云安全—未来的病毒防御体系在云+端

云安全—未来的病毒防御体系在云+端

南京信息工程大学 严竞雄

JingxiongYan@hotmail.com

摘要：

在科学技术日新月异的今天，伴随着全球互联网产业的飞速发展，网络上的具体应用与传统PC客户端之间的结合正变得越来越紧密，与此同时，个人与企业内部的网络安全问题也日益严峻。因此，分布式的病毒与恶意代码拦截技术与服务器集群这一立体防御模式将在日后的互联网整个防护体系中占据主导地位。并且，这一模式也将在不久的将来彻底变革当下传统的PC单机版杀毒软件的升级杀毒模式。

Abstract:

In today's ever-changing science and technology, along with the global Internet industry, the rapid development of specific applications on the network with the traditional client-side integration between the PC is becoming increasingly close, and at the same time, personal and corporate internal network security issues increasingly severe. Therefore, the distributed intercept viruses and malicious code protection technology and server clusters in this model will in the future of the Internet three-dimensional defense system to occupy a dominant position. Moreover, this model will also be a thorough change in the near future, the moment stand-alone PC version of the traditional anti-virus software, anti-virus pattern update.

关键词：云安全、内核驱动、智能识别、病毒传播检测与对抗、3G

早在二十世纪九十年代末期，当个人电脑刚刚在中国普及开来，那时的国内互联网行业发展正处于初级起步阶段。因此，搭载在网络上的具体应用与个人电脑之间并没有太大的关联，所以，在那个时期，人们对于计算机病毒的常识性知识与认识并不十分了解，加上盗版行业对正版软件市场的冲击等环境因素，人们对病毒的防御方法与手段都很不熟悉、加上在当时，一张正版的杀毒软件光碟要一两百块钱，鉴于个人自身的经济因素，有很大一部分人不愿意自己掏腰包购买正版的杀毒软件与服务，宁愿去花五到十块钱去买一张盗版的杀毒软件光碟，所以，对于杀毒软件厂商而言，这是一块十分庞大却又没有开发的潜在用户市场，而鉴于当初惯用的商业模式，即使用户购买正版光碟，连接至互联网，使个人电脑客户端与杀毒软件厂商的服务器相连接，通过服务器给出的命令与提示，使个人电脑客户端的杀毒软件被动升级到与当前服务器相同的病毒库版本。在这一模式下的杀毒软件更新过程中，病毒与恶意代码的发掘与甄别都是通过杀毒软件厂商这一方来拦截与完成的。

在当初那段时期，这一商业模式是可行的。但是，这里面有两个问题：

其一，杀毒软件厂商的反病毒软件定价过高，导致有相当一部分用户选择放弃或采用盗版的杀毒软件，这使得大量的个人电脑处于无防护状态，而且大量网民的自身电脑防护意识薄弱，加之微软的每月漏洞更新网民都不知道也不会自己去更新，这使得病毒与恶意代码的侵入有可乘之机，助长了其传播的范围与速度。

其二，杀毒软件厂商的这一商业模式在制定之初就确定了升级与被升级之间的逻辑关系，即病毒的获取与分析、升级病毒库这一工作由杀毒软件厂商来完成，而用户购买了杀毒软件厂商的正版服务，就可以通过联网升级来完成对病毒库的更新操作，使处于个人客户端的PC机有了识别查杀新病毒所具备的认知能力，能够较为快速的查杀新型的恶性病毒。但这里有一个峰值上限，即杀毒软件厂商的病毒拦截和病毒库的实时更新速度需大于新型病毒的爆发和传播速度，若超越这一上限，杀毒软件厂商将处于被动地位。

