在網絡威脅無處不在，且對于數據中心的攻擊日益猖獗的時代，安全保障已成為每臺機器保護用戶數據的必要條件。但是，許多安全產品無法有效地防御惡意軟件。此外，基于軟件的安全保障會消耗本應分配給用戶業務的計算和內存資源。

NVIDIA BlueField 智能網卡是一個先進的、可編程的以太網智能網卡，配備一系列 Arm 處理器核并集成了 NVIDIA ConnectX-5 網絡控制器。它解決了數據中心的安全保障，同時讓用戶獲得了應得的計算資源。

BlueField SoC 是智能網卡的核心，它在與潛在惡意軟件不同且隔離的可信域中運行帶外安全軟件。由于安全軟件運行在智能網卡的 Arm 核上，因此所有主機的計算資源均可留給用戶。在這個隔離環境中，智能網卡可以安全地訪問應用程序的數據來進行自檢，同時避免惡意軟件篡改數據，不會保留關于訪問時間和訪問數據的足跡。這項創新設計助力 BlueField 成為惡意軟件檢測和取證調查的出色解決方案。

惡意軟件是惡性、隱蔽的。它可以使用隱藏技術，避免被傳統軟件安全解決方案檢測到。這是因為通常用于檢測惡意軟件的數據本身就有問題。通常情況下，安全解決方案有數據采集階段，在此階段數據用于了解惡意軟件的活動。在傳統方法中，用于數據采集的軟件運行在同一臺被檢查的機器上。如果惡意軟件篡改了將要用于檢測的數據，則可能無法確定是否入侵。躲避觀察工具（例如，用于發現異常現象 ［IOC – Indications Of Compromise］ 的檢測軟件）的技術稱為反取證技術。惡意軟件可以使用相同的技術避開入侵檢測系統 （IDS） 和入侵防御系統 （IPS） 的檢測。

對于惡意行為的檢測失敗，可能發生在整個流程的任意一步。獲取數據是非常關鍵的一步。如果用于檢查的數據不可靠，則檢測系統可能找不到任何 IOC，因為所有的 IOC 標志都被惡意軟件隱藏了。從數據的獲取方法到定義信任的級別，都有許多待解答的問題：如安全 IDS/IPS 應用程序如何獲取數據？惡意軟件能否篡改 IDS 獲取的數據？

用于獲取數據的技術有很多，而且用于分析的數據也有多種類型。在本文中，我將簡單介紹一些常見的數據獲取方法和數據類型，以及它們之間的關系及其缺點。

反惡意軟件掃描工具

反惡意軟件用于我們要長久存儲的文件，也稱為靜態數據。我們可以在同一臺計算機上運行反惡意軟件來對磁盤進行分析，或從外部在另一臺不相關的機器上進行分析。當從外部對未加密的磁盤進行分析時，有可能來構建文件系統樹并掃描磁盤以尋找已知的 IOC。例如，通過掃描磁盤中的某個文件，可以對這個文件進行重構，并計算出一個哈希值。接著，利用不同的在線資源幫助我們來根據哈希值判斷其相關的文件是否惡意。但是，如果惡意軟件沒有存在硬盤上，則它在文件系統上可能沒有任何痕跡，導致反惡意軟件掃描技術無法檢測到受攻擊系統。

網絡入侵檢測系統

大多數攻擊都會在網絡上留下一些痕跡。例如，從主機中竊取機密并將其發送給遠程攻擊者的場景。檢測此類事件可以判斷出哪個 IP 地址可能執行了攻擊及其攻擊目標。如今，大多數 IDS 和 IPS 解決方案通過觀察網絡來發現惡意行為。網絡數據可以通過本機在本地收集，也可以從外部（例如，使用智能網卡或交換機）收集。

