ddos防护:Linux恶意软件检测工具
Linux恶意软件检测工具(LMD)是一个GNU GPLv2许可下发布的Linux恶意软件扫描器,其设计理念是是针对在共享主机环境中所面临的威胁。它使用来自网络边界的入侵检测系统的威胁数据,提取当前被经常用于攻击的恶意软件,并针对检测到的恶意软件生成标识。
工具介绍
Linux恶意软件检测工具(LMD)是一个GNU GPLv2许可下发布的Linux恶意软件扫描器,其设计理念是是针对在共享主机环境中所面临的威胁。它使用来自网络边界的入侵检测系统的威胁数据,提取当前被经常用于攻击的恶意软件,并针对检测到的恶意软件生成标识。此外,数据的威胁也来自于用户通过LMD上传功能提交的恶意软件,以及从恶意软件联盟中获取到的资源。LMD使用的签名,是MD5散列和 HEX模式匹配,他们也能较为容易地输出到其他的检测工具如ClamAV。
这款工具的出现背景是因为当前支持对Linux系统恶意程序检测的开源或者免费工具,有着较高的误报和漏报率。许多防病毒产品对于linux平台上的恶意程序检测却有着一个较差的威胁检测跟踪记录,特别是针对在共享的主机环境。
共享主机环境的威胁环境相比于其他环境是较为独特的,标准的AV产品检测组件,他们的检测目标主要是OS级别的木马,rootkit和传统的感染文件病毒,但是却忽略了越来越多的用户帐户级上的恶意软件,而这些一般被攻击者作为攻击的平台或者跳板。
从目前来看,支持多用户共享环境的恶意软件检测、修复的商业产品依然表现糟糕。通过LMD 1.5检测,可针对8883种恶意软件的哈希值进行分析识别,而相比之下,近30款商业防病毒和恶意软件的产品的表现,却令人不太满意。检测结果如下,
从上面的数据我们可以看到,有6931种(约占总数78%)的威胁,未被商业防病毒和恶意软件产品发现。而检测到的1951个威胁中,商业防病毒和恶意软件产品的平均检出率为58%,较低和较高的检出率分别为10%和100%。从以上的数据看,目前的多用户共享环境恶意程序威胁检测应该是开发的重点。
功能特点
-文件MD5哈希值检测,快速识别威胁
-用于识别威胁变量的HEX模式匹配
-拥有对模糊威胁进行检测的统计分析组件(例如:Base64编码)
-作为性能改进的扫描引擎,与ClamAV等工具进行联合检测
-通过-u|-update进行签名更新
-通过-d|-update更新集成的版本功能
-通过扫描最近的选项来扫描在一定时间内已添加/改变的文件
-全路径扫描
-上传可疑的恶意软件到rfxn.com对其哈希值进行重查
-查看扫描结果的报表系统
-在安全的方式中存储威胁的隔离队列
-隔离批处理的选项,以隔离当前或过去的扫描结果
-隔离恢复选项,将文件还原到原路径
-针对恶意代码注入的字符串的清除规则
-清除批处理选项,可清除之前的扫描报告
-清除规则针对Base64和gzinflate
-每日定时对过去24小时用户homedirs上进行扫描
-基于内核inotify实时对文件的创建/修改进行扫描
-基于内核inotify监控标准输入或文件
-基于内核inotify监控系统用户的操作特征
-基于内核inotify监控可配置的用户的HTML root
数据来源
LMD不仅仅是基于签名和哈希值地对恶意软件进行检测,它也收集外部其他环境的威胁以及其他被检测到的威胁,来提高它本身的检测能力。
针对恶意软件的数据,用于生成LMD签名主要有四个来源:
1、来自网络边界的IPS:网络管理作为日常工作的一部分,因为其主要是网站相关的,比如网站服务器经常会收到大量的滥用事件,而所有这一切都是通过网络边界的IPS进行记录。IPS事件被进行处理,从其中提取到恶意URL,将编码成playload和Base64 / GZIP的滥用数据进行解码,最终对恶意软件进行检索,分类,然后生成适签名。LMD的签名,绝大多数是来自IPS提取的数据。
2、来自社区联盟数据:数据的收集是从多个恶意社区网站如clean-mx和malwaredomainlist,然后对新的恶意软件进行处理检索,分类审查,然后生成签名。
当前位置:主页 > DDOS防御 > ddos防护:Linux恶意软件检测工具
1088
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
