女人自慰AV免费观看内涵网,日韩国产剧情在线观看网址,神马电影网特片网,最新一级电影欧美,在线观看亚洲欧美日韩,黄色视频在线播放免费观看,ABO涨奶期羡澄,第一导航fulione,美女主播操b

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

使用NVIDIA BlueField DPU有效防御惡意軟件

星星科技指導員 ? 來源:NVIDIA ? 作者: Ahmad Atamli ? 2022-04-27 10:49 ? 次閱讀
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

在網絡威脅無處不在,且對于數據中心的攻擊日益猖獗的時代,安全保障已成為每臺機器保護用戶數據的必要條件。但是,許多安全產品無法有效地防御惡意軟件。此外,基于軟件的安全保障會消耗本應分配給用戶業務的計算和內存資源。

NVIDIA BlueField 智能網卡是一個先進的、可編程以太網智能網卡,配備一系列 Arm 處理器核并集成了 NVIDIA ConnectX-5 網絡控制器。它解決了數據中心的安全保障,同時讓用戶獲得了應得的計算資源。

BlueField SoC 是智能網卡的核心,它在與潛在惡意軟件不同且隔離的可信域中運行帶外安全軟件。由于安全軟件運行在智能網卡的 Arm 核上,因此所有主機的計算資源均可留給用戶。在這個隔離環境中,智能網卡可以安全地訪問應用程序的數據來進行自檢,同時避免惡意軟件篡改數據,不會保留關于訪問時間和訪問數據的足跡。這項創新設計助力 BlueField 成為惡意軟件檢測和取證調查的出色解決方案。

惡意軟件是惡性、隱蔽的。它可以使用隱藏技術,避免被傳統軟件安全解決方案檢測到。這是因為通常用于檢測惡意軟件的數據本身就有問題。通常情況下,安全解決方案有數據采集階段,在此階段數據用于了解惡意軟件的活動。在傳統方法中,用于數據采集的軟件運行在同一臺被檢查的機器上。如果惡意軟件篡改了將要用于檢測的數據,則可能無法確定是否入侵。躲避觀察工具(例如,用于發現異常現象 [IOC – Indications Of Compromise] 的檢測軟件)的技術稱為反取證技術。惡意軟件可以使用相同的技術避開入侵檢測系統 (IDS) 和入侵防御系統 (IPS) 的檢測。

對于惡意行為的檢測失敗,可能發生在整個流程的任意一步。獲取數據是非常關鍵的一步。如果用于檢查的數據不可靠,則檢測系統可能找不到任何 IOC,因為所有的 IOC 標志都被惡意軟件隱藏了。從數據的獲取方法到定義信任的級別,都有許多待解答的問題:如安全 IDS/IPS 應用程序如何獲取數據?惡意軟件能否篡改 IDS 獲取的數據?

用于獲取數據的技術有很多,而且用于分析的數據也有多種類型。在本文中,我將簡單介紹一些常見的數據獲取方法和數據類型,以及它們之間的關系及其缺點。

反惡意軟件掃描工具

反惡意軟件用于我們要長久存儲的文件,也稱為靜態數據。我們可以在同一臺計算機上運行反惡意軟件來對磁盤進行分析,或從外部在另一臺不相關的機器上進行分析。當從外部對未加密的磁盤進行分析時,有可能來構建文件系統樹并掃描磁盤以尋找已知的 IOC。例如,通過掃描磁盤中的某個文件,可以對這個文件進行重構,并計算出一個哈希值。接著,利用不同的在線資源幫助我們來根據哈希值判斷其相關的文件是否惡意。但是,如果惡意軟件沒有存在硬盤上,則它在文件系統上可能沒有任何痕跡,導致反惡意軟件掃描技術無法檢測到受攻擊系統。

網絡入侵檢測系統

大多數攻擊都會在網絡上留下一些痕跡。例如,從主機中竊取機密并將其發送給遠程攻擊者的場景。檢測此類事件可以判斷出哪個 IP 地址可能執行了攻擊及其攻擊目標。如今,大多數 IDS 和 IPS 解決方案通過觀察網絡來發現惡意行為。網絡數據可以通過本機在本地收集,也可以從外部(例如,使用智能網卡或交換機)收集。

內存分析

運行時數據為您提供了更好的關于系統的可見性。通常通過兩種方法來獲取數據:侵入操作系統和不侵入操作系統。侵入方式是指一個授權的軟件可以關聯的操作系統中相關功能的事件和開關。例如,打開或關閉文件/ Socket 的事件將觸發收集關于哪個文件或Socket被打開或關閉,以及何時被打開和關閉的數據。

