稳态主机检测与响应 (Homeostatic Host Detection and Response,H²DR) - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

稳态主机检测与响应 (Homeostatic Host Detection and Response,H²DR)

丁牛科技 行业 2023-05-25 13:47:17
50407
收藏

导语:在企业生产环境中,主机安全是整个信息系统安全的核心命脉。如何在有代价的前提下,解决误报和漏报问题,确保主机系统绝对安全,是国际国内各研究团队长期跟踪和研究的重要方向。

在企业生产环境中,主机安全是整个信息系统安全的核心命脉。但当前主流的主机安全检测与响应产品(Host Detection and Response,H2DR),通常会面临误报和漏报问题,漏报导致HDR不能及时发现和阻止真正的威胁,误报导致HDR只敢检测不敢拦截,否则误伤害可能造成系统崩溃和停摆。如何在有代价的前提下,解决误报和漏报问题,确保主机系统绝对安全,是国际国内各研究团队长期跟踪和研究的重要方向。北京丁牛科技有限公司,提出了一种新的主机安全解决方案。

1.什么是稳态主机

稳态主机是指系统的运行环境以及自身状态长时间保持相对稳定,相比于业务效率,更关注系统的稳定性、安全性、业务的连续性,对恶意事件的容忍度低,对防御响应的时效性和抗干扰能力要求较高的主机系统,比如电力指控系统、地铁管理系统、国防信息系统等。稳态主机检测与响应(Homeostatic Host Detection and Response,H2DR),旨在针对稳态主机特点,提供定制化的安全防御解决方案。

2.什么是稳态主机检测与响应

稳态主机检测与响应H2DR是指以探针为手段,采集操作系统的网络、文件、进程及底层运行状态等多维度数据,结合威胁情报等辅助信息关联分析,自动化地进行安全事件响应与处置,从而保障系统的业务连续性。其核心特点包括高鲁棒性、高稳定性和高安全性。

高鲁棒性(Robustness):H2DR具备对不同环境和攻击情境的适应能力,可以持续稳定运行并应对不同的威胁和攻击,不易受到攻击者的干扰和破坏。用户侧探针以极低的资源占用率稳定运行,不因检测与响应占据过多系统资源,影响系统运行甚至造成系统崩溃。

高稳定性(Stability):H2DR具备良好的系统稳定性和可靠性,不会因为外部因素或内部故障而导致系统崩溃或无法正常运行,保证用户系统业务的连续性和可用性。

高安全性(Security):H2DR具备强大的安全性能和安全防护能力,可以检测和识别多种恶意攻击和漏洞利用行为,并采取相应的安全响应和处置措施,最大限度地保障系统和数据的安全性和完整性。

3. H2DR的关键核心技术

H2DR主要基于系统运行时自保防护技术(Runtime System Self Protection,RSSP)。RSSP技术是一种基于操作系统内核控制的安全防护技术,主要用于监控和拦截恶意程序、恶意代码、恶意脚本等安全威胁。RSSP将监控和拦截范围进一步扩展到了操作系统层,利用操作系统内核提供的机制和接口实现对系统运行时的保护。RSSP技术的核心思想是通过动态的、多层次的安全检测和拦截机制,实现对系统运行时环境的自我保护,从而提高系统的安全性和稳定性。

RSSP具有全面性、实时性、自适应性、高效性、灵活性特点。全面性是指RSSP技术不仅仅是应用程序的安全防护,而是将监控和拦截范围扩展到了操作系统层,包括内核和用户空间进程,具有全面性的防护能力。实时性是指RSSP技术通过不断地监控和检测系统状态,能够实时地发现和拦截恶意行为,保证系统的安全性。自适应性是指RSSP技术能够根据系统的实际运行情况,自适应地调整防护策略,以适应不同的攻击情况。高效性是指由于RSSP技术基于操作系统内核控制,与应用程序紧密集成,因此可以实现高效的防护和检测。灵活性是指RSSP技术可以根据不同的安全策略和防护需求进行配置和调整,具有较大的灵活性。

RSSP包括三个层次的防御机制:系统内核运行时权限管理。RSSP在内核态对常见的运行时程序的授权与鉴权管理,包括可执行程序、编译型中间件程序比如Java、解释性程序比如shell脚本、python、php等。这些程序的运行都需要安全管理员的授权,未授权程序的执行会被直接拦截,可以杜绝木马、webshell、挖矿程序等类型的攻击手段。鉴权的过程在内核进行,除了进程启动相关的系统调用,还有一些其他的关联调用都会被监控,从技术上其实很难绕过鉴权。鉴权机制经过优化,资源占用率极低,鉴权速度快,对主机上的正常程序运行几乎无干扰。

基于攻击行为的系统调用序列特征的建模。RSSP不关心系统操作的目的,也不关心某个文件的文本特征,只要操作中包含特定的系统调用与特殊参数的组合,或者用特定的系统调用去访问一个特殊的文件、特定的端口,或者某几个系统调用以一定的时序特征出现,这个操作基本上可以判断命中了某种攻击行为,比如内核提权,比如漏洞利用等。同时,结合威胁情报提高判定的精度,比如某个操作对外的TCP连接指向恶意IP,那么这种操作大概率应该是一个攻击行为的前置。

防御模块自保护。RSSP在被防御的主机上部署针对防御模块自身的防护,通过技术手段使攻击者无法找到防御进程,避免防御产品自身引入的被攻击风险,同时也对关闭防御进程的操作进行了一定的限制,让攻击者无法关闭防御进程从而躲避检测。

期待稳态主机检测与响应H2DRR能够为传统HDR带来一些新的改变,帮助用户解决当前痛点。


如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务