基于API拦截的主动防御系统
0引言随着计算机和互联网的高速发展,计算机病毒变种速度也不断加快,同时衍生出大量免杀技术,包括加壳、加花指令,定位并修改病毒特征值等[1]。这些免杀技术使得传统的基于特征码的反病毒技术远远滞后于病毒的变种速度。在这种情形下,如何摆脱对特征码库的依赖,实现对未知病毒的启发式查杀,成为了反病毒行业的热点课题。目前的启发式查杀技术分静态和动态两种[2]。当前的静态启发式分析技术在应对未知病毒上比传统的匹配方法好,但其主要缺陷在于无法应对恶意程序的模糊代码、自变形和加壳技术。Moser等人在理论上证明模糊代码和自变形技术对于静态分析而言是NP(Non-Deterministic Polynomial,非确定多项式)问题[3]。随着加壳[4]技术的发展,王硕[5]等人所提到的第三方通用脱壳工具也不复存在。这使得想通过静态方法获取样本的行为特征的可行性变得越来越差。相对于静态分析而言,执行时的应用程序在调用API(Application P...&
(本文共3页)
权威出处：
0引言基于行为分析的主动防御系统通过监控程序行为来及时发现病毒程序并阻止程序的运行,使得杀毒引擎摆脱了仅仅依靠病毒特征码进行扫描的尴尬局面。在面对未知病毒和木马的攻击时展现出其与传统防病毒系统的优越性[1,2]。但由于大中型企事业单位信息系统中通常部署了主机审计系统、防病毒系统和多种身份认证系统等安全防护产品和众多的应用软件,主动防御系统在实际应用中面临与安全防护产品和应用软件的兼容性问题[3]。为保证主动防御系统在安全产品部署众多的信息系统中能够发挥其有效防御未知病毒和木马的作用的同时,不影响各类安全防护产品和应用软件的正常功能,需首先完成严格的兼容性测试。在兼容性测试中,通常故障来源于两个及以上参数相互作用,例如:Mozilla浏览器的错误报告记录显示单个参数导致的兼容性错误较少,70%的错误是由某两个参数的相互作用触发的,并且超过90%的错误是由3个以内的参数互相作用引发的[4]。因此,在主动防御系统兼容性测试中,为使得测...&
(本文共4页)
权威出处：
据美国国家安全咨询类网站报道,乔治·华盛顿大$网络与国土安全中心当天发布了题为《走进“灰色地带”:私飾门与主动防御嶋威胁》的报告,全文iAf;)'j|〇,,lfl ■■·■:.'. ^"t i'ii-/'; 网络空间发展的转折点。美国各政府机构与私营企业赃大力?F細络空间能力’已经从相当一部分最为先进的网络能力当中受益;但同时也容易遭受破坏性@络事件的影响,并且面临着各类网络恶意行为者的持续威胁。要解决这-挑战,必须明确地界定私营部门在网络安全领域的角色与作用,除了信息共享与防御活动层面,还应该再涉及更多“主动防御”事务,具体包括业务、技术、政策与法律措施等,这也正是本次报告的主旨所在。 报告认为,除美国政府必须在网络空间扮演重要角色之外,私营部门亦需要承担相关责任并投入现自我防御。@此,报告希望将“主动防御”机制纳入更为广泛麵触全雕帥,从而设计并实施-套新型框架,最终协助私营部门完成这项任务。与此同时,报告还的群体范畴拓展至所...&
(本文共1页)
权威出处：
近年来,随着我国互联网的快速普和全面应用,我国的信息化发展迅速。信息安全越来越受到关注,只有信息安全得到保护,信息化才可以健康有序的发展。信息安全的保护主义是实现对信息的保密性、真实性、完整性、未授权拷贝、系统的安全性方面。要想杜绝网络病毒入侵电脑,就要先对病毒的传播方式方法有个大体的了解。只有知道了病毒的入侵,才能采取一系列的反病毒方法。1病毒传播形式当前比较热门的病毒,主要是木马病毒和蠕虫病毒。木马病毒其实是一类后门启动程序,他的入侵主要是隐藏在计算机的操作系统里对用户资料进行窃取。窃取用户的QQ密码、网上银行账户密码、电子邮箱密码以及游戏账户密码等信息。蠕虫病毒相比木马病毒更高级,具有检查计算机电脑有没有系统及软件漏洞的模块,假设检查到某台电脑存在漏洞,就会立刻启动传播程序,通过操作系统和软件程序的漏洞给予主动攻击,传播途径十分广泛,危害性比木马病毒大,假设其中一台电脑感染了蠕虫病毒后,其局域网里面的另外电脑也会迅速被感染...&
(本文共1页)
权威出处：
一般组织的计算机局域网如果没有连接互联网之前,安全问题一般都来自内部,一旦局域网与互联网连接后,那么局域网的安全威胁就有可能来自外部网络。由于外部网络(互联网)是开放式的,所以危险性很高。在我们实际应用中,无论是来自局域网内部或者来自外部网络的安全威胁,都会影响局域网的正常工作。一个安全的网络环境是计算机局域网应用基础,因此网络安全也就成为涵盖组织所有信息资源的局域网工作的基础,所以局域网的安全问题就是计算机网络应用的重点所在。目前,主动防御体系尚无标准定义,其做法就是在动态网络安全的基础上进行扩充,以策略和管理为核心,利用预检测以及反击等技术做到主动防御。由于以上各技术之间缺乏安全消息的交互途径,所以不能进行安全消息共享,导致只能重复检测安全事件,这样做直接导致局域网在做安全检测时系统暴露时间增加,从而影响网络的安全。1主动防御体系的结构1.1主动防御定义主动防御的定义是:计算机局域网的安全系统利用多种路径接受安全消息,从而根...&
