能海量數據挖掘系統會對文件/網頁安全分析中心的分析結果數據和白名單系統中的數據,以及用戶上傳和云查詢引擎的檢索日志與查詢結果數據進行統計分析和挖掘,從中可以分析出大量有用的結果,如某個惡意軟件的感染傳播趨勢、某個惡意被網頁代碼的掛馬傳播趨勢、某個漏洞被利用的趨勢等,甚至可以分析并發現新的0day漏洞,這對云安全體系的整體效果的改善有著重要的指導作用。


5)全網安全威脅預警系統


全網安全威脅預警系統利用智能海量數據挖掘系統的分析結果,對可能威脅公眾及國家網絡安全的大規模安全事件進行預警分析與管理。這個系統可為國家有關部門、重要的信息系統等提供面向中國互聯網的安全威脅監測和預警服務。


6)大規模分布式計算平臺


為了實現對海量數據的高性能處理能力,云計算一般需要利用大規模分布式并行計算技術,這是云安全所需的核心技術之一。實現云安全所需的分布式并行計算平臺,需要考慮以下兩個因素:① 數據規模十分龐大;② 與惡意軟件的對抗是一個長期的過程,對惡意軟件的分析與判定方法也會不斷變化,因此,這個分布式并行計算平臺應具備較強的可伸縮性和適應性,不僅可以擴展支持更大的數據處理規模,還可以將新的分析方法或加工過程靈活地加入系統,而不會導致系統體系結構出現較大變化。


7)海量數據存儲平臺


海量數據存儲平臺也是云計算體系中的核心平臺技術之一。海量樣本、整個云端處理流程中的各類中間結果數據、用戶反饋數據、用戶查詢日志等,每一種數據的規模都是海量的。云安全系統建立了一個海量的分布式文件數據存儲平臺,并提供對上層應用的透明數據存取訪問功能,可保證數據存儲的可靠性、一致性和容災性。


4、沙箱工具


沙箱(Sandbox)工具可為來源不可信、具有破壞力或無法判定程序意圖的程序提供運行環境,它是在受限的安全環境中運行應用程序的一種做法,這種做法是要限制授予應用程序的代碼訪問權限。


沙箱技術是安全廠商和計算機安全研究人員常用的一種檢測惡意軟件和病毒的技術,下面以Android系統下的一個沙箱工具為例具體介紹沙箱技術。此沙箱工具結合服務申請監控和軟件自動化測試方法,可以自動化地檢測軟件運行時有無惡意行為,從而判定軟件的安全性,為黑白名單的擴充提供基礎。


Android系統下的軟件安全判定沙箱工具的工作原理如圖5所示。

圖片.png

軟件安全判定沙箱工具由行為規則庫、測試管理分析環境以及Android測試環境3個部分組成。首先,準備封閉可監控的Android測試環境,用于待測試軟件的運行。接下來,待測試軟件會被推送安裝到Android測試環境中。在Android測試環境中,通過采用各種手段(模擬用戶操作,如隨機操作、頁面爬行等;模擬關鍵事件;激發軟件惡意行為)自動化測試應用程序,使其表現出運行時的行為,并對其行為進行監控和記錄。當運行測試完成后,處理行為記錄,采用行為規則或數據挖掘等方法分析應用的行為,判定應用的安全性,其中,行為規則方法需要事先總結歸納惡意行為的一般特征,數據挖掘方法則需要依賴大量的樣本數據。最后,積累分析結果,結合其他分析結果擴充行為規則庫,擴充樣本集,從而持續提高行為分析的準確率。通過這樣的方法,我們可以自動、大量地測試應用軟件,判定其安全性,獲取行為規則,以擴充行為規則庫和病毒庫。


圖6所示為Android系統下的軟件安全判定沙箱工具的原型,展示了對批量應用程序安全性判定的結果。

圖片.png