超级会员免费看
虚拟化环境中结合动态被动分析与主动指纹识别的有效僵尸网络恶意软件检测
1 引言
僵尸网络行为通常可分为网络活动和主机活动两类。相应地,入侵检测系统(IDS)也分为基于网络的 IDS 和基于主机的 IDS。前者针对从网络中观察到的僵尸网络的网络活动,后者则聚焦于直接从主机收集的信息。它们通过检测文件、Windows 注册表、DLL 和网络等实体来发现恶意软件。
然而,这两种检测方式都存在局限性,即具有被动性,只能在观察到特定的僵尸网络活动后才能进行检测。此外,若僵尸网络检测到检测器,可能会改变其行为。为克服这些问题,我们提出一种结合被动和主动方法的检测机制,充分利用虚拟化环境的优势。
被动检测代理位于虚拟机监视器中,用于分析可疑主机使用的受污染数据,并与僵尸网络行为配置文件进行比对。它对被监控主机具有透明性,还能同时监控多个客户机。主动检测代理则通过主动的僵尸网络指纹识别,向主机发送特定刺激(从僵尸网络行为配置文件中得出),并观察是否触发预期行为。实验表明,该方法能减少被动性问题,且无需安装额外检测代理就能评估主机。
2 相关工作
- 僵尸网络检测 :不同的检测方法各有特点。BotHunter 构建僵尸网络感染对话模型来检测入侵活动;BotSniffer 基于时空相关性和相似性检测同一僵尸网络内的僵尸;BotMiner 通过跨集群关联识别具有相似行为模式的主机;Panorama 追踪主机中预定义受污染数据的信息流,观察恶意软件进程如何利用这些数据;BotTracer 借助虚拟机技术、API 挂钩和网络监控工具观察进程来检测恶意行为。
- 虚拟机自省
订阅专栏 解锁全文
扫一扫
45
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
