鄒航，陳莊，李雪平

(1.重慶理工大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院，重慶 400054; 2.重慶遠(yuǎn)衡科技發(fā)展有限公司，重慶 400039)

惡意代碼云主動(dòng)防御系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

鄒航1，陳莊1，李雪平2

(1.重慶理工大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院，重慶 400054; 2.重慶遠(yuǎn)衡科技發(fā)展有限公司，重慶 400039)

隨著海量變種及未知惡意病毒的泛濫，采用病毒特征碼匹配為核心的反病毒技術(shù)已難以實(shí)現(xiàn)有效和及時(shí)的防御?；谠朴?jì)算模式，設(shè)計(jì)了一種惡意代碼云主動(dòng)防御系統(tǒng)產(chǎn)品，采用程序行為跟蹤分析、模式識(shí)別、智能修復(fù)處理、操作系統(tǒng)等6大子系統(tǒng)主動(dòng)防御技術(shù)，實(shí)現(xiàn)了智能有效檢測(cè)、辨識(shí)和清除已知與未知的惡意代碼的功能。該系統(tǒng)采用P2DR模型，由云客戶端軟件、云端服務(wù)器、管理控制臺(tái)3部分組成，實(shí)現(xiàn)了惡意代碼行為捕獲及主動(dòng)防御、惡意代碼行為算法分析、全網(wǎng)主機(jī)安全態(tài)勢(shì)分析報(bào)告等功能，構(gòu)建了網(wǎng)絡(luò)主機(jī)安全的縱深防御體系。

惡意代碼;病毒;云主動(dòng)防御;云安全

當(dāng)前的木馬黑客、惡意攻擊技術(shù)日新月異，其特點(diǎn)表現(xiàn)為趨利性、隱蔽性、針對(duì)性和抗殺性。黑客攻擊工具、蠕蟲、病毒、木馬后門、間諜軟件、惡意腳本和Web攻擊、高級(jí)持續(xù)性威脅(APT)等惡意代碼爆發(fā)式地增長(zhǎng)，這些海量惡意代碼帶來的攻擊持續(xù)不斷地或周期性地困擾著用戶，給企事業(yè)的信息系統(tǒng)造成嚴(yán)重的破壞［1－2］。防范惡意代碼的速度往往不能同制造惡意代碼的速度同步。傳統(tǒng)殺毒軟件產(chǎn)品采用針對(duì)病毒體的特征碼匹配技術(shù)，盡管其執(zhí)行效率很高，但存在兩方面局限:一是特征碼庫(kù)龐大;二是新型病毒普遍采用免殺技術(shù)。免殺技術(shù)主要采用針對(duì)病毒特征碼的指令等價(jià)替換、指令序列調(diào)換、加殼、加花等技術(shù)。因此，新型的、未知的惡意代碼對(duì)反病毒技術(shù)及產(chǎn)品提出了更高的要求［3－4］。

本項(xiàng)目研發(fā)的“云主動(dòng)防御系統(tǒng)”在以上安全背景下，采用云計(jì)算模式提出一種基于Windows系統(tǒng)的智能安全產(chǎn)品。該產(chǎn)品采用程序行為跟蹤分析技術(shù)、模式識(shí)別技術(shù)、智能修復(fù)處理技術(shù)等新一代主動(dòng)防御技術(shù)，自動(dòng)檢測(cè)、辨識(shí)、清除已知或未知惡意代碼對(duì)計(jì)算機(jī)的入侵和深度攻擊。

1 產(chǎn)品設(shè)計(jì)

1.1 設(shè)計(jì)思想

“主動(dòng)防御”技術(shù)通過監(jiān)控惡意代碼對(duì)操作系統(tǒng)的調(diào)用，獲取其程序行為。程序行為是指程序或代碼對(duì)操作系統(tǒng)資源如文件系統(tǒng)、注冊(cè)表、內(nèi)存、內(nèi)核、網(wǎng)絡(luò)、服務(wù)、進(jìn)程等的訪問操作，具體到代碼層面就是一系列的Win32 API函數(shù)調(diào)用。監(jiān)控方式一般采用基于修改SSDT表的API Hook機(jī)制。API Hook是用于改變API執(zhí)行結(jié)果的技術(shù)。系統(tǒng)服務(wù)描述符表(system services descriptor table，SSDT)是一個(gè)將ring3的Win32 API和ring0的內(nèi)核API聯(lián)系起來的表，Win32 API的系統(tǒng)調(diào)用一般都要最終通過內(nèi)核API來實(shí)現(xiàn)。因此，通過將SSDT表的目標(biāo)內(nèi)核API函數(shù)地址修改為主動(dòng)防御軟件的函數(shù)地址，即由主動(dòng)防御軟件來接管系統(tǒng)調(diào)用，一方面對(duì)所有應(yīng)用層系統(tǒng)調(diào)用進(jìn)行監(jiān)控，另一方面對(duì)可能判定為惡意行為的系統(tǒng)調(diào)用進(jìn)行阻止。阻止的邏輯需要建立惡意代碼行為規(guī)則庫(kù)，包含單個(gè)API調(diào)用構(gòu)成的惡意程序行為和多個(gè)API調(diào)用序列構(gòu)成的惡意程序行為，惡意行為建模見2.1節(jié)。