另一個例子是派生一個新進程。偵測軟件使用派生進程開關和執行新進程的方法來檢測惡意行為。例如,它可以幫助解答新進程是否為惡意軟件。正在運行的進程應該會派生新進程嗎?高級的惡意軟件有可能操控這些關聯機制。

惡意軟件檢測

理想情況下,您想要從磁盤、網絡和內存三個地方來收集能反映系統狀態和行為狀態的數據。

大多數檢測技術都從網絡或磁盤來檢測 IOC。遺憾的是,此方法不足以應對現代惡意軟件的挑戰。研究人員指出,現代惡意軟件“詭計多端”,并且攻擊手段變得越來越高明。

例如,一些惡意軟件可以在攻擊系統而不再磁盤上留下任何痕跡,從而防止那些基于磁盤的檢測技術發現其蹤跡和惡意行為。通過網絡進行攻擊的惡意軟件就無法完全隱藏。但是,雖然網絡流量中可能包含許多受攻擊標志,但在很多時候,這些網絡流量是無狀態的、而且數量龐大、隨機性強且復雜難分析。即使發現了 IOC,也很難分析出惡意軟件影響到了哪些行為。要了解惡意軟件的行為和網絡流量包含的正確信息,您需要更深入地分析運行時環境。

要獲得惡意軟件活動的 “X 光”視圖,您需要在執行過程中采集數據。通過運行時數據,可以更好地洞察事件和操作,例如正在運行的進程、網絡連接以及操作系統提供的各種初始值。透過運行時數據,可以更好地了解惡意軟件的行為;因此,檢測軟件可以更準確地識別惡意活動。

采集此類數據具有挑戰性。基于軟件的解決方案會產生觀察者效應,因為惡意軟件和 IDS 均在同一域運行并共享相同的資源。惡意軟件就可能操控 IDS 用于獲取數據的Hook和函數,從而導致數據的不可靠和受損。與其使用可能會被惡意軟件更改的Hook和函數,不如使用安全的方法從主機的物理內存(即系統的運行時執行的地方)中獲取裸數據(Raw Data)。假設存在一種防篡改方法,可從主機的物理內存采集裸數據(Raw Data),則可以重建系統狀態。這包括內核內存、代碼和用戶態環境。

從原始內存(Raw Memory )的Dump中構建的數據可以提供一個抽象來檢查和檢測攻擊。如果發生攻擊,無論是注入代碼、操控進程內存、派生新進程,還是為遠程攻擊者打開一個新網絡連接,都會表現為物理內存的變更。影響越大,內存中的失真現象越嚴重。

大部分的取證調查信息既包括網絡數據,也包括主機物理內存中的數據。這種組合可以構建準確的系統狀態副本。本文討論一種新穎提案,就是對于主機物理內存的可靠數據獲取。

帶外惡意軟件檢測

為檢測和分析惡意軟件,帶外設備會不定時地訪問和采集數據。得益于現代計算機架構以及 PCI Express (PCIe) 設備訪問主機物理內存的方式,基于硬件的數據采集方法被視為更加可靠且值得信賴的惡意軟件檢測方法。在大多數情況下,通過 PCIe 協議時,外圍設備可以直接訪問內存 (DMA) ,并對主機物理內存進行讀寫操作,而不會對主機上運行的軟件(包括惡意軟件)產生副作用。在一張PCIe卡上通過 PCIe 接口,能以每通道 8 Gbps (Gen3) 或 16 Gbps (Gen4) 的速度向主機物理內存進行讀寫操作。

pYYBAGJorx-AOWB7AACmvuivCxo674.jpg

圖 1.入侵檢測系統使用 PCIe 接口從主機物理內存讀取數據。

主機物理內存被分割為多個區域,在啟動時被映射到系統 RAM、IO 空間和 ROM等。大多數情況下,惡意軟件攻擊的數據和位置在系統的 RAM區域,這正是內核和惡意軟件的活動的地方。在數據采集時,采集設備會通過讀內存指令來獲得 RAM 區域的物理頁面。圖 2 顯示的是運行在 Linux Ubuntu 16.04 上的計算機的內存映射

Figure2.png

圖 2.IDS 所用的基于Ubuntu的主機內存映射。

該操作從 PCIe 卡上通過 PCIe 鏈路到達內存控制器,進而訪問物理內存的權限。如圖 1 所示,該操作不涉及主機上運行的軟件,而是通過了一條惡意軟件中不知道的路徑。與基于軟件的解決方案不同,這個方案不會在受檢查的主機上運行任何新軟件,因此不會違反取證要求。

