云平台防御系统的搭建和设计摘录

摘自：<恶意代码云主动防御系统设计与实现> 作者邹 航

1，传统杀毒软件产品采用针对病毒体的特征码匹配技术，尽管效率很高，但是局限在于1,特征码库庞大，2,新型病毒普遍采用免杀技术，免杀技术主要采用针对病毒特征码的指令替换，加壳，加花灯技术。

2，“主动防御”技术是通过监控恶意代码对操作系统的调用，获取程序行为，程序行为指程序或代码对操作系统资源如文件系统，注册，内核，内存，网络，进程，服务的访问操作，具体到代码层就是一系列win32 Api函数调用，监控方式采用基于修改SSDT表的api Hook机制，api Hook是用于改变Api执行结果的技术。系统服务描述符表是一个将ring3的api和ring0的内核api联系起来的表，api系统一般都要最终通过内核api来实现，因此通过将SSDT表的目标内核API函数地址修改为主动防御软件的函数地址，对应用层系统进行监控，对恶意行为的调用进行阻止

3，云主动防御系统的设计思想基于在云端建立海量恶意代码行为分析系统，提取最新恶意代码行为，自动生成恶意代码行为算法库，将最新的行为算法库加载在云客户端

4，云客户端的主动防御系统以程序行为分析判定技术为基础，根据程序的可行性模型判定恶意代码程序，采用传统的恶意代码识别技术是从病毒体中提取病毒特征值构成病毒特征库，通过特征比对识别恶意代码，而云主动防御系统是采用动态行为跟踪技术，根据恶意行为特征库（恶意代码行为算法库）对程序进行可信性检查，预先判断程序的危害，

5，云计算模型处理流程：

（1）通过云主动防御系统云端的恶意代码样本及恶意代码行为采集器，综合应用各种技术和数据收集方式（蜜罐，合作伙伴，网络爬虫，主动防御实验室）获得最新威胁的各种情报，将恶意代码和行为分类关联存储

（2）利用行为分析的聚类，关联规则等算法确定其是否属于恶意行为

6，云主动防御系统的实现流程：

（1）在计算机终端，运行或启动.exe或.dll程序，在行为检测引擎下捕获程序在计算机的内核，服务，应用，账号，同学，文件资源系统上的行为

（2）在恶意代码行为算法库的作用下，将捕获的行为进行识别，

（3）将新的攻击或恶意行为送入恶意程序行为算法库生成器生成新的恶意代码行为算法库，加载足够多的恶意代码，正常软件对新生成的行为算法库进行验证，生成正式版本号的行为算法库，并分发到相应的云客户端

7,恶意行为建模

首先存储大量恶意行为对系统api函数调用的集合，再通过定义单个行为或者多个行为序列来确定某一类恶意行为。

8 恶意行为的判定与分类

9 最终的产品功能

三个阶段。第一个事前静态预防：对终端主机漏洞扫描，补丁安装，安全属性配置加固，第二个事中动态防护：1，文件系统安全监控，采用事件触发机制监控终端主机文件安全状态2，进程安全监控，恶意代码程序行为分析判定技术为基础，对终端主机进程进行实时防护，3，注册表安全监控，

摘自《一种基于Hadoop架构的网络安全事件分析方法》

Hadoop体系结构核心是HDFS和MapReduce，HDFS允许用户将hadoop部署，形成分布式系统，MapReduce在集群上实现分布式计算和并行任务处理，HDFS在MapReduce任务处理中提供了文件操作和存储支持，MapReduce在此基础上实现了任务的执行

对于分布式存储HDFS集群，由一个NameNode和多个DataNode组成，NameNode作为主服务器管理客户端对文件的访问，DataNode管理存储的数据，从内部来看，文件被分为多个数据块存放在一组DataNode上，

对于分布式计算MapReduce集群，由一个jobtracker和多个tasktracker组成，jobtracker负责任务的调度，tasktracker负责并行执行任务。

2 基于HDFS和MapReduce的Hadoop架构

Hadoop集群采用主从（master/Slave）模式，NameNode和jobtracker属于master，DataNode和tasktracker属于slave，master只有一个，slave有多个，

3基于Hadoop网络安全事件分析方法

将数据存入HDFS，数据由HDFS在多个普通硬件资源的节点上分布式存储，然后使用MapReduce对事件信息进行分析并输出分析结果进行展示，MapReduce的输入即为来自存储在HDFS中的网络安全事件信息（文本，二进制多种格式）使用MapReduce对事件进行分析，用户自定义mapper，reducer函数将输入信息进行处理，

摘自Weili Huang, Jian Yang .《New Network Security Based On Cloud Computing》

云防火墙的关键技术是基于云计算。“云”具有相当的规模，供应商将建立在各大网络运营商的传感器。云计算支持用户使用各种终端在任意位置获得应用服务。通过云计算，我们可以更好地利用网络的，只要你在“云”。您可以充分利用“顶部云”的终端上，我们始终保持与其他终端触摸‘云’，所以如果它在攻击的地方发现的，立即的一些终端通知等地停止攻击和部署计划。这是在云防火墙的核心思想 – 它会变成被动保护为动态，协作和积极的保护。

摘自Using Cloud Computing to Implement a SecurityOverlay Network

proposed an automatic malware discovery system for providing anti-virus software support using the cloud. They proposed a hybrid approach in which the client has a lightweight version of the malware signatures and the central Cloud-hosted AV service hosts the large database of signatures. A hybrid processing model is established between the desktop and the cloud AV services. Oberheide et al. [11] proposed an inCloud architecture called CloudAV in which each host runs a process to detect executables entering a system which are then sent into the network for analysis, after which they are either executed or quarantined based on a threat report returned by the network service. McAfee SaaS Endpoint protection is a commercial product for providing a cloud-based AV service in which all the malware and viruses are intercepted in the cloud before they reach the customer mail servers.