“云主動(dòng)防御系統(tǒng)”的設(shè)計(jì)思想是基于云計(jì)算模式，在云端建立海量惡意代碼行為分析系統(tǒng)，提取最新的惡意代碼行為，自動(dòng)生成惡意代碼行為算法庫(kù);加載各種惡意代碼和正常程序進(jìn)行驗(yàn)證測(cè)試，通過強(qiáng)大的分發(fā)系統(tǒng)，將最新的“行為算法庫(kù)”加載在云客戶端，使客戶端具有最新的主動(dòng)防御能力［5］。

云主動(dòng)防御系統(tǒng)關(guān)鍵構(gòu)件由云客戶端的“主動(dòng)防御系統(tǒng)”和云端的“惡意代碼行為自動(dòng)分析系統(tǒng)(簡(jiǎn)稱AMBA系統(tǒng))”組成。云端同云客戶端通過數(shù)據(jù)加密的方式通信［6－7］。云端的AMBA系統(tǒng)通過對(duì)匯集到云端的大量惡意代碼行為進(jìn)行分析，將歸納提取到的最新的惡意代碼行為加入到云端惡意代碼行為算法庫(kù)中。云端安全系統(tǒng)能根據(jù)行為算法庫(kù)的變動(dòng)情況實(shí)時(shí)更新云客戶端的行為算法庫(kù)。云客戶端的“主動(dòng)防御系統(tǒng)”以“程序行為分析判定技術(shù)”為基礎(chǔ)，依據(jù)程序的可信性模型判斷惡意代碼程序。采用傳統(tǒng)的惡意代碼識(shí)別技術(shù)是從病毒體中提取病毒特征值構(gòu)成病毒特征庫(kù)，并進(jìn)行特征比對(duì)識(shí)別惡意代碼。而云主動(dòng)防御系統(tǒng)是采用動(dòng)態(tài)行為跟蹤技術(shù)，依據(jù)惡意行為特征庫(kù)(惡意代碼行為算法庫(kù))對(duì)程序進(jìn)行可信性檢測(cè)，判定程序的性質(zhì)和邏輯，預(yù)先判斷程序的危害行為和風(fēng)險(xiǎn)，實(shí)現(xiàn)對(duì)惡意代碼和惡意行為的預(yù)防和處理，進(jìn)而自動(dòng)、有效地檢測(cè)、辨識(shí)和清除已知和未知惡意代碼［8］。

云計(jì)算模型處理流程如圖1所示。

第1步通過云主動(dòng)防御系統(tǒng)云端的“惡意代碼樣本及惡意代碼行為采集器”，綜合應(yīng)用各種技術(shù)和數(shù)據(jù)收集方式(如云主動(dòng)防御系統(tǒng)客戶端、蜜罐、合作伙伴、網(wǎng)絡(luò)爬蟲、主動(dòng)防御實(shí)驗(yàn)室)獲得最新威脅的各種情報(bào)，將惡意代碼和惡意代碼可疑行為分類關(guān)聯(lián)存儲(chǔ)。

第2步AMBA系統(tǒng)利用行為分析的聚類、關(guān)聯(lián)規(guī)則等算法確定其是否屬于惡意行為。程序單一可疑行為似乎沒有什么危害，但是如果同時(shí)進(jìn)行多項(xiàng)行為(時(shí)序相關(guān))，就會(huì)導(dǎo)致惡意攻擊行為的產(chǎn)生。因此需要按照主動(dòng)防御的觀點(diǎn)來判斷其是否實(shí)際存在入侵、攻擊等威脅，檢查存在潛在威脅的不同組件之間的相互關(guān)系。通過將可疑行為的不同部分關(guān)聯(lián)起來并不斷更新惡意代碼行為庫(kù)，最終確定惡意代碼的新型攻擊行為。

第3步將自動(dòng)分析出的新型攻擊行為送入行為算法庫(kù)生成器，生成“惡意代碼行為算法庫(kù)”。

第4步加載惡意代碼程序和各類應(yīng)用軟件，正向和反向驗(yàn)證“惡意代碼行為算法庫(kù)”判斷惡意代碼的精準(zhǔn)性。如果出現(xiàn)誤判或放過某些惡意行為，通過“惡意程序行為研究中心”的惡意代碼分析專家組對(duì)惡意行為進(jìn)行準(zhǔn)確定義，并生成“惡意代碼行為算法庫(kù)”;再次通過驗(yàn)證后，形成正式“行為算法庫(kù)”版本并發(fā)布。

