一种新型的基于虚拟机系统的程序套装声称不仅能够检测黑客攻击，而且可以修复被攻击的后果。

当今的IT界，恶意软件愈演愈烈，企业风险日益加剧。随着黑客的强大，即使是你小心再小心也无法避免安全事件的发生。今年九月发现的破壳(Shellshock)漏洞，在被发现的第一天就检测到了2.4万次黑客攻击。

从长远来看，系统为要阻止恶意软件的入侵，将不得不变得越来越复杂，最终每个系统以及每个系统中的每个应用程序都要实现多层防御。因此，就需要更多的内存和更长的运行周期。再次验证了英特尔公司曾说过的话，世界是属于黑帽子的。

美国国防部先进研究项目署（DARPA）联合雷神旗下的BBN公司进行投资，在犹他州大学经过四年研发出一种名为A3(Advanced Adaptive Applications)的高级自适应应用程序。该系统运行在Linux服务器上,可以减少恶意软件和黑客攻击的影响。

A3的强大之处在于，它不仅可以检测零日漏洞恶意软件和攻击，而且还可以通过代理程序给服务器“打预防针”，防止未来的感染。

据悉，A3是“运行在虚拟机上的一组软件套装”，由堆栈式调试器组成，多个调试应用程序相互运行在各自的顶层，持续监控着虚拟机内部的任何非常规行为。它可以通过检测发生在计算机内部的任何不正确操作，自动发现新的、未知的病毒或恶意软件，然后对其进行阻断，并大致修复损坏的软件代码，最后对该漏洞进行封锁使系统无法再次被感染。

它真得有那么牛吗？今年九月，由犹他州大学和雷神BBN公司组成的测试团队用破壳漏洞对A3做了一项有效性测试。测试显示，A3在发现Web服务器上Bash攻击后，只花了不到四分钟就完成了修复。测试团队还成功地测试了另外六款恶意软件。

A3是通过虚拟机自查技术进行运作的，该技术通过在虚拟机外围架设监控代理，获取在虚拟机内部运行的系统状态信息。研发小组还在开发一种基于A3环境的检测、预防和修复功能为一体的虚拟机自查调试框架，命名为“堆栈测试器（Stackdb）”。堆栈测试器允许A3系统观察重复执行的重要事件，以此来弥补内部系统行为与外部系统行为之间的隔阂。研发小组使用一种叫做Weir的新型脚本语言，利用虚拟机自查技术和其他数据源，在虚拟机自查调试框架的顶层实现半自动化的安全与性能分析。

A3是一种封包类型的系统，利用基于内核的高级状态管理系统（ASM）监控和修复封包内部的内核。该项目为开源项目，当前可用的软件包括堆栈调试器、多层系统虚拟机自查调试库、基于内核的异常检测和修复系统ASM、用于系统分析的流语言Weir语言、跨时间管理程序XenTT、可配置安全策略的安全增强型用户模式网络文件系统服务器UNFS3等。还有一系列尚未调试好的的脚本和文件在不久的将来会陆续面世。

可以说A3不仅走在了系统完整性保护的前沿，也许还将完全改变我们与恶意软件和黑客攻击斗争的方式。

－－－

要闻、干货、原创、专业

关注“信息安全知识”

我们是安全牛！