內存分析

運行時數據為您提供了更好的關于系統的可見性。通常通過兩種方法來獲取數據：侵入操作系統和不侵入操作系統。侵入方式是指一個授權的軟件可以關聯的操作系統中相關功能的事件和開關。例如，打開或關閉文件/ Socket 的事件將觸發收集關于哪個文件或Socket被打開或關閉，以及何時被打開和關閉的數據。

另一個例子是派生一個新進程。偵測軟件使用派生進程開關和執行新進程的方法來檢測惡意行為。例如，它可以幫助解答新進程是否為惡意軟件。正在運行的進程應該會派生新進程嗎？高級的惡意軟件有可能操控這些關聯機制。

惡意軟件檢測

理想情況下，您想要從磁盤、網絡和內存三個地方來收集能反映系統狀態和行為狀態的數據。

大多數檢測技術都從網絡或磁盤來檢測 IOC。遺憾的是，此方法不足以應對現代惡意軟件的挑戰。研究人員指出，現代惡意軟件“詭計多端”，并且攻擊手段變得越來越高明。

例如，一些惡意軟件可以在攻擊系統而不再磁盤上留下任何痕跡，從而防止那些基于磁盤的檢測技術發現其蹤跡和惡意行為。通過網絡進行攻擊的惡意軟件就無法完全隱藏。但是，雖然網絡流量中可能包含許多受攻擊標志，但在很多時候，這些網絡流量是無狀態的、而且數量龐大、隨機性強且復雜難分析。即使發現了 IOC，也很難分析出惡意軟件影響到了哪些行為。要了解惡意軟件的行為和網絡流量包含的正確信息，您需要更深入地分析運行時環境。

要獲得惡意軟件活動的 “X 光”視圖，您需要在執行過程中采集數據。通過運行時數據，可以更好地洞察事件和操作，例如正在運行的進程、網絡連接以及操作系統提供的各種初始值。透過運行時數據，可以更好地了解惡意軟件的行為；因此，檢測軟件可以更準確地識別惡意活動。

采集此類數據具有挑戰性。基于軟件的解決方案會產生觀察者效應，因為惡意軟件和 IDS 均在同一域運行并共享相同的資源。惡意軟件就可能操控 IDS 用于獲取數據的Hook和函數，從而導致數據的不可靠和受損。與其使用可能會被惡意軟件更改的Hook和函數，不如使用安全的方法從主機的物理內存（即系統的運行時執行的地方）中獲取裸數據（Raw Data）。假設存在一種防篡改方法，可從主機的物理內存采集裸數據（Raw Data），則可以重建系統狀態。這包括內核內存、代碼和用戶態環境。

從原始內存（Raw Memory ）的Dump中構建的數據可以提供一個抽象來檢查和檢測攻擊。如果發生攻擊，無論是注入代碼、操控進程內存、派生新進程，還是為遠程攻擊者打開一個新網絡連接，都會表現為物理內存的變更。影響越大，內存中的失真現象越嚴重。

大部分的取證調查信息既包括網絡數據，也包括主機物理內存中的數據。這種組合可以構建準確的系統狀態副本。本文討論一種新穎提案，就是對于主機物理內存的可靠數據獲取。

帶外惡意軟件檢測

為檢測和分析惡意軟件，帶外設備會不定時地訪問和采集數據。得益于現代計算機架構以及 PCI Express （PCIe） 設備訪問主機物理內存的方式，基于硬件的數據采集方法被視為更加可靠且值得信賴的惡意軟件檢測方法。在大多數情況下，通過 PCIe 協議時，外圍設備可以直接訪問內存 （DMA） ，并對主機物理內存進行讀寫操作，而不會對主機上運行的軟件（包括惡意軟件）產生副作用。在一張PCIe卡上通過 PCIe 接口，能以每通道 8 Gbps （Gen3） 或 16 Gbps （Gen4） 的速度向主機物理內存進行讀寫操作。