圖1 云主動(dòng)防御系統(tǒng)的云計(jì)算模型

1.2 體系式主動(dòng)防御技術(shù)模型

整個(gè)系統(tǒng)設(shè)計(jì)的技術(shù)原理采用P2DR模型: Policy(安全策略)、Protection(防護(hù))、Detection(檢測(cè))和Response(響應(yīng));安全策略采用程序行為算法庫(kù)實(shí)現(xiàn)，是一個(gè)自動(dòng)升級(jí)更新的算法庫(kù)，實(shí)現(xiàn)系統(tǒng)的動(dòng)態(tài)安全防御。本項(xiàng)目產(chǎn)品將操作系統(tǒng)分為6大子系統(tǒng)(通信系統(tǒng)、內(nèi)核系統(tǒng)、服務(wù)系統(tǒng)、賬號(hào)系統(tǒng)、應(yīng)用系統(tǒng)、資資源的源系統(tǒng))，并在每個(gè)子系統(tǒng)上建立P2DR模型，整個(gè)系統(tǒng)具有6個(gè)程序行為檢測(cè)引擎、6個(gè)程序行為辨識(shí)引擎、6個(gè)防御引擎; 6個(gè)P2DR模型相互聯(lián)動(dòng)，提高系統(tǒng)的檢測(cè)率、惡意代碼清除率，降低系統(tǒng)的誤判率。主動(dòng)防御系統(tǒng)P2DR模型如圖2所示。

圖2 主動(dòng)防御系統(tǒng)P2DR模型

1.3 惡意代碼攻擊及主動(dòng)防御攻防模型

惡意代碼攻擊及主動(dòng)防御攻防模型如圖3所示。惡意代碼(如木馬、蠕蟲、病毒、惡意腳本、流氓間諜軟件等)利用感染、劫持、偽造、漏洞等方式入侵操作系統(tǒng);通過文件頭、文件空隙、路徑劫持、dll劫持、驅(qū)動(dòng)偽裝、應(yīng)用程序偽裝、系統(tǒng)漏洞、應(yīng)用漏洞、系統(tǒng)進(jìn)程空間等方式對(duì)操作系統(tǒng)發(fā)起攻擊。本項(xiàng)目產(chǎn)品通過對(duì)主機(jī)的通信系統(tǒng)、內(nèi)核系統(tǒng)、服務(wù)系統(tǒng)、賬號(hào)系統(tǒng)、應(yīng)用系統(tǒng)、資源系統(tǒng)建立主動(dòng)防御系統(tǒng)，防御惡意代碼各種形式的攻擊，保護(hù)主機(jī)安全。

圖3 惡意代碼攻擊及主動(dòng)防御攻防模型

1.4 “云主動(dòng)防御系統(tǒng)”的實(shí)現(xiàn)流程

第1步在計(jì)算機(jī)終端，運(yùn)行或啟動(dòng)任一程序，如.exe、.dll等程序;

第2步在主動(dòng)防御系統(tǒng)的“程序行為監(jiān)測(cè)引擎和可信任引擎”的作用下，捕獲程序在計(jì)算機(jī)的內(nèi)核、服務(wù)、應(yīng)用、賬號(hào)、通信、文件資源系統(tǒng)上的行為;

第3步在主動(dòng)防御系統(tǒng)“惡意代碼行為算法庫(kù)”的作用下，將捕獲的行為進(jìn)行辨識(shí)，正向辨識(shí)是否為惡意代碼。為了減少系統(tǒng)的誤判率，同時(shí)對(duì)程序進(jìn)行反向算法辨識(shí)，確定其是否為正常程序;

第4步經(jīng)正反行為算法庫(kù)的判定，判定該程序是否為惡意代碼;

第5步如果是惡意代碼，主動(dòng)防御系統(tǒng)的惡意代碼處理系統(tǒng)會(huì)馬上處理并清除惡意代碼，如果不足以判斷，同時(shí)惡意行為超出“行為算法庫(kù)”的描述，則產(chǎn)生可疑行為邊界溢出;

第6步將溢出的可疑行為送入云端，通過云端AMBA系統(tǒng)處理，發(fā)現(xiàn)新的攻擊行為;

第7步將新的攻擊或惡意行為送入“惡意程序行為算法庫(kù)生成器”生成新的“惡意代碼行為算法庫(kù)”，加載足夠多的各類惡意代碼、正常軟件，對(duì)新生成的“行為算法庫(kù)”進(jìn)行驗(yàn)證，如驗(yàn)證通過，生成正式版本號(hào)的“行為算法庫(kù)”，并分發(fā)到相應(yīng)的云客戶端。

圖4 云主動(dòng)防御系統(tǒng)的實(shí)現(xiàn)流程

2 產(chǎn)品實(shí)現(xiàn)

