基于行為的惡意代碼檢測技術(shù)課件_第1頁
基于行為的惡意代碼檢測技術(shù)課件_第2頁
基于行為的惡意代碼檢測技術(shù)課件_第3頁
基于行為的惡意代碼檢測技術(shù)課件_第4頁
基于行為的惡意代碼檢測技術(shù)課件_第5頁
已閱讀5頁,還剩19頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、 基于行為的惡意代碼檢測技術(shù) 該技術(shù)是瑞星“云安全”策略實施的輔助支撐技術(shù)之一。 瑞星合理地將該技術(shù)應(yīng)用于本機威脅感知、本機威脅化解及“云安全”中心威脅自動判定分析中?;谛袨榈膼阂獯a檢測技術(shù),被許多安全廠商用來打造“主動防御”、“啟發(fā)式查毒”產(chǎn)品。傳統(tǒng)的特征碼檢測技術(shù)靜態(tài)識別技術(shù)從病毒體內(nèi)提取的原始數(shù)據(jù)片斷,以及該片斷的位置信息 全浮動(無位置描述) 更多的位置描述(格式分析,代碼分析) 更靈活的數(shù)據(jù)片斷表示(?,*,RE)在現(xiàn)在這個時代,越來越吃力了!變化和改進(jìn) 提取自病毒體,滯后于病毒出現(xiàn) 抗“特征”變化性有限 優(yōu)點 缺點 精確,誤報少 快速,靜態(tài)分析人類社會的“特征碼”技術(shù) 指紋 初

2、犯,截取指紋,入檔案。 再犯,查對指紋,就可確定誰是犯人。人類社會的“特征碼”技術(shù)人類社會如何判罪?我們可以給程序判罪嗎? 把程序看成“人” 制定適用于這些“人”的“法律” 監(jiān)視這個“人”的動作 整理、歸納收集到的信息 根據(jù)“法律”來判定“人”的好壞 行為分析就這樣出現(xiàn)了!惡 意 行 為 庫行為分析模型組織層組織,抽象信息判斷層按什么方式判定監(jiān)控層監(jiān)視程序做了什么行為分析模型三層模型 判定層在滿足需求的情況下,惡意行為如何判定?實現(xiàn)時考慮基于時序或者命中實時判定或者事后判定一般的實現(xiàn)方式將組織層提供的數(shù)據(jù)與惡意行為庫進(jìn)行比對,判定被監(jiān)控對象是否滿足惡意行為。判定層職能三層模型 組織層在滿足需求

3、的情況下,怎樣組織動作發(fā)起者? 怎樣加工動作?需要記錄什么?實現(xiàn)時考慮按進(jìn)程、線程或者代碼塊來組織;文件創(chuàng)建 到 自我復(fù)制;文件修改 到 文件感染;記錄創(chuàng)建和修改的文件;一般的實現(xiàn)方式組織存在關(guān)系的動作發(fā)起者;抽象惡意動作;記錄其必要信息動作。組織層職能三層模型 組織層以進(jìn)程以線程以代碼塊實現(xiàn)難度簡單較簡單復(fù)雜代碼關(guān)系粒度進(jìn)程線程內(nèi)存塊精確度低中高關(guān)系典型木馬和它啟動的進(jìn)程木馬和它在正常進(jìn)程中啟動的遠(yuǎn)程線程木馬和它安裝的API鉤子三種監(jiān)控層實現(xiàn)方式比較實時監(jiān)控環(huán)境模擬虛擬機+環(huán)境模擬運行方式真實運行真實運行虛擬運行運行速度快快慢執(zhí)行深度完全視環(huán)境模擬程度視環(huán)境模擬程度危險性危險較危險安全監(jiān)控粒

4、度函數(shù)級函數(shù)級指令級,函數(shù)級實現(xiàn)復(fù)雜度簡單視被模擬環(huán)境和需求視被模擬環(huán)境和需求產(chǎn)品化趨勢動態(tài)檢測與防御無靜態(tài)檢測產(chǎn)品化可行性高無低代表技術(shù)瑞星木馬行為防御基于Wine的自動分析系統(tǒng)RS未知DOS病毒檢測RS未知Win95病毒檢測技術(shù)優(yōu)缺點分析優(yōu)點檢測率高可檢測未知后期維護(hù)代價小缺點依賴于程序執(zhí)行過高的誤報率反病毒行業(yè)的基本要求 精確作為主要檢測手段制定惡意行為庫 惡意動作 內(nèi)置:自我復(fù)制,建立自啟動關(guān)聯(lián),掛接全局自釋放鉤子等。 可擴展:程序動作+約束(自定義特征) 惡意行為 多個不重復(fù)內(nèi)置惡意動作,一組有先后順序的擴展惡意動作。制定惡意行為庫木馬行為防御的判定層實現(xiàn) 針對進(jìn)程集進(jìn)行判定。 實時比對,為每個進(jìn)程集合創(chuàng)建并維護(hù)惡意行為庫的匹配上下文。 內(nèi)置惡意動作發(fā)生即可,順序無關(guān)。 擴展惡意動作按順序判定。判定層木馬行為防御的組織層實現(xiàn) 相關(guān)進(jìn)程集合(創(chuàng)建關(guān)系,釋放關(guān)系)。 忽略可見進(jìn)程的程序動作。 必要時將程序動作加工成惡意動作。 記錄程序創(chuàng)建或修改的文件。組織層木馬行為防御的監(jiān)控層實現(xiàn) 文件監(jiān)控 進(jìn)程監(jiān)控 注冊表監(jiān)控 關(guān)鍵API調(diào)用監(jiān)控監(jiān)控層缺點的彌補本地白名單基于“云安全” 的威脅信息參考認(rèn)證1、廠商維護(hù),定時升級2、用戶按需定義1、海量樣本2、隨時更新3、幾千萬探針的基礎(chǔ)規(guī)模4、廣闊的軟件領(lǐng)域覆蓋面優(yōu)勢的發(fā)揮獲得更快的響應(yīng)速度發(fā)現(xiàn)惡意代碼間的

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論