基于行為的惡意代碼檢測技術(shù)課件

該技術(shù)是瑞星“云安全”策略實施的輔助支撐技術(shù)之一。瑞星合理地將該技術(shù)應(yīng)用于本機威脅感知、本機威脅化解及“云安全”中心威脅自動判定分析中?；谛袨榈膼阂獯a檢測技術(shù)，被許多安全廠商用來打造“主動防御”、“啟發(fā)式查毒”產(chǎn)品。1感謝你的欣賞2019-8-16傳統(tǒng)的特征碼檢測技術(shù)靜態(tài)識別技術(shù)從病毒體內(nèi)提取的原始數(shù)據(jù)片斷，以及該片斷的位置信息全浮動(無位置描述)更多的位置描述(格式分析,代碼分析)更靈活的數(shù)據(jù)片斷表示(？，*，RE)在現(xiàn)在這個時代，越來越吃力了！變化和改進(jìn)提取自病毒體，滯后于病毒出現(xiàn)抗“特征”變化性有限

優(yōu)點

缺點精確，誤報少快速，靜態(tài)分析2感謝你的欣賞2019-8-16人類社會的“特征碼”技術(shù)—指紋初犯，截取指紋，入檔案。再犯，查對指紋，就可確定誰是犯人。人類社會的“特征碼”技術(shù)3感謝你的欣賞2019-8-16人類社會如何判罪？我們可以給程序判罪嗎？把程序看成“人”制定適用于這些“人”的“法律”監(jiān)視這個“人”的動作整理、歸納收集到的信息根據(jù)“法律”來判定“人”的好壞