2.1 惡意行為建模

主動(dòng)防御系統(tǒng)的底層實(shí)現(xiàn)方法是惡意行為的建模與感知。Windows操作系統(tǒng)對(duì)外提供豐富的Win32 API接口，方便上層應(yīng)用程序?qū)ο到y(tǒng)資源的訪問［9］。惡意行為建模是首先存儲(chǔ)大量的惡意行為對(duì)系統(tǒng)API函數(shù)調(diào)用的集合，再通過定義單個(gè)行為或者多個(gè)行為序列來確定某一類惡意行為。惡意行為建模格式如表1所示。

一個(gè)典型的修改文件屬性的惡意行為的建模規(guī)則如表2所示。

惡意代碼為了逃避殺毒軟件的查殺，常采用進(jìn)程隱藏、終止系統(tǒng)安全軟件進(jìn)程等方法。遠(yuǎn)程線程注入是實(shí)現(xiàn)惡意代碼進(jìn)程隱藏的一種方法。遠(yuǎn)程線程注入技術(shù)有別于惡意代碼創(chuàng)建自身獨(dú)立進(jìn)程，其通過在另一合法進(jìn)程中創(chuàng)建線程的方法進(jìn)入到該進(jìn)程的內(nèi)存空間，該進(jìn)程也稱為遠(yuǎn)程進(jìn)程。根據(jù)線程注入過程中調(diào)用系統(tǒng)API函數(shù)的序列建立其行為規(guī)則，如表3所示。

表1 惡意行為建模格式

表2 典型修改文件屬性的惡意行為建模規(guī)則

表3 進(jìn)程隱藏的惡意行為建模規(guī)則

2.2 惡意行為的判定與分類

對(duì)惡意行為的判定和分類采用改進(jìn)的K－最近鄰算法(簡(jiǎn)稱KNN算法)，該算法通過搜索N維模式空間，找出最接近未知樣本的K個(gè)訓(xùn)練樣本，將未知樣本分配到K個(gè)最近鄰者中最公共的類。其近鄰性一般用歐氏距離或馬氏距離定義。本產(chǎn)品采用歐氏距離計(jì)算方法。用KNN算法進(jìn)行預(yù)測(cè)的理由是基于以下假定:一個(gè)樣本的分類與在歐氏空間中它附近的樣本的分類相似，計(jì)算的準(zhǔn)確度與操作序列的豐富程度有直接關(guān)系。

通過2.1節(jié)定義的惡意行為序列分析，獲取程序相應(yīng)的代碼特征，得到樣本文件的特征向量x=(t1(x)，t2(x)，…，t10(x))，ti(x)={0，1}，1≤i≤10，則任意兩個(gè)樣本xi，xj之間的距離為

由于程序行為的安全和可疑級(jí)別各有不同，為使dist(xi，xj)能更真實(shí)地反映兩樣本之間的距離，對(duì)各維屬性ti(x)授予不同的加權(quán)值wi，則式(1)改為

將樣本集KN分成兩個(gè)相互獨(dú)立的子集:測(cè)試集KT和參考集KR。首先對(duì)KT中的每一個(gè)Xi在KR中找到最近鄰的樣本Yi(Xi)。如果Yi與Xi不屬于同一類別，則從KT中刪除Xi，最后得到1個(gè)剪輯樣本集KTE以取代原樣本集，對(duì)識(shí)別樣本進(jìn)行分類。

將可疑文件數(shù)據(jù)庫(kù)作為測(cè)試集，將安全文件數(shù)據(jù)庫(kù)(簡(jiǎn)稱安全庫(kù))和惡意代碼特征數(shù)據(jù)庫(kù)(簡(jiǎn)稱惡意代碼庫(kù))作為參考集，按照上述方法提取特征向量，并通過KNN算法對(duì)可疑程序進(jìn)行檢測(cè)，以判定其是否為惡意代碼。判定方法采用如下兩種方式:第一，根據(jù)KNN算法將可疑文件與安全庫(kù)中的文件求最小距離，記為L(zhǎng)s，再求可疑文件與惡意代碼庫(kù)中文件的最小距離，記為L(zhǎng)v。如果Ls＜Lv，則認(rèn)為可疑文件為安全文件;如果Ls＞Lv，則認(rèn)為可疑文件為惡意代碼文件。第二，通過經(jīng)驗(yàn)取得一個(gè)中間值M，如果可疑文件與安全庫(kù)中文件的距離小于M，則認(rèn)為此文件為正常文件，否則為惡意代碼。若為惡意代碼，則將可疑文件數(shù)據(jù)庫(kù)中的相應(yīng)記錄移至惡意代碼庫(kù)中，并結(jié)束該進(jìn)程;否則移至安全庫(kù)，并允許進(jìn)程執(zhí)行［10］。

