增强的恶意软件检测
2010-06-30 00:00:00 来源:WEB开发网核心提示: 增强基于云的恶意软件检测 在图2中描述了一个系统架构,用以增强基于云的防病毒服务,增强的恶意软件检测(4),图2:基于云的防病毒增强型解决方案(来源:Intel公司,2009)通过在主机环境中隔离出主机代理,图3描述了怎样扩展防病毒云服务,使其有能力提供内核匿踪攻击(Rookit)检测,并提供对
增强基于云的恶意软件检测
在图2中描述了一个系统架构,用以增强基于云的防病毒服务。
图2:基于云的防病毒增强型解决方案(来源:Intel公司,2009)
通过在主机环境中隔离出主机代理,并提供对诸如外存和内存等平台资源的直接访问,主机上的恶意软件不能再直接攻击或者操纵主机代理。恶意软件不得不转而攻击主机代理分区。由于主机代理分区不需要支持多用途计算,它能以更加健壮的解决方案配置得更加安全。下面描述了相关架构组件:
隔离的主机代理环境。主机代理被包含在隔离的运行环境中。主机能利用此环境提供的接口发送请求。它提供直接访问主机外存、主机访问;磁盘I/O请求能直接交付给此环境。
隔离的主机代理。主机代理包含安全、经过授权的通道,用来连接到防病毒云。主机代理监控主机磁盘I/O,如有需要,经由安全通道发送文件到防病毒云网络服务进行分析。主机代理包含文件系统操作功能,负责访问主机文件系统,并且代理能定期扫描物理磁盘以发现哪些文件被更改;然后发送被更改的文件到防病毒云网络服务。
增强型磁盘驱动。增强型磁盘驱动用来通过文件系统将磁盘I/O请求从主分区转发到运行在安全容器内的主机代理,以进行下一步处理。
原生磁盘驱动。原生磁盘驱动用来从被隔离的分区中访问主机磁盘硬件。
图3描述了怎样扩展防病毒云服务,使其有能力提供内核匿踪攻击(Rookit)检测,还有在磁盘/文件上扫描恶意软件。架构组件描述如下:
[]
赞助商链接