《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信与网络 > 设计应用 > 操作系统行为理论模型及典型应用研究
操作系统行为理论模型及典型应用研究
网络安全与数据治理
祝林,邬江,刘克斌,钟杰
中电长城网际安全技术研究院(北京)有限公司
摘要: 针对当前终端网络安全攻防对抗中未知攻击“防不住”、已知攻击“测不准”的问题,现用“封堵管控”安全机制可被攻击方屏蔽规避,为扭转当前终端安全防护的被动落后现状,亟需在终端安全检测理论、安全检测分析模型与实际应用上实现创新突破。文章将操作系统行为进行了形式化定义,并基于形式化定义设计了操作系统行为分析模型,然后以缓冲区溢出攻击与终端数据泄露攻击为典型示例验证其方法正确性。
中圖分類號:TP309;TP391文獻標識碼:ADOI:10.19358/j.issn.2097-1788.2024.12.004
引用格式:祝林,鄔江,劉克斌,等. 操作系統(tǒng)行為理論模型及典型應(yīng)用研究[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(12):27-32.
Research on the theory and typical applications of operating system behavior
Zhu Lin,Wu Jiang, Liu Kebin, Zhong Jie
CLP Great Wall Internet Security Technology Research Institute (Beijing) Co., Ltd.
Abstract: In response to the problem of unknown attacks being "undetectable" and known attacks being "unpredictable" in current terminal network security attacks and defenses, the current "blocking and control" security mechanism can be blocked or avoided by attackers. In order to reverse the passive backwardness of terminal security protection, it is needful to achieve innovative breakthroughs in terminal security detection theory, security detection analysis models, and practical applications. This study formalized the behavior of the operating system and designed an operating system behavior analysis model based on the formal definition. Then, buffer overflow attacks and terminal data leakage attacks were used as typical examples to verify the correctness of the method.
Key words : behavior measurement; operating system behavior; security testing; terminal protection

引言

為應(yīng)對常見的安全風(fēng)險(如非法訪問、網(wǎng)絡(luò)惡意攻擊、網(wǎng)絡(luò)數(shù)據(jù)泄露、網(wǎng)絡(luò)病毒、非法外聯(lián)、違規(guī)外設(shè)接入、勒索軟件、終端非授權(quán)使用等),往往會針對性部署防火墻、主機入侵檢測/入侵防御系統(tǒng)、終端檢測和響應(yīng)[1](Endpoint Detection and Response,EDR)、惡意代碼查殺、主機安全管理系統(tǒng)、主機外設(shè)管控系統(tǒng)、基于電子鑰匙的身份認證等安全措施。

當前安全防護措施的處置過程,以網(wǎng)絡(luò)數(shù)據(jù)泄露為例,如圖1所示,主要包括:

(1)針對安全風(fēng)險(已知漏洞);

(2)部署安全措施(特征匹配、主動檢測);

(3)檢測發(fā)現(xiàn)安全事件;

(4)安全響應(yīng)處置。

現(xiàn)有安全防護機制是典型的以現(xiàn)象和結(jié)果作為切入點,其存在如下問題:一是始終無法有效防范APT[2]攻擊,特別是對基于0day漏洞[3]的未知攻擊往往無法實現(xiàn)有效防護;二是多重安全機制導(dǎo)致防護性能低下,已影響當前安全產(chǎn)品廣泛應(yīng)用推廣;三是多維度安全檢測數(shù)據(jù)難以融合分析,異構(gòu)安全數(shù)據(jù)的關(guān)聯(lián)分析一直是困擾安全檢測有效性與準確性的核心理論問題;四是安全檢測與攻擊規(guī)避對立問題[4],當前安全檢測未充分考慮攻擊規(guī)避對抗,導(dǎo)致檢測措施可被攻擊方規(guī)避繞過[5],從而造成檢測失效。

從目前攻防對抗發(fā)展趨勢來看,安全風(fēng)險的“日新月異”導(dǎo)致安全防護的“無邊擴展”,而這種應(yīng)對式無序發(fā)展,造成的結(jié)果就是終端上安全軟件堆砌、安全防護系統(tǒng)整體運行效能低下,終端安全對抗一直處于“道高一寸,魔高一尺”的追趕局面。

044.png

圖1以數(shù)據(jù)泄露為例當前攻防檢測與反制措施分析

其產(chǎn)生的原因在于:目前安全防護機制是“以現(xiàn)象為切入、以工程思維進行分析、亡羊補牢式的”安全防護。本文針對當前安全防護“頭痛醫(yī)頭,腳痛醫(yī)腳”、治標不治本、未從安全防護本質(zhì)上來解決問題的不足,從安全攻防內(nèi)在機理上進行溯源分析,從根本上分析安全威脅的成因。即要克服現(xiàn)有終端安全機制的弊端,需要轉(zhuǎn)變方法思路,從清本溯源角度來解決終端安全防護問題。


本文詳細內(nèi)容請下載:

http://www.ihrv.cn/resource/share/2000006263


作者信息:

祝林,鄔江,劉克斌,鐘杰

(中電長城網(wǎng)際安全技術(shù)研究院(北京)有限公司,北京100097)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。