2.3 產(chǎn)品功能

產(chǎn)品采用終端安全管理三位一體解決方案?！叭弧笔侵覆《撅L(fēng)險(xiǎn)管理的3個(gè)基礎(chǔ)環(huán)節(jié):病毒事前靜態(tài)預(yù)防、病毒事中動(dòng)態(tài)防護(hù)、病毒事后統(tǒng)計(jì)評(píng)估;“一體”是指整個(gè)解決過程采用閉環(huán)的形式將3個(gè)基礎(chǔ)環(huán)節(jié)聯(lián)接成一體，實(shí)現(xiàn)對(duì)終端病毒防范的循環(huán)管理。

1)事前靜態(tài)預(yù)防

本環(huán)節(jié)的目標(biāo)是從源頭上減少終端安全威脅的幾率，通過對(duì)終端主機(jī)漏洞掃描、補(bǔ)丁安裝、安全屬性配置、重要資源保護(hù)、分布式防火墻的部署，提升終端的安全免疫力，降低終端病毒、木馬、后門程序、流氓軟件等惡意代碼的感染幾率，防御常見網(wǎng)絡(luò)攻擊，提高終端的風(fēng)險(xiǎn)靜態(tài)防御能力。具體功能如下:

①漏洞掃描與補(bǔ)丁安裝

實(shí)現(xiàn)操作系統(tǒng)安全漏洞掃描與補(bǔ)丁安裝功能。

②系統(tǒng)安全配置加固

對(duì)終端主機(jī)系統(tǒng)的安全配置進(jìn)行監(jiān)控和分析，可根據(jù)安全策略對(duì)系統(tǒng)安全配置進(jìn)行調(diào)整、優(yōu)化。加固對(duì)象包括賬號(hào)及密碼、網(wǎng)絡(luò)與服務(wù)、核心文件、日志系統(tǒng)、瀏覽器、網(wǎng)絡(luò)通信層、注冊(cè)表主要安全配置項(xiàng)、網(wǎng)絡(luò)配置項(xiàng)等。

③系統(tǒng)健壯性保護(hù)

提供終端主機(jī)系統(tǒng)健壯性保護(hù)功能，可保護(hù)操作系統(tǒng)核心資源，自動(dòng)修復(fù)惡意代碼對(duì)系統(tǒng)配置的破壞，降低系統(tǒng)故障發(fā)生概率。保護(hù)對(duì)象包括系統(tǒng)文件、系統(tǒng)驅(qū)動(dòng)、系統(tǒng)服務(wù)、系統(tǒng)重要目錄、系統(tǒng)進(jìn)程、網(wǎng)絡(luò)進(jìn)程、網(wǎng)絡(luò)通信協(xié)議、系統(tǒng)各類啟動(dòng)項(xiàng)共享系統(tǒng)、插件、賬號(hào)系統(tǒng)等。

2)事中動(dòng)態(tài)防護(hù)

本環(huán)節(jié)的目標(biāo)是實(shí)現(xiàn)系統(tǒng)實(shí)時(shí)防護(hù)、加強(qiáng)終端動(dòng)態(tài)防御能力。終端主機(jī)面臨的安全威脅會(huì)隨著用戶對(duì)各種應(yīng)用程序(尤其是WEB應(yīng)用、共享應(yīng)用、移動(dòng)存儲(chǔ)介質(zhì))的不斷使用而發(fā)生動(dòng)態(tài)變化。本產(chǎn)品客戶端集成“程序行為分析判定”技術(shù)，可針對(duì)終端主機(jī)的使用環(huán)境，從主機(jī)流量、文件系統(tǒng)、進(jìn)程、注冊(cè)表、賬號(hào)與權(quán)限等層面，提供不同力度的動(dòng)態(tài)安全防護(hù)，以有效控制各種惡意病毒的網(wǎng)絡(luò)傳播，清除各類網(wǎng)絡(luò)暗流。具體功能如下:

①文件系統(tǒng)安全監(jiān)控

采用事件觸發(fā)機(jī)制監(jiān)控終端主機(jī)文件系統(tǒng)的安全狀態(tài)，新文件被創(chuàng)建時(shí)即觸發(fā)分析、處理。

②進(jìn)程安全監(jiān)控

以惡意代碼“程序行為分析判定”技術(shù)為基礎(chǔ)，對(duì)終端主機(jī)進(jìn)程進(jìn)行實(shí)時(shí)監(jiān)控和安全防護(hù)。

③注冊(cè)表安全監(jiān)控

實(shí)現(xiàn)對(duì)終端主機(jī)注冊(cè)表資源的監(jiān)控和安全管理。以事件觸發(fā)機(jī)制為基礎(chǔ)，當(dāng)出現(xiàn)注冊(cè)表修改事件時(shí)，根據(jù)注冊(cè)表的修改信息和修改發(fā)起者的行為特征，綜合分析事件的合法性，智能判斷是正常改動(dòng)還是惡意修改，其過程對(duì)用戶而言是完全透明的。

