天才少年招聘 云上基于Agentless指令序列的恶意软件检测分类技术
云上基于Agentless指令序列的恶意软件检测分类技术
领域方向:安全
职位名称: 安全研究员
云上基于Agentless指令序列的恶意软件检测分类技术
  • 安全
  • 安全研究员

挑战课题方向简介

【技术价值】

基于Agentless指令序列检测分类已知和未知恶意软件,杜绝云上勒索等安全问题, 避免客户业务因恶意软件攻击而受损。

【技术挑战】

  • 基于资源可控的Agentless: 克服VMI语义鸿沟,虚拟机内省(VMI)在VM外部监控VM内部状态;需要桥接VM内外部数据结构和字节序列语义鸿沟;语义鸿沟的存在,获取虚拟机内部信息时会导致其通用性和执行效率降低;需要提供一种不基于VMI的Agentless技术监控VM内部状态;同时对宿主占用资源较小;
  • 指令序列过滤收集:需要在研究恶意软件攻击模型基础上,提炼需要收集的指令序列,形成攻击检测模型;
  • 指令序列检测分类:收集到了指令序列后,可以在后端恶意软件分析引擎上做模型训练和攻击检测; 需要提供恶意软件的多分类技术(不是二分成malicious和non-malicious两种);
  • 拦截阻断指令序列执行:检测到了恶意软件执行的指令序列同时,需要及时拦截这些指令执行,阻止攻击成功。

【技术诉求】

  • 指令序列的过滤收集技术:在研究恶意软件攻击模型基础上,提炼需要收集的指令序列,避免使用VMI做指令收集,在vm GuestOS kernel注入hooks, 顺序收集指令序列,避免全量收集,使用白名单过滤拦截和提取指令,参数,运行上下文信息(文件,网络,进程等);可以提供内核级恶意软件执行的指令序列收集;
  • 指令序列检测分类算法:支持多分类的检测能力;细分恶意软件,诸如勒索、rootkit、木马、病毒等; 指令序列化检测能力,按照指令顺序模型检测恶意软件,基于模型可以检测未知恶意软件; 误报率<0.01%; 漏报率<1%;
  • 基于Agentless可控资源下检测拦截: 基于agentless过滤和收集指令序列,同时提供拦截隔离恶意指令执行技术能力,资源占用满足:CPU整体占用<3%, 内存占用<100M; 网络带宽占用<512Kbps。

投递方式

邮箱发送到cloudrecruit@huawei.com,邮件标题及简历附件命名方式:天才少年招聘+姓名+学校+挑战课题方向。