(本文共2页)
权威出处：
今天我们要介绍的程序启动控制是主动防御中的一个重要部分。通过程序启动控制,我们可以有选择地对进程之间的联系进行了解和控制。比如我们可以通过这个功能来获知一个子病毒文件到底是由哪些个源病毒文件触发或生成的。下面我们以Windows中的计算器程序CALC.EXE和IE浏览器程序IEXPLORE.EXE来演示上述的这个功能。首先打开瑞星2008主界面,在“防御”页面中找到“程序启动控制”,点击“设置”,进入到“主动防御”设置界面中(见图1)。在“程序启动控制”选项里点击“添加”,在这个演示里我们将以系统自带的计算器CALC.EXE程序添加到“规则应用对象”中,然后点击“确定”。在弹出的“添加规则”中点击“添加”,将I E浏览器程序IEXPLORER.EXE添加进来(也可以选所有程序,在这里我们为了演示就以IE浏览器来代替),之后一路“确定”,返回Windows桌面。此时我们已将C A L C.E X E设置为需要检测的对象,...&
(本文共1页)
权威出处：
扩展阅读：
CNKI手机学问
有学问，才够权威！
xuewen.cnki.net
出版：《中国学术期刊（光盘版）》电子杂志社有限公司
地址：北京清华大学 84-48信箱 大众知识服务
京ICP证040431号&
服务咨询：400-810--9993
订购咨询：400-819-9993
传真：010-　　推荐期刊投稿
&&&免费论文
&&&收费论文
&&&浏览历史&&&&&&&&&&&&&&&
从被动防御到云安全
&&&&来源：e-works&&&&特约撰稿人：&&&&&&
关键字：&&&&&&
<span id="bdshare" style="float:padding-bottom:0" class="bdshare_t bds_tools get-codes-bdshare feed-card-share" data="text:'从被动防御到云安全',url:'http://articles.e-works.net.cn/security/article65267.htm'" >
最初接触到“入侵检测系统”还是在学校里，一堂海归而来专门研究此技术的博士讲座。那时它还是网络安全的最新热门问题。由演讲知道原来杀毒软件是这样工作的，病毒是这样的鉴定的，新的技术是什么样的。从那时起，便开始关注杀毒软件的技术。
&&& 最初接触到“入侵检测系统”还是在学校里，一堂海归而来专门研究此技术的博士讲座。那时它还是的最新热门问题。由演讲知道原来杀毒软件是这样工作的，病毒是这样的鉴定的，新的技术是什么样的。从那时起，便开始关注杀毒软件的技术。 &&& 由“被动防御”到“主动防御” &&& 所谓的“被动防御“主要是指基于特征码的精确检测。病毒库在杀毒的过程中，将指定的文件与病毒库中的病毒版本进行对比判断，然后由引擎处理。所以病毒库中的病毒特征版本直接影响到查杀结果，反病毒厂商必须有迅速收集并分析新的威胁和制定针解决机制的能力。这种检测方法虽然能够准确地确定恶意代码并对其进行清除。但是显然它只能在新的威胁产生后，才能对其进行分析并生成对应的特征码和处理方法，并不能应对越来越多的能够迅速感染机器的新病毒，因此，反病毒厂商开始在他们的产品中加入主动防御技术。 &&& 主动防御则会使用一组规则对被扫描对象内的代码和运行的行为进行分析，以确定其是否含有恶意代码和具有恶意行为。从理论上来看，主动防御技术能够检测所有已知和未知恶意程序。但实际上，这是不现实的。 &&& 目前来看，各反病毒厂商采用的使用最多的是启发式分析和行为阻止这两项技术。启发式分析指的是“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态高度器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。病毒行为阻断技术通过提取计算机病毒的共性特征，如修改注册表、自我复制、不断连接网络等，综合这些病毒行为特征来判断其是否为病毒。 &&& 从上面的可以看出，就算是主动防御技术也需要基于病毒特征库进行工作。这个病毒库中中包含了大量恶意程序的潜在恶意行为/指令特征。