我暂且将这一时代称之为被动防御时代。

到了两千零五年，国内瑞星反病毒软件厂商首推主动防御技术，这一技术的推出，背后的原因是因为在互联网发展的这十几年里，黑客爱好者们由当时攻破一台服务器或者是一台PC机为爱好的目的逐渐发展成为了木马的制作，传播，销售等一条龙的犯罪黑色产业链。通过“挂马”、以及出售大量“肉鸡”来捞取利润，这也给传统的被动防御体系带来了前所未有的挑战，当木马的爆发和传播速度大于杀毒软件厂商的拦截更新速度时，峰值上限被打破，杀毒软件厂商与个人用户均处于被动防御地位，加之微软的漏洞每月曝光与用户不及时给系统打上相应的补丁，更使得黑客可以利用个人电脑上的漏洞来加速病毒的传播。使感染范围进一步扩大化。

鉴于此，杀毒软件厂商当时才研发了一套主动防御体系，这一体系通过在系统的驱动层找到SSDT（系统服务调用表）和SSDTShadow。挂钩主要内核驱动函数，如Hook NtCreateProcess、NtSetValueKey、NtQueryInformationFile等函数来监控进程的创建、注册表的键值更改以及文件查询操作等。在整个主动防御的防护体系中，它主要负责完成对于注册表的监控、系统文件的监控、程序进入系统的核心态（即驱动层）来监控驱动的安装、访问物理内存、远程代码注入和全局钩子安装、防护恶意程序终止进程等。

以下是微软操作系统中各个子系统与模块之间的相互关系结构图

在系统的用户层(Ring 3)上，所有的系统调用函数最终都会指向Ntdll.dll这个文件，它位于%systemroot%\system32\这一文件夹中，负责将系统服务调用函数向下通过一个系统中断指令传递给驱动层，使用内核驱动层的函数完成用户想要完成的具体操作。如Ring3对应的CreateRemoteThread，Ring0层为NtCreateThread，Ring3对应的WriteProcessMemory，Ring0层为NtWriteVirtualMemory，等等。图文：严竞雄

以下是系统调用函数之间的逻辑关系图

这一种主动防御技术的成功之处在于它对大量的病毒样本采取了综合分析，从中挑选出相当多的恶意病毒共同特征，这其中包括：

1. 开机随系统自动启动

2. 绕过软件防火墙而采用的常用方法

3. 密码获取

4. 释放文件

5. 执行程序

6. 加载内核级RootKit

7. 其他功能需要修改注册表 如IE BHO

这些监控点对于一般的恶意软件来说，已经产生了足够强大的威慑力，因为一个恶意软件或者木马程序功能设计的再完善，隐蔽性再好、运行得再稳定，平台再通用，如果在执行他们所特定的功能时，被主动防御报警，也终将功亏一篑。

但这只能对通常大多数的木马与病毒有防范作用，但是对于相当一些Exploit溢出攻击却无能为力。而且，在反病毒软件拦截到有恶意操作时，它会先选择向用户报警，并询问是否拦截或将其删除，而用户通常是对计算机不十分了解的，他们也不能对此作出正确的判断，所以，由于误操作而导致的系统出现问题这一情况层出不穷，也给杀毒软件厂商和电脑维修商带来了相当多的麻烦。所以，主动防御虽然与前一种纯被动式的病毒防御体系相比提高了一个层次，却仍然属于第二代的被动防御体系，只是这种防御体系在PC客户端的防范得到了增强，对于应对新出现的病毒和恶意木马能起到一定的防御作用，也在一定程度上给反病毒软件厂商响应新病毒的解决方案争取了时间，但是对于层出不穷的恶意软件与病毒，此主动防御监控体系要做到360度全方位防范未知病毒仍然力不从心。

所以，为了应对复杂多变的病毒木马和恶意程序，我们迫切需要一种可以实行自动感知并能根据其行为进行系统分析的海量分布式计算分析系统。因此，云安全在这个特殊的时刻孕育而生。

