高级自适应程序A3:恶意软件和黑客攻击的终结者?
作者:星期二, 十一月 25, 20140

10

一种新型的基于虚拟机系统的程序套装声称不仅能够检测黑客攻击,而且可以修复被攻击的后果。

当今的IT界,恶意软件愈演愈烈,企业风险日益加剧。随着黑客的强大,即使是你小心再小心也无法避免安全事件的发生。今年九月发现的破壳(Shellshock)漏洞,在被发现的第一天就检测到了2.4万次黑客攻击。

从长远来看,系统为要阻止恶意软件的入侵,将不得不变得越来越复杂,最终每个系统以及每个系统中的每个应用程序都要实现多层防御。因此,就需要更多的内存和更长的运行周期。再次验证了英特尔公司曾说过的话,世界是属于黑帽子的。

美国国防部先进研究项目署(DARPA)联合雷神旗下的BBN公司进行投资,在犹他州大学经过四年研发出一种名为A3(Advanced Adaptive Applications)的高级自适应应用程序。该系统运行在Linux服务器上,可以减少恶意软件和黑客攻击的影响。

A3的强大之处在于,它不仅可以检测零日漏洞恶意软件和攻击,而且还可以通过代理程序给服务器“打预防针”,防止未来的感染。

11

据悉,A3是“运行在虚拟机上的一组软件套装”,由堆栈式调试器组成,多个调试应用程序相互运行在各自的顶层,持续监控着虚拟机内部的任何非常规行为。它可以通过检测发生在计算机内部的任何不正确操作,自动发现新的、未知的病毒或恶意软件,然后对其进行阻断,并大致修复损坏的软件代码,最后对该漏洞进行封锁使系统无法再次被感染。

它真得有那么牛吗?今年九月,由犹他州大学和雷神BBN公司组成的测试团队用破壳漏洞对A3做了一项有效性测试。测试显示,A3在发现Web服务器上Bash攻击后,只花了不到四分钟就完成了修复。测试团队还成功地测试了另外六款恶意软件。

A3是通过虚拟机自查技术进行运作的,该技术通过在虚拟机外围架设监控代理,获取在虚拟机内部运行的系统状态信息。研发小组还在开发一种基于A3环境的检测、预防和修复功能为一体的虚拟机自查调试框架,命名为“堆栈测试器(Stackdb)”。堆栈测试器允许A3系统观察重复执行的重要事件,以此来弥补内部系统行为与外部系统行为之间的隔阂。研发小组使用一种叫做Weir的新型脚本语言,利用虚拟机自查技术和其他数据源,在虚拟机自查调试框架的顶层实现半自动化的安全与性能分析。

A3是一种封包类型的系统,利用基于内核的高级状态管理系统(ASM)监控和修复封包内部的内核。该项目为开源项目,当前可用的软件包括堆栈调试器、多层系统虚拟机自查调试库、基于内核的异常检测和修复系统ASM、用于系统分析的流语言Weir语言、跨时间管理程序XenTT、可配置安全策略的安全增强型用户模式网络文件系统服务器UNFS3等。还有一系列尚未调试好的的脚本和文件在不久的将来会陆续面世。

可以说A3不仅走在了系统完整性保护的前沿,也许还将完全改变我们与恶意软件和黑客攻击斗争的方式。

---

要闻、干货、原创、专业

关注“信息安全知识”

我们是安全牛!

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章