“云@@安全@@”检测@@已成为@@病毒查杀领域发展的新趋势@@,为@@对@@其@@在病毒检测@@过程中的安全性有进一步了解@@,研究了@@“云@@安全@@”检测@@体系结构以及主流@@@@“云@@安全@@”策略@@,针对@@某@@@@“云@@安全@@”检测@@软件的文件样本提取方式和网络传输数据@@的特点@@,分析了检测@@流程@@中存在的安全隐患@@,基于这些安全隐患设计并实现了@@“云@@安全@@”检测@@的规避方案@@,针对@@规避方案提出了防护建议@@。实验结果表明@@,“云@@安全@@”检测@@在实际应用过程中仍可能被恶意程序绕过@@。
引言@@
传统病毒查杀机制主要通过@@目标文件特征码鉴定方式查杀木马病毒@@。这种方式主要是@@通过@@将目标文件的特征码和本地病毒特征库内病毒特征进行比对@@@@@@,若匹配特征库中某@@病毒特征则判定此文件为@@病毒文件@@,判断的准确性取决于特征库是@@否全面@@。然而新病毒不断涌现@@,用户需要不断更新病毒库才能保证病毒库的升级全面@@,这必然使得病毒库越来越庞大@@,占用用户内存和系统资源越来越多@@,导致杀毒软件的扫描效率不断下降@@,系统性能也受到极大影响@@。《瑞星互联网@@安全报告@@》显示@@2011年上半年中国互联网@@安全领域病毒总量比去年同期上升@@25.2%。病毒数量呈爆炸式增长使得传统杀毒软件面临严重的困境@@,因此杀毒软件必须要建立一种全新的病毒查杀机制@@。“云@@安全@@”利用互联网@@的传输及计算功能@@,将原来放在客户端的分析计算能力转移到了服务器@@端@@,很大程度上弥补了传统病毒查杀机制的不足@@。目前@@对@@@@“云@@安全@@”检测@@技术的研究着重于检测@@性能的提升和服务器@@集群的防攻击保护方面@@,而本文针对@@@@“云@@安全@@”检测@@系统的客户端@@,对@@“云@@安全@@”结构和主流@@@@“云@@安全@@”策略@@进行了介绍@@,同时对@@某@@@@“云@@安全@@”检测@@流程@@及其@@检测@@流程@@中存在的安全隐患进行了分析@@,设计并验证了规避检测@@的方案@@,为@@“云@@安全@@”检测@@系统提供防护建议@@。
1 “云@@安全@@”检测@@结构分析@@及主流@@策略@@@@
1.1 “云@@安全@@”检测@@结构分析@@
“云@@安全@@”是@@“云@@计算@@”理论在安全领域的应用@@,融合诸多新兴技术@@,如网格计算@@、并行处理技术@@、未知病毒行为@@判断技术等@@,通过@@互联网@@将用户和杀毒软件厂商的服务器@@集群进行连接@@,形成一个庞大的防毒杀毒系统@@,对@@用户机器中软件的异常行为@@进行监测@@,从中获取病毒木马的特征信息并向服务器@@端传送@@,服务器@@端对@@其@@进行分析处理后再向各个客户端发送该@@病毒木马的解决方案@@。“云@@安全@@”检测@@系统结构组成@@如图@@@@@@1所示@@。
“云@@安全@@”将原先客户端的分析计算工作转移到了服务器@@端@@,这要求服务器@@端必须拥有快速响应客户端请求与快速分析处理可疑文件的能力@@。为@@提高分析查杀的准确率@@,服务器@@端拥有多个快速分析引擎@@、庞大的病毒特征库以及行为@@分析等多个分析技术@@。当用户访问网络信息时@@,“云@@安全@@”客户端首先将用户访问信息提交服务器@@进行安全评估@@,服务器@@快速响应分析后迅速将解决方案发送至客户端@@,客户端再根据解决方案提示用户该@@网络信息是@@否安全@@;当用户执行本地扫描时@@,客户端将可疑文件样本提交至服务器@@进行分析得到解决方案@@。
图@@1 “云@@安全@@”系统结构组成@@
1.2主流@@“云@@安全@@”策略@@
目前@@“云@@安全@@”的技术标准并不统一@@,各个杀毒软件厂商对@@@@“云@@安全@@”的理解各不相同@@,主要分为@@偏主动防御型@@和偏被动防御型@@两类@@“云@@安全@@”策略@@。
