基于硬件虛擬化的主動防御模型研究

基于硬件虛擬化的主動防御模型研究

1惡意程序的安全威脅隨著信息技術(shù)的快速發(fā)展，各種惡意軟件入侵手段變得越來越復(fù)雜。但傳統(tǒng)主動防御軟件的特征庫總晚于惡意程序的發(fā)現(xiàn),面對新型病毒、木馬時,無法從根本上做到防范.此外,惡意程序驅(qū)動常借助系統(tǒng)權(quán)限來實現(xiàn)破壞、隱藏、嗅探等目的.同處于系統(tǒng)內(nèi)核中,傳統(tǒng)主動防御軟件不具優(yōu)勢為解決傳統(tǒng)主動防御軟件的不足,本文在硬件虛擬化的基礎(chǔ)上,提出了一個更有效的高安全主動防御模型.2系統(tǒng)的功能模塊本文設(shè)計的主動防御模型是在P2DR(Policy、Protection、Detection和Response)模型的基礎(chǔ)上,加入硬件虛擬化的支持并進行有效的精簡和改進.主要分為以下四個部分:(1)安全策略模塊.(2)內(nèi)核及自身防護模塊.(3)行為監(jiān)測模塊.(4)處理響應(yīng)模塊.通過自建的輕量級虛擬機管理器為以上功能模塊提供硬件虛擬化的特權(quán)及保護支撐,使得本模型在應(yīng)用硬件虛擬化特性的基礎(chǔ)上,能夠提供優(yōu)于傳統(tǒng)主動防御軟件的安全服務(wù).各功能模塊協(xié)作關(guān)系如圖1所示.2.1安全策略的處理為實現(xiàn)上述功能模塊,本主動防御模型的整體架構(gòu)如圖2所示.各部分具體功能如下:(1)底層驅(qū)動.負責(zé)提供硬件虛擬化支持;負責(zé)在系統(tǒng)內(nèi)核中對進程行為進行監(jiān)測;負責(zé)對已定義的安全策略自動做出相應(yīng)處理;負責(zé)實現(xiàn)內(nèi)核環(huán)境的完整性及自我保護.(2)基礎(chǔ)功能服務(wù).負責(zé)加載驅(qū)動,響應(yīng)驅(qū)動對上層應(yīng)用的通知;負責(zé)提供基本功能接口;負責(zé)將驅(qū)動攔截的敏感操作信息呈獻給用戶,并通知用戶處理.(3)安全策略管理.負責(zé)更新和維護安全策略;負責(zé)從行為特征中提取相應(yīng)的安全策略;負責(zé)對單一程序或全局進行策略配置.(4)行為日志管理.負責(zé)記錄程序敏感操作的行為軌跡,并進行針對性分類管理;負責(zé)為安全策略提供數(shù)據(jù)支持.(5)界面UI.負責(zé)用戶與功能模塊的友好交互.2.22.2.1vmm的運行這里,我們構(gòu)建一個輕量級虛擬機管理器LVMM,通過將本地操作系統(tǒng)遷移至非根操作模式使得虛擬機管理器具有比操作系統(tǒng)更高的權(quán)限.其作用是為常規(guī)內(nèi)核驅(qū)動創(chuàng)造干凈完整的內(nèi)核環(huán)境,提供有效的保護機制,并利用VT-x技術(shù)特性針對特定的一些敏感操作進行攔截.主動防御系統(tǒng)對進程行為的監(jiān)控依賴于對內(nèi)核系統(tǒng)調(diào)用的監(jiān)控,為此,只有當(dāng)處于一個完整、干凈的內(nèi)核環(huán)境中,才能夠保證整個監(jiān)控過程不被干擾.由于傳統(tǒng)的主動防御系統(tǒng)與惡意驅(qū)動存在同級競爭,面對一些經(jīng)過巧妙構(gòu)造的惡意代碼,主動防御軟件可被其從系統(tǒng)底層進行篡改或強制結(jié)束,從而失去保護能力.