圖 1.入侵檢測系統使用 PCIe 接口從主機物理內存讀取數據。

主機物理內存被分割為多個區域，在啟動時被映射到系統 RAM、IO 空間和 ROM等。大多數情況下，惡意軟件攻擊的數據和位置在系統的 RAM區域，這正是內核和惡意軟件的活動的地方。在數據采集時，采集設備會通過讀內存指令來獲得 RAM 區域的物理頁面。圖 2 顯示的是運行在 Linux Ubuntu 16.04 上的計算機的內存映射

圖 2.IDS 所用的基于Ubuntu的主機內存映射。

該操作從 PCIe 卡上通過 PCIe 鏈路到達內存控制器，進而訪問物理內存的權限。如圖 1 所示，該操作不涉及主機上運行的軟件，而是通過了一條惡意軟件中不知道的路徑。與基于軟件的解決方案不同，這個方案不會在受檢查的主機上運行任何新軟件，因此不會違反取證要求。

下一步就是要確保可以分析常數。例如，訪問主機物理內存中的兩個頁面，其中一個頁面指向另一個頁面。如果被指向的頁面改變了它的物理地址，那么數據采集工具會讀到內存中的錯誤頁面。這是對于任何采集物理內存的工具（無論是基于硬件的還是基于軟件的采集工具）都存在的風險。采集內存的時間越長，存在不一致性的可能性就越高。采集時間越短，可能發生的變化就越少，獲得可靠數據的可能性就越高。

再次，基于硬件的方法以其超快的速度和更高的效率超越了相應的軟件實現。例如，使用軟件工具從RAM采集 64GB的數據可能需要數分鐘的時間。當使用 Gen4 速率的PCIe 卡時，數據采集速度可達每通道 16 Gbps。如果設備通過 16 個 PCIe 通道連接到主機，在 Gen4速度下，數據采集速度就達到了 32 GB/s。

用于惡意軟件檢測的 BlueField 智能網卡

我的團隊調研了 BlueField 智能網卡是否適用于實時內存取證。在研究中，我們使用了一種八個PCIe通道的 BlueField 智能網卡。采用了 Volatility 內存（Volatility Memory）取證框架，并將其擴展為支持通過 BlueField 智能網卡進行實時內存取證。Volatility 內存取證框架是一個惡意軟件研究人員、取證調查人員和事件響應人員常用的知名開源框架，可以操作內存鏡像文件。

Volatility 使用 Python 應用程序 （vol.py），提取進程列表、網絡連接和內核模塊等信息，以幫助取證人員了解惡意軟件的痕跡及其行為。該框架允許開發人員和調查人員通過查看內存的Dump文件對主機進行分析。我的團隊將其擴展到了使用 BlueField 智能網卡的 Arm 處理器來運行該 Volatility 框架，對主機物理內存中的惡意軟件進行分析。這樣一來，可以按需采集物理內存分段，進行實時內存分析。Volatility 在正常情況下處理內存文件時，有時可達 64 GB 和 128 GB。擴展程序允許采集特定用途（例如構建進程列表）所需的精選數據。

新 Volatility 插件連接到內存訪問 SDK，允許使用 BlueField的 DMA 功能。該 SDK 提供不同的內存訪問方式，允許快速訪問內存并降低數據采集時的延遲。BlueField 智能網卡板載內存允許從主機物理內存復制數據，然后使用 Arm 核進行本地分析，而無需擔心主機是否會修改這些數據。以下視頻展示了 BlueField Arm 處理器運行的 Volatility 框架。

總結

攻擊變得越來越隱蔽、復雜，而當前的檢測和預防技術難以與之抗衡。硬件輔助的數據采集被視為采集數據以進行分析的最可靠、最值得信賴的方法。BlueField 支持硬件輔助的內存采集，可以您的服務器更安全。它支持帶外入侵檢測和取證調查。獲得授權后，它可以快速訪問主機物理內存，并將安全應用程序（例如 IDS）保護在一個隔離的環境中。BlueField 對取證調查、事件響應、惡意軟件檢測和入侵檢測系統頗有助益。

審核編輯：郭婷