④賬號(hào)與權(quán)限安全監(jiān)控

對(duì)賬號(hào)與權(quán)限系統(tǒng)進(jìn)行安全監(jiān)控，根據(jù)賬號(hào)變化等多方面因素綜合分析當(dāng)前賬號(hào)與權(quán)限系統(tǒng)的安全狀態(tài)，實(shí)時(shí)阻止各類非正常賬號(hào)的生成。

3)事后統(tǒng)計(jì)評(píng)估

本環(huán)節(jié)的目標(biāo)是進(jìn)行終端主機(jī)的安全檢測(cè)、自動(dòng)生成安全報(bào)表。通過提供完備的終端主機(jī)安全報(bào)表，使網(wǎng)絡(luò)管理員對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的病毒、木馬、后門程序、流氓軟件等惡意代碼的安全管理變得透明，網(wǎng)絡(luò)管理員可隨時(shí)掌握整個(gè)網(wǎng)絡(luò)的安全情況，安全管理不再處于混沌狀態(tài)。具體功能如下:

①安全檢測(cè)——數(shù)據(jù)采集

客戶端通過開機(jī)安全自檢，自動(dòng)收集終端主機(jī)的安全狀態(tài)。其檢測(cè)指標(biāo)包括:

a.系統(tǒng)安全檢測(cè):系統(tǒng)驅(qū)動(dòng)、系統(tǒng)服務(wù)、系統(tǒng)重要目錄、系統(tǒng)進(jìn)程、網(wǎng)絡(luò)進(jìn)程、各類啟動(dòng)項(xiàng)、文件關(guān)聯(lián)項(xiàng)等。

b.插件安全檢測(cè):BHO插件、系統(tǒng)插件、流氓軟件等。

c.資源安全檢測(cè):賬號(hào)系統(tǒng)、共享系統(tǒng)、文件系統(tǒng)、重要網(wǎng)絡(luò)端口、上網(wǎng)環(huán)境、計(jì)劃任務(wù)等。

d.流量安全檢測(cè):廣播流量、IP流量、ICMP流量、UDP流量、應(yīng)用進(jìn)程流量、應(yīng)用進(jìn)程會(huì)話連接數(shù)、TCP連接等。

e.第三方安全軟件檢測(cè):殺毒軟件安裝信息及啟/停狀態(tài)，終端防火墻安裝信息及啟/停狀態(tài)等。

②安全分析——數(shù)據(jù)處理

a.終端主機(jī)安全事件本地處理:客戶端按事件關(guān)鍵字及風(fēng)險(xiǎn)等級(jí)進(jìn)行事件關(guān)聯(lián)、過濾、精簡(jiǎn)，傳送給系統(tǒng)的安全中心;

b.安全中心數(shù)據(jù)整合:將終端主機(jī)上傳數(shù)據(jù)進(jìn)行事件聯(lián)合分析、安全評(píng)估并轉(zhuǎn)數(shù)據(jù)庫(kù)存儲(chǔ)，如發(fā)現(xiàn)安全異常或重大安全隱患，即觸發(fā)報(bào)警。

c.安全報(bào)表——數(shù)據(jù)展現(xiàn):從數(shù)據(jù)庫(kù)讀取安全數(shù)據(jù)，形成網(wǎng)絡(luò)安全評(píng)估報(bào)表。報(bào)表具有多種展現(xiàn)方式:詳細(xì)事件列表、柱狀對(duì)比分析圖、曲線趨勢(shì)圖、風(fēng)險(xiǎn)比例分析圖等，幫助網(wǎng)絡(luò)管理員準(zhǔn)確而真實(shí)地把握安全風(fēng)險(xiǎn)分布狀況。

4)安全策略管理中心

通過安全策略管理中心實(shí)現(xiàn)全網(wǎng)所有終端主機(jī)的統(tǒng)一安全管理。安全策略管理中心內(nèi)設(shè)終端安全防護(hù)的所有安全管理參數(shù)，提供終端主機(jī)安全規(guī)則設(shè)定、安全策略開/關(guān)、安全策略執(zhí)行范圍、周期設(shè)定等功能，幫助網(wǎng)絡(luò)管理員快速實(shí)現(xiàn)全網(wǎng)安全策略的統(tǒng)一部署和管理。

2.4 產(chǎn)品結(jié)構(gòu)

云主動(dòng)防御系統(tǒng)主要由以下3個(gè)組件構(gòu)成:

1)云主動(dòng)防御系統(tǒng)硬件設(shè)備

功能主要包括用戶認(rèn)證安裝控制中心、客戶端安裝軟件、行為特征庫(kù)升級(jí)、行為特征庫(kù)分發(fā)、用戶主機(jī)威脅檢查和處理情況數(shù)據(jù)采集、用戶主機(jī)威脅檢查和處理情況數(shù)據(jù)存儲(chǔ)等。

2)客戶端軟件

主要包括自動(dòng)升級(jí)、惡意代碼處理、客戶端日志、主動(dòng)防御檢測(cè)狀態(tài)、安全運(yùn)行狀態(tài)趨勢(shì)圖、資源保護(hù)圖、最新檢測(cè)報(bào)表等。產(chǎn)品界面如圖5所示。

