基于行为监测的Anti-RBootkit的研究与实现.pptVIP

基于行为监测的Anti-R/Bootkit的研究与实现 报告人: 李月锋 导师：周学海 专业：计算机系统结构 2009-5-25 主要内容 概述与设计需求 恶意程序(代码)、Rootkit、Bootkit 恶意代码扫描检测技术的原理与不足 主动防御的不足以及基于行为监测的Anti-R/Bootkit的提出 行为特征剖析和基于行为特征的形式化描述语言 行为特征剖析 形式化描述语言 方案设计与评估 总结与展望 概述与设计需求 恶意程序/代码 恶意软件(Maleware)是非用户期望运行的、怀有恶意目的或完成恶意功能的完整的程序集合。 恶意代码(Malicious Code) 是指用于描述完成特定恶意功能的代码片段。 Rootkit 作为当前新型的恶意软件的代表的Rootkit，用于实现自身及系统中特定资源和活动的隐藏，破坏可信任计算机的完整性 。 Bootkit Bootkit通过感染可引导的外设固件和关键系统文件，驻留在整个系统的启动过程。 恶意代码扫描检测技术的原理与不足 原理 后置式 感染-检测-清除 问题 扫描检测类防护系统工作时往往已经由于恶意软件的成功感染失去了本身以及系统程序的可信任的执行环境 失去了原本的处于Ring0高特权级别的扫描检测优势 缺点 1.扫描检测的有效性往往无法保证；而且即便发现了恶意软件的存在，却由于感染破坏的不可恢复性失去了扫描检测的实际意义。 2.给内存、CPU等公共的可利用系统资源造成了较高的扫描检测开销。 恶意代码扫描检测技术的原理与不足 扫描技术 原理：特征码匹配 不足： 维护庞大的特征码搜索网 无法扫描变形、加壳、多态等恶意代码 检测技术 基于特征码的内核内存扫描 启发式扫描 原理：异常行为加权 不足：对系统性能影响较大 基于内存完整性校验 原理：对比系统磁盘文件来发现隐藏痕迹 不足：依赖磁盘文件的可信任性 基于交叉视图的检测 原理：不同检测路径交叉对比 不足：依赖各个检测路径的可信任性 主动防御的不足以及行为特征监测的必要 主动防御 优点 前置式 原理 钩挂某些关键的系统调用的执行路径以及直接对内核对象监控。 为每个可疑的、关键的系统调用和直接内核对象操作根据其潜在的安全威胁给出对应的处理规则—也就是安全威胁列表。 不足 单一的特定系统调用或者内核对象的访问，往往由于缺乏其发生的上下文环境的分析以及彼此间内在关联关系的分析 需要频繁借助用户的经验来帮助主动防御系统做出最终的裁决，因此带来不必要的高用户交互性。 行为特征监测 行为特征 弥补主动防御的不足 主要内容 概述与设计需求 行为特征剖析和基于行为特征的形式化描述语言 行为特征剖析 行为特征的约束和限制条件 典型R/Bootkit行为特征分析 形式化描述语言 形式化描述语言定义 使用形式化描述语言描述行为特征 方案设计与评估 总结与展望 典型R/Bootkit行为特征分析 约束和限制条件： 是R/Bootkit植入、感染、发作生命周期中必需的 不属于普通应用程序的正常行为范畴 Rootkit行为特征分析 形式化描述语言定义 语义 计算机系统的行为从本质上来说定义了一系列空间、时间资源状态以及针对资源的操作行为。用二元式的形式描述系统运行 行为如下： B=(S,P) 其中S是时间/空间资源状态的集合，P是资源状态迁移操作的集合。 P={p|p=s1-s2,s1,s2是S集合的元素} 而恶意代码的行为M是B的子集。 程序行为可以从主体(Body)，动作(Action)，空间资源(Space resources)，时间状语(Time Related Clause)四个安全属性加以刻画 。 形式化描述语言定义 语法 范式规则 - if(检测类范式规则) {控制类范式规则}; 检测类范式规则 - 子行为 控制类范式规则 - 子行为 子行为 - 主体动作空间资源时间状语and子行为 子行为 - 主体动作空间资源时间状语or子行为 空间资源 - 地址类空间资源|内容类空间资源|空 时间状语 - 发生次数 per 时间段 形式化描述语言定义 基本元素类型 数据类型 主体 空间资源 时间状语 操作类型 Ref XX as 参数[YY] 。。。 控制类型 Deny Allow 关系类型 And or 使用语言描述行为特征 行为特征 status = ZwOpenSection(hSection， SECTION_MAP_READ| SECTION_MAP_WRITE， objectAttributes); BaseAddress=MapViewOfFile(hSection， FILE_MAP_READ|FILE_MAP_WRITE，