10、CloudSylla：云端检测可疑系统调用

CloudSylla：云端检测可疑系统调用

在当今数字化时代，系统安全至关重要。CloudSylla 作为一种云端检测可疑系统调用的解决方案，具有重要的研究和应用价值。下面将详细介绍其实现原理、不同平台的具体实现以及性能评估。

1. 缓存与通信机制

1.1 缓存实现

为了高效存储和查询已处理的系统调用参数，采用了快速且经济高效的布隆过滤器缓存。对于每种类型的参数（如文件名和 URL），每个原型分配三个缓存实例：
- 两个实例分别存储从外部源收集的可信（T）和恶意（M）条目。
- 第三个缓存涵盖既不可信也非恶意，但之前已由云端分析过的条目，称为无嫌疑（U）条目。

1.2 通信协议

云端与客户端之间的通信通过自定义协议进行，该协议可将网络使用量保持在较低水平。系统调用用其名称和一个或多个参数表示，参数又由类型、数据和标签组成。标签分为恶意（M）、可信（T）、无嫌疑（U）、临时批准（TA）、批准但禁止缓存（ACP）和缓存撤销（CR）等类别。

协议主要利用五种不同的消息类型：
1. 客户端问候消息（Client Hello） ：由每个运行和新执行的客户端进程发送，包含其命令行和相应可执行文件的哈希值。
2. 服务器问候消息（Server Hello） ：云端服务在其缓存中查找命令行和文件哈希值，并发送包含分析结果标签的服务器问候消息。若进程与已知恶意可执行文件关联，标签定义为恶意并应用安全措施；若文件哈希未缓存，则向外部数据源和分析模块请求该哈希值。根据安全策略，系统调用的执行可能被拒绝、延迟或临时批准。