3)安全管理監(jiān)管平臺(tái)軟件

主要包括系統(tǒng)登陸事件實(shí)時(shí)監(jiān)控、系統(tǒng)環(huán)境安全事件實(shí)時(shí)監(jiān)控、系統(tǒng)運(yùn)行安全事件實(shí)時(shí)監(jiān)控、客戶端安全分析查詢、客戶端文件分析查詢、客戶端自動(dòng)檢測(cè)查詢等。產(chǎn)品界面如圖6，7所示。

圖5 云主動(dòng)防御系統(tǒng)客戶端軟件

圖6 全局主機(jī)安全狀態(tài)評(píng)分

圖7 主機(jī)安全檢測(cè)報(bào)告

2.5 產(chǎn)品檢驗(yàn)與橫向比較

計(jì)算機(jī)病毒防治產(chǎn)品檢驗(yàn)中心(天津市質(zhì)量監(jiān)督檢驗(yàn)站第70站)是目前我國(guó)計(jì)算機(jī)病毒防治領(lǐng)域唯一獲得公安部授權(quán)的病毒防治產(chǎn)品檢驗(yàn)機(jī)構(gòu)。本產(chǎn)品通過該檢驗(yàn)中心的檢驗(yàn)結(jié)論(檢驗(yàn)報(bào)告NO:2010－112)為“該產(chǎn)品屬于具有部分功能的病毒防治產(chǎn)品，經(jīng)檢驗(yàn)，判定為合格品”。檢測(cè)結(jié)果表明:本產(chǎn)品“木馬軟件樣本庫(kù)檢測(cè)率為97.9%，誤報(bào)率小于等于0.1%，木馬樣本庫(kù)檢測(cè)率達(dá)到二級(jí)品標(biāo)準(zhǔn)”。根據(jù)文獻(xiàn)［11－12］統(tǒng)計(jì)，2010年通過該檢驗(yàn)中心檢驗(yàn)合格的計(jì)算機(jī)病毒防治產(chǎn)品共91個(gè)，其中一級(jí)品13個(gè)，二級(jí)品13個(gè)，合格品65個(gè);產(chǎn)品類型包括以下9類:單機(jī)防病毒產(chǎn)品、網(wǎng)絡(luò)版防病毒產(chǎn)品、郵件防病毒產(chǎn)品、網(wǎng)關(guān)防病毒產(chǎn)品、在線防病毒產(chǎn)品、反間諜木馬類產(chǎn)品、移動(dòng)終端安全產(chǎn)品。檢驗(yàn)合格的產(chǎn)品不乏360、微點(diǎn)、金山、江民、卡巴斯基等知名安全產(chǎn)品。本產(chǎn)品被該檢驗(yàn)中心劃定為反間諜木馬類產(chǎn)品。雖然檢驗(yàn)中心網(wǎng)站(文獻(xiàn)［12］)中并沒有公布所有受檢產(chǎn)品的樣本檢測(cè)率、誤報(bào)率等具體指標(biāo)，但是從“木馬樣本庫(kù)檢測(cè)率達(dá)到二級(jí)品標(biāo)準(zhǔn)”這一指標(biāo)來分析，本產(chǎn)品橫向?qū)Ρ犬?dāng)年度的全部91個(gè)受檢病毒防治產(chǎn)品，受檢技術(shù)指標(biāo)位居合格品的前列。

3 結(jié)束語

本產(chǎn)品申請(qǐng)了計(jì)算機(jī)軟件著作權(quán)登記(登記號(hào):2010SR056316)，并獲得了由國(guó)家公安部頒發(fā)的計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證(證書編號(hào):XKA10680)，在政府、金融機(jī)構(gòu)、大型國(guó)企等進(jìn)行了初步推廣和應(yīng)用。本產(chǎn)品的不足之處包括:一是由于采用動(dòng)態(tài)的程序行為分析判定技術(shù)，一旦惡意代碼沒有在操作系統(tǒng)中動(dòng)態(tài)運(yùn)行(獨(dú)立進(jìn)程、注入線程等方式)即不會(huì)產(chǎn)生系統(tǒng)API調(diào)用，產(chǎn)品將不會(huì)主動(dòng)對(duì)惡意代碼文件本身進(jìn)行靜態(tài)的查殺;二是對(duì)驅(qū)動(dòng)級(jí)惡意代碼的防御可能出現(xiàn)異常。由于當(dāng)前一些惡意代碼在系統(tǒng)中安裝驅(qū)動(dòng)程序，恢復(fù)或者修改系統(tǒng)SSDT表，并與主動(dòng)防御軟件爭(zhēng)奪系統(tǒng)ring0層控制權(quán)，產(chǎn)品在處理惡意代碼中可能會(huì)出現(xiàn)異常。針對(duì)此問題，產(chǎn)品將在版本升級(jí)中采用自定義的驅(qū)動(dòng)過濾層等技術(shù)來進(jìn)行改進(jìn)。

［1］Salah K，Alcaraz Calero J M，Zeadally S，et al.UsingCloud Computing to Implement a Security Overlay Network［J］.IEEE Security＆Privacy，2013，11(1):44－53.