通過虛擬機管理器,在影子頁表中維護一份干凈的內(nèi)核鏡像,必要時對客戶機內(nèi)核進行恢復(fù)以保證內(nèi)核環(huán)境的完整性.執(zhí)行特定敏感操作后,將產(chǎn)生VMExit事件而陷入VMM,此時,控制權(quán)轉(zhuǎn)交給VMM,而客戶機操作系統(tǒng)則處于“暫停”狀態(tài).針對引發(fā)VMExit的不同情況,有相應(yīng)的Exit_Reason用來進行分支判斷.這里所提到的特定敏感操作包括對重要寄存器CR0、IDTR、MSR等的寫操作.一些病毒、木馬等常常通過修改重要寄存器的手段來達到潛伏或是篡改內(nèi)核代碼的目的.通過配置虛擬機管理器的VMCS域,可以實現(xiàn)對其的攔截、欺騙等操作.對于內(nèi)存保護,其原理是在開啟CR0保護機制的情況下,設(shè)置要保護的內(nèi)存所在頁面為只讀,當(dāng)系統(tǒng)進行寫入操作時就會觸發(fā)#PF頁面異常.實現(xiàn)方式是在VMM中配置EXCEPTION_BITMAP數(shù)組,使頁異常中斷產(chǎn)生VMExit.當(dāng)非法訪問某個頁表項或頁目錄項時就會觸發(fā),從而跳入到VMM中進行處理.需要進行內(nèi)存保護的地址包括內(nèi)核代碼段、重要表、重要數(shù)據(jù)結(jié)構(gòu)以及常規(guī)主動防御驅(qū)動.對于常規(guī)驅(qū)動的保護,可針對該驅(qū)動所在的內(nèi)存頁進行內(nèi)存保護.而要實現(xiàn)VMM驅(qū)動的自保護,則需要進行影子頁表的處理.VMM的運行依靠自建的一套頁目錄和頁表,所指向的物理內(nèi)存內(nèi)容與操作系統(tǒng)相一致.通過修改影子頁表中的頁表項、頁目錄項屬性,客戶機操作系統(tǒng)中運行的程序?qū)o法訪問VMM的內(nèi)存地址.對SLDT、SIDT、SGDT等敏感指令的攔截VT-x尚未實現(xiàn),可通過內(nèi)存保護的手段來防止系統(tǒng)的IDT表、GDT表等重要數(shù)據(jù)不被惡意代碼修改.對處于白名單中的程序,將放行其對內(nèi)核空間進行的修改;未在名單中的程序,需要針對具體操作進行判別.2.2.2常規(guī)內(nèi)核驅(qū)動程序?qū)PI的調(diào)用最終歸結(jié)為對內(nèi)核中SSDT、SSDTShadow兩張表的內(nèi)核服務(wù)函數(shù)的調(diào)用.在進入內(nèi)核的過程中,需要調(diào)用KiFastCallEntry函數(shù)進行函數(shù)的選擇和傳參等處理.通過嵌入VMCALL、CPUID等指令以實現(xiàn)在每一次系統(tǒng)調(diào)用時轉(zhuǎn)入VMM進行處理.為降低虛擬機管理器對計算機性能的影響,對程序執(zhí)行過程中的API行為處理放在常規(guī)內(nèi)核驅(qū)動中進行,且有選擇地對系統(tǒng)調(diào)用進行陷入處理.與傳統(tǒng)主動防御驅(qū)動不同的是,對于高危害的病毒木馬,可通過主動陷入交予VMM再進行處理,從而避免其在內(nèi)核同級競爭中對監(jiān)測過程的干擾和影響.2.3程序的安全策略通過Ring3級應(yīng)用程序,為用戶提供一個良好的交互界面.用戶通過可視化窗口對主動防御系統(tǒng)進行控制.包括安全策略、行為日志的管理,以及對主動防御運行過程中所產(chǎn)生的必要控制處理.