行為分析就這樣出現(xiàn)了!4感謝你的欣賞2019-8-16行為分析的簡單介紹將一系列已經(jīng)規(guī)定好的惡意行為做為規(guī)范，根據(jù)這些規(guī)范，去監(jiān)視程序做了什么，再結(jié)合這個規(guī)范來判定程序是否是惡意代碼。定義不什么新技術(shù)是病毒分析專家判定經(jīng)驗的應(yīng)用5感謝你的欣賞2019-8-16惡意行為庫行為分析模型組織層組織，抽象信息判斷層按什么方式判定監(jiān)控層監(jiān)視程序做了什么6感謝你的欣賞2019-8-16行為分析模型7感謝你的欣賞2019-8-16制定惡意行為庫除了病毒分析專家之外，沒有再合適不過的人選了。是系統(tǒng)設(shè)計和實施的重點，直接影響整個系統(tǒng)的設(shè)計，實現(xiàn)以及效果。惡意動作、惡意行為要盡可能地區(qū)別正常程序與惡意代碼，病毒分析經(jīng)驗的運用。8感謝你的欣賞2019-8-16三層模型——判定層在滿足需求的情況下，惡意行為如何判定？實現(xiàn)時考慮基于時序或者命中實時判定或者事后判定一般的實現(xiàn)方式將組織層提供的數(shù)據(jù)與惡意行為庫進(jìn)行比對，判定被監(jiān)控對象是否滿足惡意行為。判定層職能9感謝你的欣賞2019-8-16三層模型——組織層在滿足需求的情況下，怎樣組織動作發(fā)起者？怎樣加工動作？需要記錄什么？實現(xiàn)時考慮按進(jìn)程、線程或者代碼塊來組織；文件創(chuàng)建到自我復(fù)制；文件修改到文件感染；記錄創(chuàng)建和修改的文件；一般的實現(xiàn)方式組織存在關(guān)系的動作發(fā)起者；抽象惡意動作；記錄其必要信息動作。組織層職能10感謝你的欣賞2019-8-16三層模型——組織層以進(jìn)程以線程以代碼塊實現(xiàn)難度簡單較簡單復(fù)雜代碼關(guān)系粒度進(jìn)程線程內(nèi)存塊精確度低中高關(guān)系典型木馬和它啟動的進(jìn)程木馬和它在正常進(jìn)程中啟動的遠(yuǎn)程線程木馬和它安裝的API鉤子11感謝你的欣賞2019-8-16三層模型——監(jiān)控層在滿足需求的情況下，底層技術(shù)技術(shù)實現(xiàn)。實現(xiàn)時考慮環(huán)境模擬實時監(jiān)控虛擬機和環(huán)境模擬一般的實現(xiàn)方式在滿足需求的情況下，為上層收集程序動作。監(jiān)控層職能12感謝你的欣賞2019-8-16三種監(jiān)控層實現(xiàn)方式比較實時監(jiān)控環(huán)境模擬虛擬機+環(huán)境模擬運行方式真實運行真實運行虛擬運行運行速度快快慢執(zhí)行深度完全視環(huán)境模擬程度視環(huán)境模擬程度危險性危險較危險安全監(jiān)控粒度函數(shù)級函數(shù)級指令級,函數(shù)級實現(xiàn)復(fù)雜度簡單視被模擬環(huán)境和需求視被模擬環(huán)境和需求產(chǎn)品化趨勢動態(tài)檢測與防御無靜態(tài)檢測產(chǎn)品化可行性高無低代表技術(shù)瑞星木馬行為防御基于Wine的自動分析系統(tǒng)RS未知DOS病毒檢測RS未知Win95病毒檢測13感謝你的欣賞2019-8-16技術(shù)優(yōu)缺點分析優(yōu)點檢測率高可檢測未知后期維護(hù)代價小缺點依賴于程序執(zhí)行過高的誤報率反病毒行業(yè)的基本要求—精確作為主要檢測手段14感謝你的欣賞2019-8-16瑞星木馬行為防御檢測木馬、蠕蟲、后門等以進(jìn)程為單位的惡意代碼發(fā)現(xiàn)并可阻止惡意進(jìn)程及其相關(guān)進(jìn)程、相關(guān)文件目的制定惡意行為庫判定層組織層監(jiān)控層15感謝你的欣賞2019-8-16制定惡意行為庫惡意動作內(nèi)置：自我復(fù)制，建立自啟動關(guān)聯(lián)，掛接全局自釋放鉤子等?？蓴U(kuò)展：程序動作+約束（自定義特征）惡意行為多個不重復(fù)內(nèi)置惡意動作，一組有先后順序的擴(kuò)展惡意動作。制定惡意行為庫16感謝你的欣賞2019-8-16木馬行為防御的判定層實現(xiàn)針對進(jìn)程集進(jìn)行判定。實時比對，為每個進(jìn)程集合創(chuàng)建并維護(hù)惡意行為庫的匹配上下文。內(nèi)置惡意動作發(fā)生即可，順序無關(guān)。擴(kuò)展惡意動作按順序判定。判定層17感謝你的欣賞2019-8-16木馬行為防御的組織層實現(xiàn)相關(guān)進(jìn)程集合（創(chuàng)建關(guān)系，釋放關(guān)系）。忽略可見進(jìn)程的程序動作。必要時將程序動作加工成惡意動作。記錄程序創(chuàng)建或修改的文件。組織層18感謝你的欣賞2019-8-16木馬行為防御的監(jiān)控層實現(xiàn)文件監(jiān)控進(jìn)程監(jiān)控注冊表監(jiān)控關(guān)鍵API調(diào)用監(jiān)控監(jiān)控層19感謝你的欣賞2019-8-16缺點的彌補本地白名單基于“云安全”的威脅信息參考認(rèn)證1、廠商維護(hù)，定時升級2、用戶按需定義1、海量樣本2、隨時更新

3、幾千萬探針的基礎(chǔ)規(guī)模4、廣闊的軟件領(lǐng)域覆蓋面20感謝你的欣賞2019-8-16優(yōu)勢的發(fā)揮獲得更快的響應(yīng)速度發(fā)現(xiàn)惡意代碼間的邏輯關(guān)系極大地縮小威脅樣本收集范圍更好的威脅樣本質(zhì)量為自動分析系統(tǒng)提供預(yù)處理成為支撐“云安全”的輔助支撐技術(shù)成為“云安全”中本機威脅感知器21感