［2］Hsu Fu－Hau，Wu Min－Hao，Tso Chang－Kuo，et al.Antivirus Software Shield Against Antivirus Terminators［J］.IEEE Transactions on Information Forensics and Security，2012，7(5):1439－1447.

［3］Wang Hsun，Wang King－Hang，Chen Chien－Ming.A N－ative APIs Protection Mechanism in the Kernel Mode against Malicious Code［J］.IEEE Transactions on Computers，2011，60(6):813－823.

［4］Shabtai，Asaf.F－Sign:Automatic，F(xiàn)unction－Based Signature Generation for Malware［J］.IEEE Transactions on Systems，Man，and Cybernetics，Part C:Applications and Reviews，2011，41(4):494－508.

［5］馮登國(guó)，張敏，張妍，等.云計(jì)算安全研究［J］.軟件學(xué)報(bào)，2011，22(1):71－83.

［6］許蓉，吳灝，張航.“云安全”檢測(cè)技術(shù)安全性分析［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2012，33(9):3309－3312.

［7］郭強(qiáng)，孫大為，常桂然.一種基于虛擬化技術(shù)增強(qiáng)云安全的可信賴模型［J］.東北大學(xué)學(xué)報(bào):自然科學(xué)版，2011，32(6):786－790.

［8］李曉勇，周麗濤，石勇，等.虛擬行為機(jī)制下的惡意代碼檢測(cè)與預(yù)防［J］.國(guó)防科技大學(xué)學(xué)報(bào)，2010，32(1): 101－106.

［9］陳亮，鄭寧，郭艷華，等.基于Win32API的未知病毒檢測(cè)［J］.計(jì)算機(jī)應(yīng)用，2008，28(11):2829－2831.

［10］楊阿輝，陳鑫昕.基于SSDT的病毒主動(dòng)防御技術(shù)研究［J］.計(jì)算機(jī)應(yīng)用與軟件，2010，27(10):288－290.

［11］曹鵬，張健，陳建民.我國(guó)計(jì)算機(jī)病毒防治產(chǎn)品現(xiàn)狀及發(fā)展趨勢(shì)［J］.信息網(wǎng)絡(luò)安全，2011(9):116－119.

［12］計(jì)算機(jī)病毒防治產(chǎn)品檢驗(yàn)中心［EB/OL］.［2013－10－10］.http://www.antivirus－china.org.cn/head/jianyanjieguo_2010.htm.

(責(zé)任編輯 楊黎麗)

Design and Implementation of Security Cloud Active Defense System Against Malicious Code

ZOU Hang1，CHEN Zhuang1，LI Xue－ping2(1.Department of Computer Science and Engineering，
Chongqing University of Technology，Chongqing 400054，China;
2.Chongqing Yuanheng Technology Development Co.，Ltd.，Chongqing 400039，China)

As we know that it has been increasingly difficult to effectively and timely detect the mass and unknown malicious virus with the conventional virus feature code detection－and matching－based antivirus technologies.Using the cloud computing model，this paper proposes a security cloud active defense system against the malicious codes，on the basis of the program behavior analysis，pattern recognition，intelligent processing，and six sub－systems of operating system with active defense technology.This scheme can intelligently detect，identify，and remove the known and unknown malicious codes.Our system uses the P2DR model provided by the client software and cloud server，and themanagement console is composed of three parts.It also includes the functionality of capturing the malicious code behaviors for active defense and analyzing the malicious code behaviors，which can offer the security situation analysis report of the whole network，thus resulting in an efficient security defense－in－depth system.

malicious code;computer virus;security cloud active defense system;cloud security

TP309.5

A

1674－8425(2014)05－0084－09

10.3969/j.issn.1674－8425(z).2014.05.017

2013－09－04

國(guó)家科技部科技型中小企業(yè)技術(shù)創(chuàng)新基金項(xiàng)目(12C26115116106)

鄒航(1979—)，男，重慶人，碩士，實(shí)驗(yàn)師，主要從事網(wǎng)絡(luò)與信息安全研究;陳莊(1964—)，男，重慶人，博士，教授，主要從事信息安全和人工智能研究。

鄒航，陳莊，李雪平.惡意代碼云主動(dòng)防御系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)［J］.重慶理工大學(xué)學(xué)報(bào):自然科學(xué)版，2014(5): 84－92.

format:ZOU Hang，CHEN Zhuang，LI Xue－ping.Design and Implementation of Security Cloud Active Defense System Against Malicious Code［J］.Journal of Chongqing University of Technology:Natural Science，2014(5): 84－92.