然而，在具体的谈论云安全之前，我们可以首先展望一下微软公司这个月刚刚在全球发布的Windows 7操作系统。

众所周知，Windows在中国的盗版是十分猖獗的，早在Microsoft Windows XP操作系统开始，微软就在其系统内部加入了正版认证机制，即需要激活才可以正常使用它自带的全部功能，若在一个月（30天）内没有进行认证激活，Windows就会自动认为该拷贝属于未认证的盗版版本，并将其锁定。但是，这一方法没有多久就被破解爱好者们所攻破，主要的破解方法有两种：一种就是将Windows虚拟成一个已经获得微软官方认证的某一个OEM 版本，另一种方法即为刷主板上的BIOS，使其变成某一品牌机来获得微软的认证。这两种主流的破解方法虽然可以实现解除微软的使用期限和功能限制，但是都并不可靠，通常情况下也不可以进行ServerPack的系统补丁升级和联网激活。因此，很多情况下类似番茄花园版的XP版本会直接禁用系统管理服务项目中的Windows Update服务。

但是从Windows 7开始，要想破解Windows 并能获得稳定的使用效果变得困难起来，原因是自从Windows 7开始，微软在系统内部增加了反盗版认证系统装置，这一装置类似于我们日常常用的反病毒软件，只要用户的个人电脑连接至互联网，Windows 7内部的反盗版认证系统就会像杀毒软件一样连接微软的正版认证服务器，来检查用户电脑上的Windows版本是否为正版的微软认证产品，如果是，则收集系统内部的软件相关信息，提示用户是否需要进行系统升级；如果不是，则激活Windows 7内部的正版认证机制，提示用户进行正版认证，并将其原来的盗版认证激活码封除，并上报至微软的中央服务器，所以，如果有另一台电脑同样使用了该盗版的认证激活码，微软也会将其系统内部的正版认证机制激活，提醒用户进行正版的系统认证。若用户在一个月内没有进行认证，系统就会自动锁定。即网民常常俗称的“黑屏”。

同时，如果该盗版激活码的使用次数上升到一定比例，微软的正版认证服务器会自动加到它的内部黑名单中，封杀这一激活码。这就意味着，在盗版的Windows软件市场，如果一种破解方法被广泛采用以后，它会立即遭到微软的封杀，使其失效。

我们从Windows 7的特性中可以看出，微软在今年已经开始了它在传统PC客户端操作系统级别的云计算战略布局，从全球互联网的发展趋势看，今后的个人电脑客户端与搭载在互联网上的具体应用也会越来越紧密。从软件行业的发展来看，我们已经由过去传统的C（客户端）/S（服务器）模式转变为如今的B（浏览器）/S（服务器）模式，今后，当IPv6成为正式的标准，提供了无穷多的IP地址，家家户户都有宽带接入，无线通信通畅无阻，如果真的到了那个时候人们还要像现在这样购买操作系统、数据库、办公软件吗？

可能都不需要了，应为一切软件都可以在互联网上运行，为人类提供真正在线的服务。而承载在这一切背后的，是海量计算和分布式的系统协作。

因此，云安全是顺应历史潮流和互联网发展方向的产物，是未来真正实现主动防御、主动查杀和智能识别的综合战略防御体系。

那么，何为云安全呢，总所周知，一个工具的易用性，对于一个产品来说是非常重要的，面对着市场上海量的客户与潜在客户群，我们不能把病毒的识别和操作处理交给我们的用户来完成，应为他们对于计算机病毒的知识是十分薄弱的，所以，这部分工作需要我们反病毒厂商一方来做，但是，对于反病毒厂商一方来说，市场上数以亿计的客户端是一个非常庞大的未开发资源，如何合理的利用好这一部分资源，是每个杀毒厂商应该考虑的首要问题。

由此可以看出，要想取得真正的主动防御，我们需要将整个立体式防御结构分成两大部分，一是反病毒软件厂商的服务器集群阵营，二是海量的用户客户端。在反病毒厂商的服务器端，我们需要将它们的职能具体细化，可按照其功能划分为：

1. 即时升级服务器

2. 病毒、木马、恶意代码挖掘服务器

3. 自动分析处理（即智能识别）服务器

4. 在线查杀平台（SaaS）

在这四种服务器集群之间，它们之间可以共享信息资源，以达到同步协作的效果，首先，病毒、木马、恶意代码挖掘服务器将自身拦截到的与海量用户客户端提交上报的恶意程序（其中也包括恶意网站或网页地址等）交给自动分析处理（智能识别）服务器进行处理，智能识别服务器通过对程序具体的行为分析权值进行分析来自动判断。图文：严竞雄