安全策略包括對單一程序的執(zhí)行控制、對全局的執(zhí)行控制、以及黑白名單控制.執(zhí)行控制包括程序?qū)ψ员淼淖x寫訪問、對遠程進程的訪問、對重要文件的訪問.通過預(yù)先對程序的安全策略進行配置從而在程序執(zhí)行過程中直接應(yīng)用并進行處理.對于未知程序,當(dāng)執(zhí)行敏感操作時詢問用戶是否將其放行或為其創(chuàng)建安全策略.行為日志記錄程序的敏感操作信息,同時為事后分析提供有效的數(shù)據(jù)支持.2.4)對敏感操作進行監(jiān)控程序運行時首先加載VMM驅(qū)動,進行相關(guān)的初始化工作,并將當(dāng)前操作系統(tǒng)遷至非根模式下,將自身所在內(nèi)存頁通過影子頁表進行隱藏.虛擬機管理器啟動成功后加載常規(guī)內(nèi)核驅(qū)動.內(nèi)核驅(qū)動加載后通知VMM對其所在內(nèi)存頁實施內(nèi)存保護,防止驅(qū)動代碼被病毒、木馬惡意修改和破壞.Ring3應(yīng)用程序及內(nèi)核驅(qū)動讀取用戶配置并根據(jù)當(dāng)前設(shè)定的安全策略實施監(jiān)控.對于已知進程,根據(jù)安全策略自動決定對用戶系統(tǒng)的敏感操作是否放行;對于不能在安全策略中匹配到的的進程,當(dāng)執(zhí)行敏感操作時首先判斷是否為已知非法操作,若是則直接對該進程進行強制性結(jié)束處理并通知用戶,寫入相關(guān)日志,否則將敏感操作內(nèi)容呈遞給用戶,讓用戶自行判斷,根據(jù)用戶判斷來決定對該進程的處理,并將其添加至安全策略中.處理操作包括加入黑白名單、建立安全策略、強制結(jié)束、內(nèi)存訪問欺騙等.對于已列入白名單的程序,允許其調(diào)用系統(tǒng)功能函數(shù)或?qū)?nèi)核進行可允許范圍的修改;而對于黑名單中的程序,則禁止其通過調(diào)用相關(guān)API對用戶敏感數(shù)據(jù)的訪問.可將攔截進程所執(zhí)行的敏感操作作為一條規(guī)則加入到相應(yīng)的安全策略中,從而當(dāng)該進程再次執(zhí)行同一操作時自動進行判斷從而減少用戶處理次數(shù),為用戶提供良好的交互環(huán)境.對于已知位于黑名單中的程序或執(zhí)行某些特定危險操作的程序,應(yīng)予以強制性結(jié)束,防止該惡意程序在后續(xù)執(zhí)行中帶來的危害.33.1常規(guī)主動防御驅(qū)動設(shè)計由于病毒、木馬等常借助自身的驅(qū)動對內(nèi)核中系統(tǒng)服務(wù)函數(shù)或是重要的數(shù)據(jù)結(jié)構(gòu)進行修改,考慮到內(nèi)核HOOK的全局性,常規(guī)內(nèi)核驅(qū)動調(diào)用系統(tǒng)服務(wù)函數(shù)對惡意程序進行檢測和攔截是不可靠的.為了保證本模型的常規(guī)主動防御驅(qū)動能夠運行在干凈的內(nèi)核環(huán)境中,需要對可能被修改的代碼段及重要數(shù)據(jù)結(jié)構(gòu)進行還原.實現(xiàn)方法是模擬PE文件加載器的原理利用VMM將內(nèi)核文件正確映射在內(nèi)存中的一塊區(qū)域中,根據(jù)PE結(jié)構(gòu)找到其代碼段及IDT、SSDT等重要數(shù)據(jù)結(jié)構(gòu).