增强的恶意软件检测

核心提示： 原型1：基于 Intel® 管理引擎 自从 Intel® 主动管理技术 (Intel® AMT) [16, 17]及运行 Intel® vPro™ 技术的平台面世以来，平台中就包含了一个嵌入式微控制器，增强的恶意软件检测(6)，称为Intel ME，I

原型1：基于 Intel® 管理引擎

自从 Intel® 主动管理技术 (Intel® AMT) [16, 17]及运行 Intel® vPro™ 技术的平台面世以来，平台中就包含了一个嵌入式微控制器，称为Intel ME。Intel ME是一个集成设备，独立安装在PCI总线中。Intel ME集成了多种硬件引擎，比如总线控制器、加密加速器、DMA引擎等等。Intel ME运行的固件(firmware)由实时操作系统(real-time operating system ,RTOS)、操纵硬件的驱动程序以及管理应用程序组成。在我们的原型中，我们利用DMA引擎访问内存区。

我们首先实现一个代理来扫描固件中的内存。这个代理是传统的基于黑名单的扫描代理。因为Intel ME在计算能力与存储空间两方面的共同限制，我们只能在Intel ME固件中实现一个功能受限的扫描代理。能安全存放的黑名单的长度限制在192KB，扫描操作的频率也不能太高。由于这些限制，我们只好在主机OS中实现了一个主机代理，其功能是扫描基于黑名单的内存。在此原型中，我们向Intel ME代理中加入完整性检查固件，以检验其主机代理的完整性。此外，Intel ME带外( out-of-band ,OOB)接口能与远程防病毒云服务进行通讯，如果主机代理在运行时被修改，就会通知防病毒云上的软件。Intel ME在其存储区域内保存主机代理的哈希值，并且定期验证主机代理运行时映像的完整性。在我们的论文《实时内核匿踪攻击(Rootkit)检测》（Runtime Kernel Rootkit Detection） [9]中，我们描述了用来验证主机代理运行时完整性的清单（manifest ）产生进程以及3阶段(3-phase )算法。对于此原型，我们使用Intel ME度量主机代理的完整性：进程执行所需时间在毫秒级。我们打算进一步研究事件驱动、主机代理扫描等方法，以解决定时攻击问题。图4显示了我们的原型架构：