它需要反病毒专家对大量已知病毒进行分析，并且对它们的常见行为和指令进行归纳总结，并将提炼出来的特征值添加入其中。主动防御技术虽然能够防御大量使用已有恶意行为的新恶意程序。但是，如果某些新的恶意程序采用了全新的方法(不在“知识库”中的方法)来入侵、感染计算机，并盗取私密数据的话，主动防御技术仍然是无法对其进行有效防御的。因此，同被动防御技术一样，主动防御技术也需要不断地更新其病毒库和其采用的判断逻辑。 &&& 由“主动防御”到“云安全” &&& 趋势和瑞星都是“云安全”概念的始作俑者。它们提出的概念分别是： &&& 趋势：趋势科技云安全的核心在于它构建了一个威胁信息汇总的全球网络，由智能威胁收集系统、计算云、服务云和安全子系统4个部分工作在，比传统对比技术的反病毒方案反响速度更快、辨别技术更准、防护能力更强。它的"云安全"技术架构核心是以趋势的Web信誉服务（WRS）、邮件信誉服务（ERS）、文件信誉服务（FRS）和Trendlabs研发中心为基础，部署于云端，把病毒特征码保存互联网云数据库中，借助全球威胁信息汇总的网络，并令病毒特征码在客户端保持最低数量，得以在网络威胁到达用户或企业网络之前予以拦截。
&&& 图1 趋势云安全技术 &&& 瑞星：瑞星云安全的核心在于将用户和瑞星技术平台通过互联网紧密相连，组成一个庞大的木马/恶意软件监测、查杀网络，每个“瑞星卡卡6.0”用户都为“云安全”计划贡献一份力量，同时分享其他所有用户的安全成果。它的云安全技术核心在于瑞星“木马/恶意软件自动分析系统”（ RsAMA），该系统能够对大量病毒样本进行动分类与共性特征分析。借助该系统，能让病毒分析工程师的处理效率成倍提高。
&&& 图2 瑞星云安全技术 &&& 我们可以看出，趋势和瑞星都提出了“云安全”概念，但两者概念区别很大。趋势的云安全强调阻止外来威胁，需要大量的;瑞星的云安全则强调对用户计算机上已经存在的未知威胁进行感知，需要有大量的客户端。这样，趋势对本机的威胁的收集有所忽视，而瑞星对外部新威胁的收集有所忽视，必定导致一些不足。 &&& “云安全”也应用主动防御技术，它的亮点在于它能够超大规模的对威胁进行分析和收集并作出判断。例如，云安全可以支持平均每天55亿条点击查询，每天收集分析2.5亿个样本，资料库第一次命中率就可以达到99%。但是，就如主动防御里所讲的，云安全要想走在病毒爆发之前，目前来说这是不现实的。
责任编辑：
本文为e-works原创投稿文章，未经e-works书面许可，任何人不得复制、转载、摘编等任何方式进行使用。如已是e-works授权合作伙伴，应在授权范围内使用。e-works内容合作伙伴申请热线：editor@e-works.net.cn tel：027-/21。
分页导航：
12345678910
12345678910
12345678910
12345678910UTM(IDS/IPS)的最新文章_买数码先上IT168
关于 UTM(IDS/IPS) 的文章
并发连接数直接体现了被测的UTM在应用中所能维持的最大会话数，它直接反映出设备能够满足网络应用规模的大小。测试中，为了避免由于......
　关键字：
UTM与单功能产品相比，它所提供的安全防护功能更为丰富。而由于各厂商所运用的技术不同，即使是相同的功能模块，所包含的内容也并不......
　关键字：
以目前仍是网络安全市场中占有率最高的网络防火墙来说，目前仍主要基于包过滤、状态包过滤以及应用代理、状态检测等技术。基于包过......
　关键字：
随着互联网的发展以及宽带接入的普及，网络已经走进了千家万户，改变着人们的工作和生活。然而正当互联网给人们带来极大便利的同时......
　关键字：
通过安全网关（被动防御体系）与入侵检测系统（主动防御体系）的互动，实现"主动防御和被动防御"的结合。对在企业内网发起的攻击和......
　关键字：
在购买入侵检测系统的过程中，一个决策的关键点通常是入侵检测系统采用签名还是异常检测引擎。最初厂商了解两种方法的优点并且把这......
　关键字：
通常来说，一个企业或机构准备进军此领域时，往往选择从基于网络的IDS入手，因为网上有很多这方面的开放源代码和资料，实现起来比较......
　关键字：
关于入侵检测的 “定义 ”已有数种，其中ICSA入侵检测系统论坛的定义即：通过从计算机网络或计算机系统中的若干关键点收集信息并对......
　关键字：
最简单的方案是显而易见的，通过统计IDS/IPS所能检测的利用漏洞攻击种数来进行比较。目前多数主流的IDS/IPS产品都提供了CVE名的支持......
　关键字：
提到网络安全，很多人首先想到的是防火墙。配置适当的防火墙虽然可以将非预期的访问请求屏蔽在外，但不能检查出经过它的合法流量中......
　关键字：