《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 操作系統(tǒng)行為理論模型及典型應(yīng)用研究
操作系統(tǒng)行為理論模型及典型應(yīng)用研究
網(wǎng)絡(luò)安全與數(shù)據(jù)治理
祝林,鄔江,劉克斌,鐘杰
中電長城網(wǎng)際安全技術(shù)研究院(北京)有限公司
摘要: 針對(duì)當(dāng)前終端網(wǎng)絡(luò)安全攻防對(duì)抗中未知攻擊“防不住”、已知攻擊“測不準(zhǔn)”的問題,現(xiàn)用“封堵管控”安全機(jī)制可被攻擊方屏蔽規(guī)避,為扭轉(zhuǎn)當(dāng)前終端安全防護(hù)的被動(dòng)落后現(xiàn)狀,亟需在終端安全檢測理論、安全檢測分析模型與實(shí)際應(yīng)用上實(shí)現(xiàn)創(chuàng)新突破。文章將操作系統(tǒng)行為進(jìn)行了形式化定義,并基于形式化定義設(shè)計(jì)了操作系統(tǒng)行為分析模型,然后以緩沖區(qū)溢出攻擊與終端數(shù)據(jù)泄露攻擊為典型示例驗(yàn)證其方法正確性。
中圖分類號(hào):TP309;TP391文獻(xiàn)標(biāo)識(shí)碼:ADOI:10.19358/j.issn.2097-1788.2024.12.004
引用格式:祝林,鄔江,劉克斌,等. 操作系統(tǒng)行為理論模型及典型應(yīng)用研究[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(12):27-32.
Research on the theory and typical applications of operating system behavior
Zhu Lin,Wu Jiang, Liu Kebin, Zhong Jie
CLP Great Wall Internet Security Technology Research Institute (Beijing) Co., Ltd.
Abstract: In response to the problem of unknown attacks being "undetectable" and known attacks being "unpredictable" in current terminal network security attacks and defenses, the current "blocking and control" security mechanism can be blocked or avoided by attackers. In order to reverse the passive backwardness of terminal security protection, it is needful to achieve innovative breakthroughs in terminal security detection theory, security detection analysis models, and practical applications. This study formalized the behavior of the operating system and designed an operating system behavior analysis model based on the formal definition. Then, buffer overflow attacks and terminal data leakage attacks were used as typical examples to verify the correctness of the method.
Key words : behavior measurement; operating system behavior; security testing; terminal protection

引言

為應(yīng)對(duì)常見的安全風(fēng)險(xiǎn)(如非法訪問、網(wǎng)絡(luò)惡意攻擊、網(wǎng)絡(luò)數(shù)據(jù)泄露、網(wǎng)絡(luò)病毒、非法外聯(lián)、違規(guī)外設(shè)接入、勒索軟件、終端非授權(quán)使用等),往往會(huì)針對(duì)性部署防火墻、主機(jī)入侵檢測/入侵防御系統(tǒng)、終端檢測和響應(yīng)[1](Endpoint Detection and Response,EDR)、惡意代碼查殺、主機(jī)安全管理系統(tǒng)、主機(jī)外設(shè)管控系統(tǒng)、基于電子鑰匙的身份認(rèn)證等安全措施。

當(dāng)前安全防護(hù)措施的處置過程,以網(wǎng)絡(luò)數(shù)據(jù)泄露為例,如圖1所示,主要包括:

(1)針對(duì)安全風(fēng)險(xiǎn)(已知漏洞);

(2)部署安全措施(特征匹配、主動(dòng)檢測);

(3)檢測發(fā)現(xiàn)安全事件;

(4)安全響應(yīng)處置。

現(xiàn)有安全防護(hù)機(jī)制是典型的以現(xiàn)象和結(jié)果作為切入點(diǎn),其存在如下問題:一是始終無法有效防范APT[2]攻擊,特別是對(duì)基于0day漏洞[3]的未知攻擊往往無法實(shí)現(xiàn)有效防護(hù);二是多重安全機(jī)制導(dǎo)致防護(hù)性能低下,已影響當(dāng)前安全產(chǎn)品廣泛應(yīng)用推廣;三是多維度安全檢測數(shù)據(jù)難以融合分析,異構(gòu)安全數(shù)據(jù)的關(guān)聯(lián)分析一直是困擾安全檢測有效性與準(zhǔn)確性的核心理論問題;四是安全檢測與攻擊規(guī)避對(duì)立問題[4],當(dāng)前安全檢測未充分考慮攻擊規(guī)避對(duì)抗,導(dǎo)致檢測措施可被攻擊方規(guī)避繞過[5],從而造成檢測失效。

從目前攻防對(duì)抗發(fā)展趨勢來看,安全風(fēng)險(xiǎn)的“日新月異”導(dǎo)致安全防護(hù)的“無邊擴(kuò)展”,而這種應(yīng)對(duì)式無序發(fā)展,造成的結(jié)果就是終端上安全軟件堆砌、安全防護(hù)系統(tǒng)整體運(yùn)行效能低下,終端安全對(duì)抗一直處于“道高一寸,魔高一尺”的追趕局面。

044.png

圖1以數(shù)據(jù)泄露為例當(dāng)前攻防檢測與反制措施分析

其產(chǎn)生的原因在于:目前安全防護(hù)機(jī)制是“以現(xiàn)象為切入、以工程思維進(jìn)行分析、亡羊補(bǔ)牢式的”安全防護(hù)。本文針對(duì)當(dāng)前安全防護(hù)“頭痛醫(yī)頭,腳痛醫(yī)腳”、治標(biāo)不治本、未從安全防護(hù)本質(zhì)上來解決問題的不足,從安全攻防內(nèi)在機(jī)理上進(jìn)行溯源分析,從根本上分析安全威脅的成因。即要克服現(xiàn)有終端安全機(jī)制的弊端,需要轉(zhuǎn)變方法思路,從清本溯源角度來解決終端安全防護(hù)問題。


本文詳細(xì)內(nèi)容請(qǐng)下載:

http://theprogrammingfactory.com/resource/share/2000006263


作者信息:

祝林,鄔江,劉克斌,鐘杰

(中電長城網(wǎng)際安全技術(shù)研究院(北京)有限公司,北京100097)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。