當(dāng)需要進行內(nèi)核代碼還原時,通過VMExit陷入VMM后將其恢復(fù)至相應(yīng)的內(nèi)核地址,同時還要將地址所在內(nèi)存頁進行內(nèi)存保護,以防止病毒、木馬的再次修改.內(nèi)核代碼段包括SSDT、SSDTShadow所涉及到的系統(tǒng)服務(wù)函數(shù),需要還原并保護的還有表本身包含的函數(shù)地址索引.此外,IDT、GDT、ObjectType結(jié)構(gòu)等也應(yīng)該進行內(nèi)存保護.3.2世界各國對影子頁表的開發(fā)為了實現(xiàn)本主動防御系統(tǒng)對程序的透明化,達到自我保護的目的,需要使用影子頁表技術(shù)將VMM對操作系統(tǒng)隱藏.影子頁表實現(xiàn)的基本原理是為VMM構(gòu)建訪問內(nèi)存的私有頁表.該頁表的用途包括對VMM所占用內(nèi)存的管理;映射操作系統(tǒng)內(nèi)核以便VMM能正確訪問操作系統(tǒng)內(nèi)核,并調(diào)用操作系統(tǒng)內(nèi)核函數(shù);隱藏VMM的存在,當(dāng)私有頁表構(gòu)建成功之后,通過修改操作系統(tǒng)固有頁表中有關(guān)VMM的頁表項以達到隱藏自己的目的.3.3狀態(tài)機流動模型針對單一進程,在VMM啟動后為其創(chuàng)建一個大小合適的行為特征記錄視窗,從而方便地提取敏感操作,應(yīng)用安全策略.采用了有限狀態(tài)機的模型來實現(xiàn)行為主動防御,在狀態(tài)機流動的過程中匹配相應(yīng)規(guī)則.從初態(tài)開始記錄定長的系統(tǒng)調(diào)用,然后查詢安全策略所對應(yīng)的調(diào)用序列,若匹配則進行相關(guān)處理,狀態(tài)遷移;或當(dāng)進程觸發(fā)某一特定的敏感操作,則直接進入處理,隨后進程再次回到初態(tài).安全策略包括對全局和局部的注冊表、文件、進程啟動、關(guān)鍵API調(diào)用等相關(guān)規(guī)則.每一條規(guī)則有一個特定的調(diào)用序列與之對應(yīng),也可以由敏感的操作字段和單一行為所觸發(fā).3.4)提取進程特征.在常規(guī)內(nèi)核驅(qū)動的行為監(jiān)控及VMM的特定操作監(jiān)控過程中,首先需要對當(dāng)前進程進行甄別.為降低虛擬機管理器所帶來的性能損耗,對于可信的程序?qū)⒓尤氲桨酌麊沃?而對于已知的具有潛在威脅的程序?qū)⒓尤氲胶诿麊沃?在進行對進程行為的安全策略審查過程中可以跳過,直接進入處理階段.4提升性能和安全性目前國內(nèi)出色的主動防御軟件包括:360安全衛(wèi)士、金山衛(wèi)士、微點等,無論是從功能上還是完善程度上都表現(xiàn)出了很高的水準.與上述產(chǎn)品相比,本文討論的模型具有如下優(yōu)點:(1)軟硬結(jié)合,利用硬件虛擬化技術(shù)提供強有力的保護.硬件虛擬化技術(shù)興起不久,更多的潛力還有待挖掘.而當(dāng)前使用虛擬化技術(shù)的病毒木馬雖然已經(jīng)出現(xiàn)但由于門檻較高,還不能造成較大的影響.(2)充分利用VT-x技術(shù)的優(yōu)勢,提供高強度的自保護和有效的行為攔截.通過影子頁表技術(shù)實現(xiàn)使VMM所在內(nèi)存頁對操作系統(tǒng)透明,操作系統(tǒng)中的惡意程序無法覺察到VMM的存在,從而提高了自身的安全性.利用內(nèi)存保護手段,從更加底層的角度保護其他內(nèi)核驅(qū)動的安全,