下一步就是要確保可以分析常數。例如,訪問主機物理內存中的兩個頁面,其中一個頁面指向另一個頁面。如果被指向的頁面改變了它的物理地址,那么數據采集工具會讀到內存中的錯誤頁面。這是對于任何采集物理內存的工具(無論是基于硬件的還是基于軟件的采集工具)都存在的風險。采集內存的時間越長,存在不一致性的可能性就越高。采集時間越短,可能發生的變化就越少,獲得可靠數據的可能性就越高。

再次,基于硬件的方法以其超快的速度和更高的效率超越了相應的軟件實現。例如,使用軟件工具從RAM采集 64GB的數據可能需要數分鐘的時間。當使用 Gen4 速率的PCIe 卡時,數據采集速度可達每通道 16 Gbps。如果設備通過 16 個 PCIe 通道連接到主機,在 Gen4速度下,數據采集速度就達到了 32 GB/s。

用于惡意軟件檢測的 BlueField 智能網卡

我的團隊調研了 BlueField 智能網卡是否適用于實時內存取證。在研究中,我們使用了一種八個PCIe通道的 BlueField 智能網卡。采用了 Volatility 內存(Volatility Memory)取證框架,并將其擴展為支持通過 BlueField 智能網卡進行實時內存取證。Volatility 內存取證框架是一個惡意軟件研究人員、取證調查人員和事件響應人員常用的知名開源框架,可以操作內存鏡像文件。

Volatility 使用 Python 應用程序 (vol.py),提取進程列表、網絡連接和內核模塊等信息,以幫助取證人員了解惡意軟件的痕跡及其行為。該框架允許開發人員和調查人員通過查看內存的Dump文件對主機進行分析。我的團隊將其擴展到了使用 BlueField 智能網卡的 Arm 處理器來運行該 Volatility 框架,對主機物理內存中的惡意軟件進行分析。這樣一來,可以按需采集物理內存分段,進行實時內存分析。Volatility 在正常情況下處理內存文件時,有時可達 64 GB 和 128 GB。擴展程序允許采集特定用途(例如構建進程列表)所需的精選數據。

新 Volatility 插件連接到內存訪問 SDK,允許使用 BlueField的 DMA 功能。該 SDK 提供不同的內存訪問方式,允許快速訪問內存并降低數據采集時的延遲。BlueField 智能網卡板載內存允許從主機物理內存復制數據,然后使用 Arm 核進行本地分析,而無需擔心主機是否會修改這些數據。以下視頻展示了 BlueField Arm 處理器運行的 Volatility 框架。

總結

攻擊變得越來越隱蔽、復雜,而當前的檢測和預防技術難以與之抗衡。硬件輔助的數據采集被視為采集數據以進行分析的最可靠、最值得信賴的方法。BlueField 支持硬件輔助的內存采集,可以您的服務器更安全。它支持帶外入侵檢測和取證調查。獲得授權后,它可以快速訪問主機物理內存,并將安全應用程序(例如 IDS)保護在一個隔離的環境中。BlueField 對取證調查、事件響應、惡意軟件檢測和入侵檢測系統頗有助益。

審核編輯:郭婷

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 服務器
    +關注

    關注

    13

    文章

    9795

    瀏覽量

    87979
  • 數據中心
    +關注

    關注

    16

    文章

    5228

    瀏覽量

    73517
  • SDK
    SDK
    +關注

    關注

    3

    文章

    1077

    瀏覽量

    49090
收藏 人收藏
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

    評論

    相關推薦
    熱點推薦

    NVIDIA DOCA 3.0版本的亮點解析

    NVIDIA DOCA 框架已發展成為新一代 AI 基礎設施的重要組成部分。從初始版本到備受期待的 NVIDIA DOCA 3.0 發布,每個版本都擴展了 NVIDIA BlueField
    的頭像 發表于 07-04 14:27 ?335次閱讀
    <b class='flag-5'>NVIDIA</b> DOCA 3.0版本的亮點解析

    2025 NVIDIA創業企業展示澳門站圓滿收官

    2025 技術精華解讀、亞馬遜云科技 AI Agent 智能化應用分享、圓桌討論和項目路演、大企業對接、以及第三屆 NVIDIA DPU 中國黑客松競賽啟動等環節。本次活動由澳門永利渡假村、創賽創新中心聯合主辦,亞馬遜云科技、超擎數智、BEYOND EXPO 等伙伴的協
    的頭像 發表于 05-29 14:12 ?438次閱讀

    第三屆NVIDIA DPU黑客松開啟報名

    碰撞的絕佳機會。本次競賽采用開放式主題,參與者將通過 NVIDIA DOCA 軟件框架構建創新的加速應用程序,充分挖掘 NVIDIA BlueField
    的頭像 發表于 05-27 10:16 ?420次閱讀

