点击标题下面蓝字「黑白之道」 　　它使用来自网络边界的入侵检测系统的威胁数据，提取当前被经常用于攻击的恶意软件，并针对检测到的恶意软件生成标识。此外，数据的威胁也来自于用户通过LMD上传功能提交的恶意软件，以及从恶意软件联盟中获取到的资源。LMD使用的签名，是MD5散列和HEX模式匹配，他们也能较为容易地输出到其他的检测工具如ClamAV。

　　这款工具的出现背景是因为当前支持对Linux系统恶意程序检测的开源或者免费工具，有着较高的误报和漏报率。许多防病毒产品对于linux平台上的恶意程序检测却有着一个较差的威胁检测跟踪记录，特别是针对在共享的主机环境。

　　共享主机环境的威胁环境相比于其他环境是较为独特的，标准的AV产品检测组件，他们的检测目标主要是OS级别的木马，rootkit和传统的感染文件病毒，但是却忽略了越来越多的用户帐户级上的恶意软件，而这些一般被攻击者作为攻击的平台或者跳板。

　　从目前来看，支持多用户共享环境的恶意软件检测、修复的商业产品依然表现糟糕。通过LMD1.5检测，可针对种恶意软件的哈希值进行分析识别，而相比之下，近30款商业防病毒和恶意软件的产品的表现，却令人不太满意。检测结果如下，

从上面的数据我们可以看到，有种(约占总数78%)的威胁，未被商业防病毒和恶意软件产品发现。而检测到的个威胁中，商业防病毒和恶意软件产品的平均检出率为58%，较低和较高的检出率分别为10%和%。从以上的数据看，目前的多用户共享环境恶意程序威胁检测应该是开发的重点。

　　功能特点

数据来源

　　LMD不仅仅是基于签名和哈希值地对恶意软件进行检测，它也收集外部其他环境的威胁以及其他被检测到的威胁，来提高它本身的检测能力。

　　针对恶意软件的数据，用于生成LMD签名主要有四个来源：

　　1、来自网络边界的IPS:网络管理作为日常工作的一部分，因为其主要是网站相关的，比如网站服务器经常会收到大量的滥用事件，而所有这一切都是通过网络边界的IPS进行记录。IPS事件被进行处理，从其中提取到恶意URL，将编码成playload和Base64/GZIP的滥用数据进行解码，最终对恶意软件进行检索，分类，然后生成适签名。LMD的签名，绝大多数是来自IPS提取的数据。

　　2、来自社区联盟数据：数据的收集是从多个恶意社区网站如clean-mx和malwaredomainlist，然后对新的恶意软件进行处理检索，分类审查，然后生成签名。

　　3、来自ClamAV：从ClamAV上的Hex和MD5签名监测到相关更新，并适用于低的目标用户群加入到LMD中。而到目前为止，已经有大约个签名从ClamAV移植到LMD项目，而LMD项目也贡献回ClamAV超过1个签名，目前也继续在现有基础上这么做。

　　4、来自用户提交：LMD具有校验功能，允许用户提交可疑的恶意软件进行审查，这已经成为一个非常受欢迎的功能，它平均每周可提交30-50个可疑恶意软件。

　　威胁检测

　　截止到目前为止，LMD1.5共有个(MD5/)签名。其中检测到的60大威胁如下，

实时监控

　　Inotify监控功能的目的是监测路径/用户实时文件创建/修改/移动操作。此选项需要内核支持inotify_watch(config_inotify)。如果您运行的是CentOS4，你应该考虑进行升级：

　　升级路径： 　　针对监控对象(用户/路径/文件)的不同，分为三种不同的监控模式，

LMDTool下载链接，请戳我

比特币赞助打赏