提出了一个自动恶意软件发现系统使用云提供反病毒软件支持。他们提出了一个混合其中客户端具有恶意软件签名和中央的轻量版本的方法云托管的AV服务托管签名的大型数据库。混合处理模型是建立在桌面和云端AV服务之间。 Oberheide等人[11]提出了一个inCloud架构称为CloudAV，其中每个主机运行一个进程来检测进入一个可执行文件系统，然后发送到网络进行分析，然后执行或根据网络服务返回的威胁报告进行隔离。 McAfee SaaS Endpoint保护是提供所有恶意软件的基于云的AV服务的商业产品并在病毒到达客户邮件服务器之前在云中截获病毒。

摘自大规模网络安全事件监控系统设计与实现

大规模网络安全时间监控系统主要包括系统中心，流信息收集，流量信息采集与分析，安全事件预警与控制等模块

2，流信息和收集模块，对船业网络的流量数据进行采样，利用现有路由器收集信息的协议，如思科Netflow，Juniper的CFlowd等，对高速网络链路进行测量，并通过留信息收集服务器进行收集，

3，流信息分析模块：分析由留信息收集模块收集的IP流量信息，通过设定过滤规则后，由该模块进行数据包捕捉和特征检测，

4，安全事件预警和控制：根据流信息分析模块和流量分析模块的分析结果，并结合策略库的监控策略，对安全事件发出预警，也可以通过配置管理服务器向相关网络设备下发控制规则，控制安全事件的发展。

二，系统处理流程
如图1所示．以检测流经路由器Rl的流量为例．介绍系统的处理流程。
1)路由器R1生成流记录，并将记录输出到流检测服务器。流记录符合IPFIX格式。流以五元组(SrclP、SrcPort、DestIP、DescPort、Protoc01)标识。
2)流检测服务器采用基于流特征的检测方法对流量进行检测，将流量分成正常流量和安全事件流量．并将分类结果发送系统中心。
3)系统中心根据安全事件策略库中的监控策略分析检测结果，这里会出现三种情况：流量正常：不需要控制．系统显示检测结果。检测结果达到控制标准：发出预警或通知配置服务器对特定的流量实施控制．配置服务器接受通知后执行8)。需要深度包检测：通知配置服务器镜像R1上特定流量。
4)配置服务器向R1发出相关镜像配置命令。
5)RI执行镜像命令通过镜像链路镜像相应流量。
6)载荷检测服务器对这些数据报文进行捕捉并通过深度包检测方法确定进行分析。
7)显示检测结果．对安全事件发出预警或通知配置服务器实施控制。
8)配置服务器向相应的边缘路由器下发配置命令。

摘自基于危险理论的 APT 攻击实时响应模型

当前，APT 攻击( advanced persistent threat，高级持续性威胁) 已成为网络空间所面临的主要安全威胁之一［1］。APT 攻击是指有组织的或有国家背景支持的黑客，采用高级隐遁技术，针对特定目标和系统进行长期持续的一种新型网络攻击［2］。其攻击特征主要表现为: 1) 针对性。攻击者针对某些特定软件竭力寻找有针对性的安全漏洞，为后续攻击提供漏洞渗透支撑。2) 持续性。攻击者借助于某些特定安全漏洞，针对目标系统发起持续定向性的攻击，可长达数年之久，安全危害极大。3) 隐蔽性。攻击者成功渗透至目标系统后，利用高级隐遁技术潜伏于该系统，长期控制目标与窃取敏感信息，令人防不胜防。目前，针对 APT 攻击的检测响应可概括为 3类［3］: 1) 沙箱法。将网络流量引入虚拟机或沙箱，通过对沙箱的文件系统、注册表、运行进程、网络连接等实施监控，特征匹配并判断流量中是否有恶意代码。2) 异常检测法。通过对网络的正常行为模式建模而检测异常行为。3) 网络流量审计法。通过对网络流量进行深层次的协议解析与还原，检测其是否包含恶意攻击行为。

摘自云平台安全态势评估系统设计与实现

实现技术来看，对安全状况的正确理解以及对态势发展的合理预测是态势评估的主要难点。这主要涉及到以下三个方面的关键技术：数据融合技术、安全态势评估方法和态势预测算法。数据融合技术是指对表示说明同一个对象的多个数据源或知识进行整合，形成一个统一的更为准确的描述网络和证据推理是目前比较常用的数据融合算法。

原文链接：https://blog.csdn.net/zhangxiaofan666/article/details/78391110