    NVIDIA網絡安全AI平臺助力保護關鍵基礎設施

    此平臺集成了 NVIDIA BlueField 和 Morpheus,并為 Armis、Check Point Software Technologies、CrowdStrike、Deloitte 和 WWT 的下一代網絡防御
    的頭像 發表于 02-19 10:22 ?503次閱讀

    深度防御策略:構建USB安全防線的五大核心層次

    在面對日益嚴重的USB安全威脅時,企業需通過深度防御策略構建多層安全防護,確保系統免受惡意軟件、數據泄露等風險的侵害。本文深入探討了五大核心防御層次,包括防病毒、USB設備控制、書面政
    的頭像 發表于 02-10 14:51 ?500次閱讀

    利用NVIDIA DPF引領DPU加速云計算的未來

    DPU 的強大功能,并優化 GPU 加速計算平臺。作為一種編排框架和實施藍圖,DPF 使開發者、服務提供商和企業能夠無縫構建 BlueField 加速的云原生軟件平臺。
    的頭像 發表于 01-24 09:29 ?711次閱讀
    利用<b class='flag-5'>NVIDIA</b> DPF引領<b class='flag-5'>DPU</b>加速云計算的未來

    NVIDIA BlueField-3 DPU上運行WEKA客戶端的實際優勢

    WEKA是可擴展軟件定義數據平臺的先驅,NVIDIA 正在與其合作,將 WEKA 先進的數據平臺解決方案與功能強大的NVIDIA BlueField
    的頭像 發表于 01-07 09:43 ?672次閱讀
    在<b class='flag-5'>NVIDIA</b> <b class='flag-5'>BlueField</b>-3 <b class='flag-5'>DPU</b>上運行WEKA客戶端的實際優勢

    借助NVIDIA GPU提升魯班系統CAE軟件計算效率

    本案例中魯班系統高性能 CAE 軟件利用 NVIDIA 高性能 GPU,實現復雜產品的快速仿真,加速產品開發和設計迭代,縮短開發周期,提升產品競爭力。
    的頭像 發表于 12-27 16:24 ?675次閱讀

    國聯易安:“三個絕招”,讓惡意代碼輔助檢測“穩準快全”

    隨著黑客攻擊技術的演變,惡意程序檢測技術也得到了較快的發展。惡意代碼/程序通常包括特洛伊木馬、計算機病毒、蠕蟲程序以及其他各種流氓軟件等。其技術發展極其迅速,且隱蔽性較強,有些甚至能破壞常見殺毒引擎
    的頭像 發表于 11-22 15:47 ?584次閱讀

    NVIDIA DOCA-OFED的主要特性

    NVIDIA DOCA 軟件平臺釋放了 NVIDIA BlueField 網絡平臺的潛力,并為NVIDIA
    的頭像 發表于 11-09 13:50 ?1006次閱讀

    IDS、IPS與網安防御

    入侵檢測系統(IDS)和入侵防御系統(IPS)是網絡安全防御的重要工具。 入侵檢測系統通過持續分析網絡流量和系統日志等信息,當發現可疑傳輸時,IDS會迅速發出警報,通知管理員采取相應措施。例如,當
    的頭像 發表于 09-18 10:42 ?722次閱讀

    簡單認識NVIDIA網絡平臺

    BlueField-3 SuperNIC,為多租戶生成式 AI 云和大型企業級用戶提供了各種至關重要的先進功能。其核心結構是交換機 + SuperNIC(超級網卡)+ LinkX + DOCA 軟件開發包 + NCCL 集合通信庫。
    的頭像 發表于 09-09 09:22 ?810次閱讀

    必知!如何有效保護你的IP地址

    IP地址就如同我們在網絡世界中的“身份證”,如果IP地址被惡意利用,可能會給我們帶來諸多麻煩,如遭受網絡惡意事件、隱私泄露等。那么,我們該如何有效保護我們的IP地址呢? 一、隱藏IP地址 更換IP
    的頭像 發表于 09-07 11:16 ?898次閱讀

    防御性編程:讓系統堅不可摧

    Programming)正是為解決這一問題而生的一種編程范式,它強調在編程過程中預見并防范潛在的錯誤和異常情況,從而增強軟件的健壯性和穩定性。作為一種細致、謹慎的編程方法,通過提前考慮并防范可能出現的錯誤,從而有效減少軟件漏洞
    的頭像 發表于 07-25 14:04 ?512次閱讀

    IaaS+on+DPU(IoD)+下一代高性能算力底座技術白皮書

    數據中心的第三顆“主力芯片”,主要通過其專用處理器優化數據中心的網絡、存儲、安全等處理性能,助力服務器運行效率顯著提升,有效降低成本。因此,在新型數據中心建設時,圍繞 DPU 構建數據中心網絡的基礎設施
    發表于 07-24 15:32