例如：有这样一个程序，它自身有一些自己的行为，这样的行为本身并不是一个危险的行为，但是如果它又伪装了自己，又把自己加成了系统自启动，而且根据恶意代码挖掘服务器接收到的海量客户端上报的该文件进行累计，数值量很大。一旦出现了这样的情况就可以基本上作出相应的判断，这是一个高危险的程序，同样我们在系统后台也可以分析归纳出相应的一些高危险或者是一些可疑的程序行为分析，根据这样一些规则以及智能查杀的判别机制，我们就可以查出来新出现的计算机病毒。

查出新出现的病毒、木马或者是恶意代码之后，智能分析服务平台就可以对它们进行相应的分析与行为判断的细化，这样分析识别的判定依据主要有两个，一个是程序自身的行为分析权值分析完毕相加后是否符合将其界定为一种新出现的恶意程序的标准，另一个则是在海量客户端提交的数目来做判断。因此，为了节省时间和效率，并提高智能分析服务器平台的机动灵活性，可以将第二种判别机制上升为最高优先级。

例如：在过去的一个小时内，有10台计算机通过在线查杀平台或者是客户端的病毒查杀系统将一个程序界定为可疑程序上报给反病毒软件厂商的智能分析平台，但在后来的一个小时至两个小时内，该程序被客户端上报的数值分别为1500和20000。那么，根据此程序的传播速度和范围来看，就可以基本认定这是一个高风险程序，智能查杀平台可以将其直接纳入黑名单，从而在病毒扩散早期就将其消灭在萌芽状态。

当智能分析服务器将自身的病毒数据库更新完毕后，就可以立即将其推送给即时升级服务器和在线病毒查杀平台，供用户更新并查杀自身系统内部的潜在病毒。

而在用户客户端，一方面可以通过自身网络连接至反病毒软件厂商的即时更新服务器，将其他海量用户客户端与威胁挖掘服务器拦截到的病毒木马等恶意程序和恶意网站（挂马类、Exploit类）黑名单更新至自身的反病毒数据库，另一方面，可以通过下载智能分析平台最新认定的程序行为规则分析扫描当下操作系统内部的所有文件，并加以判断和识别，如果是已经确认的病毒可立即查杀，如果是根据其行为权值判断为可疑程序或者是相应的疑似木马，即：虽然这些程序的行为跟木马非常接近，但是仍然无法准确认定究竟是否为恶意程序将其查杀时，在不伤害系统核心组件的运行下先将它隔离，以便日后更新特征码后对它进行重新认定。与此同时，在后台上报给智能分析服务器对其认定。但是为了减少这种情况的发生，反病毒软件厂商可以在整体防护系统内部加入一种防误杀机制，即在查杀恶意程序的白名单中添加对正常系统文件和已认证程序的防护，在客户端和智能查杀平台进行查杀时，遇到已认证的可信程序将其放行，来达到加速查杀和提高查杀效率的效果。

同时，伴随着3G时代的到来，上网本，智能手机（如iPhone、Windows Mobile、Google Android）等智能设备也将占据大量的消费者市场，因此，杀毒软件厂商等相关单位也应该为此做好准备，开发出相应的反病毒软件，与用户客户端共享反病毒数据库资源。最终达到三维立体的病毒防御效果。

以下是云安全的立体结构防御体系图

谢谢阅读

参考文献：

1、《关于开发系统后门软件的一点思路》作者：严竞雄

http://blog.csdn.net/Delphiscn/archive/2005/06/25/403156.aspx

2、《深入解析Windows操作系统》第四版，Mark E.Russinovich、David A.Solomon著，潘爱民译，电子工业出版社

3、《Rootkit:Subvering the Windows Kernel》，Greg Hoglund，James Butler著，韩智文译，清华大学出版社

原文链接：https://blog.csdn.net/iteye_3619/article/details/81793694