DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

cc攻击防御_高防服务器_解决方案

cc攻击防御_高防服务器_解决方案

这篇博客文章是两部分系列文章中的第一篇,描述了VMRay Analyzer的智能监控功能如何消除恶意软件分析中的噪音。在处理潜在的恶意文件时,事件响应者和IT安全团队会被日志文件、报告、警报和通知等形式的信息淹没。因此,对于网络沙盒(或自动恶意软件分析-AMA)这样的安全产品来说,提供集中的、非稀释的日志文件和报告是至关重要的。大多数商业AMA解决方案(或沙盒)在其报告中包含大量"噪音"或不相关的信息。为了说明这一点,除了VMRay Analyzer之外,我们还向三个沙盒提交了一个良性样本(一个空白Word文档)。结果见下表1。表1:良性空白Word文档的沙盒分析结果有针对性的恶意软件分析报告和日志不仅可以节省事件响应者和恶意软件分析师的时间和精力,而且可以区分准确、高效的安全操作和信息过载。在本博客文章中,我们将深入了解VMRay Analyzer的智能监控流程,并解释它如何帮助DFIR(数字取证和事件响应)团队:生成简洁、重点突出的报告和日志,以便进行有效的手动分析轻松应用机器学习算法减少错误警报并提高自动检测效率有效地将模式匹配算法应用到日志文件中减少存储需求提高恶意软件检测性能和可扩展性图1:典型的沙盒分析日志文件中混杂着"噪音"基于钩子的监控方法应用程序使用OS api访问系统资源,如文件、进程、网络信息、注册表和其他区域。大多数商业沙盒使用一种称为钩子的技术来监视样本的行为,在这种技术中,它们拦截对这些api的函数调用。当一个应用程序调用一个函数时,它会被转到钩子函数所在的自定义代码所在的不同位置。然后钩子执行自己的操作——比如记录调用及其参数——然后将控制权转移回原始API函数。钩子可以放在不同的API层中,也可以将它们放在OS内核中。图2:用于沙盒监控的挂钩然而,这种监测方法存在许多挑战。挑战1:在哪里放置钩子?如前所述,执行流可以被OS-API的一个或多个部分中的用户进程内的钩子或OS内核中的钩子截获。然而,一个操作的执行方式有很多种,因此很难截获所有相关的api或系统调用。图3通过显示与创建新流程相关的各种函数调用来突出显示这一挑战。我们还发布了一份分析报告,恶意软件试图"蒙蔽监视器",即通过非法使用API来逃避分析。这就解释了为什么大多数商业沙箱依赖于较低级别的钩子,冰盾软件防御ddos多少g,而低级别钩子又会产生更多的噪音,我们将在本文后面的文章中看到。图3:钩子放在哪里?挑战2:处理噪音另一个重要的挑战是如何处理与钩子函数无关的调用所产生的噪声。在示例的执行过程中,钩住的函数可能会被多次调用,不仅仅是被分析的示例调用,防御cc跳转,还可能被OS内部线程调用,如图4所示。除了操作系统内部线程外,浏览器或msoffice应用程序还调用挂钩函数。由于我们只关心被分析样本代码直接执行的操作,而不是操作系统运行时操作、浏览器或Office应用程序,因此结果是一个日志文件,其中包含大量不相关的条目。图4:是否相关?钩子函数由示例和操作系统内部线程调用挑战三:能见度有限通常,调用可能无法到达钩子,并且沙盒对所分析样本的行为的可见性有限。即使当钩子被调用时,沙盒可能会记录比它需要的更多的与原始函数调用相关的信息。这有时被称为雪崩效应。例如,"下载文件"操作可以触发多个低级API调用。捕获所有这些API调用将导致不必要的信息过载。这两个场景都在图5中进行了说明。不管怎样,结果都是一个不太理想的日志文件,要么信息太少,要么有大量不必要的信息。图5:基于钩子的沙盒看到的太少或太多全系统仿真监控方法使用全系统监控方法的沙盒可以看到执行的每一条机器指令。然而,缺点是这通常会导致信息过载。图6:基于全系统仿真的监控此外,使用这种监视技术的沙盒往往非常慢,因为与CPU仿真相关的开销很大。完全控制环境的好处被不得不处理太多信息的挑战所否定(因为每一条机器指令都被监视)。虽然从理论上讲,模拟器提供细粒度的监控,但由于上述原因,这在实践中不可用。使用基于无代理管理程序的方法进行智能监控VMRay Analyzer提供了一种无代理的动态恶意软件分析方法。VMRay Analyzer嵌入到hypervisor中,从这个有利的角度监视和分析恶意软件行为。系统中没有内置代理或钩子。图7:VMRay作为虚拟机监控程序的一部分在主机操作系统上运行通过利用现代CPU的硬件虚拟化扩展功能,VMRay Analyzer将来宾虚拟机的内存分为两个部分:一个是具有可信代码的部分(属于操作系统或Internet Explorer或MS Office应用程序的代码),另一个是不可信代码的部分(恶意软件示例、下载的代码、注入的外壳代码)。分析器可以随时在这两个部分之间切换,从而更有效地管理转换。有了这种分离,我们就可以有效地检测内存的某些部分之间的控制流转换,即在某些用户或内核模块之间。通过特定地选择内存段,我们可以监视具有不同范围和可变粒度的系统的行为。VMRay Analyzer的无代理、基于hypervisor的方法提供了对所分析样本行为的全面可见性,并且只支持对与分析相关的系统部分进行监视。这使得没有必要对分析输出进行过滤,免费的ddos防御工具,因为良性应用程序的副作用从未被监控过。图8:将内存划分为可执行和不可执行部分与其他方法不同,VMRay会自动调整到最佳监视粒度。这意味着无论恶意软件是在执行API调用,使用特殊的CPU指令直接跳入内核,还是使用更高级别的概念(如COM对象),VMRay总是在可能的最高语义级别进行拦截。不会丢失语义信息。另一个重要的一点是,不记录不必要的数据,即没有子函数调用或递归函数调用。有时一个高级API会导致几十个内核转换,cc规则防御,在内核级别进行监视时,这些转换都会被截获。这使VMRay具有优异的性能,并产生具有最高相关信息密度的报告。要深入了解VMRay Analyzer基于hypervisor的监视方法,请阅读我们的技术白皮书关于Rohan ViegasRohan为VMRay带来了超过12年的产品开发和管理经验。在加入VMRay之前,他曾担任惠普企业(Hewlett-Packard Enterprise)的产品经理,高防御ddos,负责管理包括网络管理和安全软件在内的一系列产品。在VMRay,Rohan的职责包括产品路线图规划、项目管理和技术辅助开发。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/61226.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8162147访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X