偏主动防御型@@“云@@安全@@”以趋势科技为@@代表@@,其@@“云@@安全@@”使用大量的服务器@@构成一个具有庞大的黑白名单的@@“云@@”,通过@@Web信誉服务@@(web reputation services,WRS)、邮件信誉服务@@@@(email reputation services,ERS)和文件信誉服务@@@@(file reputation services,FRS)等核心技术@@,对@@网络访问信息进行安全评估@@,并拦截阻止@@Web威胁进人用户机器@@。该@@“云@@安全@@”系统的服务器@@数据@@库中存有大量的网络威胁特征值@@,客户端仅保存有少量的病毒特征码文件和@@web信誉评级等数据@@用于本地验证@@。趋势云@@安全@@技术强调对@@@@Web威胁的拦截@@,通过@@动态分析@@,对@@网络访问信息进行安全等级评估@@,极大地降低了病毒对@@下载传染的依赖性@@,但是@@这种主动防御对@@本机上已经存在的未知威胁的有效感知能力相对@@较弱@@。
偏被动防御型@@“云@@安全@@”以瑞星为@@代表@@,其@@“云@@安全@@”拥有大量的客户端@@,每个客户端都通过@@已安装的@@“云@@安全@@的探针@@”对@@用户计算机进行扫描@@,截获@@、提取可能是@@恶意程序的文件样本@@,并将其@@上传至@@“云@@安全@@”服务器@@,服务器@@在自动分析和处理后再向每个客户端分发解决方案@@。这种被动防御模式能够对@@本地已经存在的未知病毒进行有效侦测和查杀@@,但对@@网络病毒的主动防御能力相对@@较弱@@。
1.3 “云@@安全@@”的安全防护@@
“云@@安全@@”检测@@采用轻客户端的策略@@@@,将分析计算工作以及病毒特征库等全部转移至服务器@@端@@,一旦云@@端服务器@@遭受攻击@@,比如篡改数据@@库等@@,“云@@安全@@”系统就无法对@@木马病毒进行正确判断@@,甚至无法正常运行@@,因此目前@@对@@@@于@@“云@@安全@@”的安全防护@@研究集中于对@@服务器@@集群的保护@@,对@@客户端的安全防护@@研究比较薄弱@@。 2 “云@@安全@@”检测@@流程@@及安全隐患分析@@
2.1 “云@@安全@@”检测@@流程@@
以某@@@@“云@@查杀@@”(即@@“云@@安全@@”检测@@)软件为@@例分析其@@检测@@流程@@@@。该@@“云@@查杀@@”主要通过@@文件@@hash比对@@@@、文件样本启发式分析和行为@@分析@@三大检测@@技术对@@可疑文件进行分析判断@@。如图@@@@2所示@@,客户端软件首先查找可疑文件并上传该@@文件@@hash值至服务器@@集群@@,服务器@@端对@@该@@文件@@hash值进行黑白名单比对@@@@@@,发现异常则生成解决方案@@发送至客户端@@,未发现异常客户端则提取文件样本@@,经过服务器@@端对@@该@@文件@@样本的启发式分析检测@@后@@,发现异常则生成解决方案@@;若仍未发现异常@@,客户端软件则搜集该@@文件运行过程中的行为@@特征上传至服务器@@进行行为@@分析@@,服务器@@最终判定该@@文件是@@否可信并向客户端发送解决方案@@。
图@@2 某@@“云@@查杀@@”系统检测@@流程@@@@
2.2 “云@@查杀@@”检测@@流程@@安全隐患分析@@
该@@“云@@查杀@@”系统依靠客户端上传的文件@@hash触发服务器@@端一系列的检测@@分析@@,在如图@@@@@@2所示@@的检测@@流程@@中@@,攻击任何一个环节都会影响最终解决方案的生成@@。但黑白名单比对@@@@@@、启发式分析和行为@@分析@@3个环节处于服务器@@端@@,由于@@“云@@安全@@”系统对@@服务器@@严密的安全防护@@@@,针对@@这@@3个环节的攻击相对@@比较困难@@,因此对@@处于客户端的各个环节进行分析发现@@,客户端查找文件和提取文件@@hash上传两个环节存在安全缺陷@@,极易遭受文件路径欺骗@@、通信欺骗和断网攻击@@。
2.2.1 文件路径欺骗安全隐患分析@@
“云@@查杀@@”客户端对@@用户计算机进行实时监控@@,当有程序启动运行时@@.客户端将立即@@检查该@@程序的合法性@@,但客户端只是@@简单的根据启动项@@、系统服务等特定信息查找该@@程序位置并提取文件样本@@,恶意软件可以通过@@隐藏其@@真实文件路径来轻易地躲过客户端的查找@@。
