面向云平台的多样化恶意软件检测架构.docVIP

面向云平台的多样化恶意软件检测架构 摘要：近年来，恶意软件对物理机和云平台上虚拟机均构成巨大的安全威胁。在基础设施即服务（IaaS）云平台上部署传统的杀毒软件、防火墙等恶意软件检测工具存在以下问题：1）检测工具可能被破坏或者关闭；2）单一的检测工具效果不理想；3）检测工具可能被加壳等方式绕过；4）需要给每台客户机安装额外软件，难以部署实施。为此提出一种面向云平台的多样化恶意软件检测架构。该架构利用虚拟化技术截获客户机的特定行为，抓取客户机内软件释放的代码，通过多种杀毒软件多样化的扫描确定软件的恶意性。采用的动态内存提取的方式对客户机完全透明。最后在Xen上部署该架构并进行恶意软件检测测试，该架构对加壳恶意软件的检测率为85.7%，比杀毒软件静态扫描的检测率高14.3个百分点。实验结果表明，在云平台上采用多样化恶意软件检测框架能更好地保障客户机的安全。 关键词： 云平台；恶意软件检测；虚拟化；多样化；动态扫描 中图分类号： TP309.5 文献标志码：A 0引言 恶意软件[1]是指带有攻击意图所编写的一段程序，用于破坏计算机操作、收集敏感信息或访问专用计算机。现有的恶意软件检测主要方法有2种[2]：一种方法是基于特征匹配。通过提取软件二进制文件特征或者动态的行为特征与恶意代码库的特征进行比对来判断是否是恶意软件。另一种方法是基于异常检测。通过发现软件行为中与正常行为不符的方式来判定是恶意软件。现在，恶意软件的检测主要由操作系统上的杀毒软件完成。在基础设施即服务（Infrastructure as a Service， IaaS）云平台客户机中部署传统杀毒软件存在以下问题：1）杀毒软件存在被关闭和破坏风险。杀毒软件处于客户机内部，恶意软件通过技术手段检测杀毒软件的存在后进行关闭和破坏操作。2）杀毒软件的静态扫描方式容易被加壳等手段绕过。3）单一杀毒软件的检测效果不理想。市面上主流杀毒软件的检测效果表现出较大差异。同一样本在一部分杀毒软件中报告安全，在另一部分中报告存在安全威胁。多种杀毒软件同时进行恶意软件检测表现出更好的效果，但是在同一台客户机中安装多种杀毒软件，除了普遍存在的兼容性问题，还会大量消耗客户机资源，严重影响性能。4）IaaS云平台的服务提供商需要在每个客户机中预装杀毒软件，这种方式很难被接受并且不利于快速扩展。鉴于上述原因，在云平台上客户机外部统一部署恶意软件的检测模块，提供客户机多样化的动态内存扫描服务有重大意义，既很大程度上降低被关闭和破坏的风险，增加了绕过的难度，还利用云平台强大的计算能力、技术基础，又能减少在每个客户机中部署杀毒软件的资源消耗。 作为云平台的基础技术，虚拟化技术[3]是通过在物理层和操作系统层之间加入中间层，即Hypervisor层。Hypervisor通过内存管理、外设管理、中央处理器（Central Processing Unit， CPU）调度等模块的重新设计完成内存虚拟化、外设虚拟化和CPU虚拟化，在同一套硬件资源上虚拟出多套虚拟硬件资源。多个操作系统可以互不影响地在同一台物理机上同时运行，复用物理资源。由于Hypervisor可以直接控制CPU、内存等硬件，在云平台上通过Hypervisor实现系统监控、恶意软件的检测在学术界逐渐的发展。 针对恶意软件检测在云平台上面临的诸多问题，本文提出了一种面向云平台的多样化恶意软件检测架构。该架构采用修改影子页表实现这一新方法，在对客户机完全透明的情形下，利用虚拟化技术截获客户机的特定行为，抓取客户机内软件释放的代码，最后综合多种恶意软件检测工具的结果做出软件是否恶意的判断，实验表明该架构对加壳恶意软件的检测效果比杀毒软件静态扫描的检测效果更好。 1相关研究 研究人员对利用虚拟化技术进行监控和恶意软件检测进行了大量的研究，取得了一些这方面的成果。基于虚拟化技术的监控技术按照监控软件的部署位置分为外部监控和内部监控。内部监控软件，与传统的监控软件有些相似，与被监控虚拟机位于同一个操作系统内。外部监控软件位于被监控系统外，借助Hypervisor获得被监控虚拟机的二进制信息，通过技术手段恢复成操作系统的系统调用或者进程创建等消息。这方面的监控软件很多，比如Panorama是Yin等[4]设计的基于QEMU（Quick Emulator）[5]的系统级别监视系统，用于分析恶意软件的执行流程和感染路径。VAMPiRE[6]、Cobra[7]是已经提出细粒度的监控软件框架：其中VAMPiRE是通过操作内存的读写运行权限实现在系统的任何地方下断点；Cobra采用将待监控代码分块运行于低权限的环境中，通过修改内存属性等，完成对待监控代码的行为分析。外部监控系统调用在VMwatcher（Virtual Machine watcher）[8]和TTAnalyze