- 1、本文档共24页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
缺点的弥补 本地白名单 基于“云安全” 的威胁信息参考认证 1、厂商维护,定时升级 2、用户按需定义 1、海量样本 2、随时更新? 3、几千万探针的基础规模 4、广阔的软件领域覆盖面 优势的发挥 获得更快的响应速度 发现恶意代码间的逻辑关系 极大地缩小威胁样本收集范围 更好的威胁样本质量 为自动分析系统提供预处理 成为支撑“云安全”的 辅助支撑技术 成为“云安全”中本机威胁感知器 未来要做什么 快速虚拟机实现 更合适规模的模拟环境实现 更细粒度的信息组织 更多的恶意动作 QA 谢谢大家 * * * * * * [ 基于行为的恶意代码检测技术 ] 该技术是瑞星“云安全”策略实施的辅助支撑技术之一。 瑞星合理地将该技术应用于本机威胁感知、本机威胁化解及“云安全”中心威胁自动判定分析中。 基于行为的恶意代码检测技术,被许多安全厂商用来打造“主动防御”、“启发式查毒”产品。 传统的特征码检测技术 静态识别技术 从病毒体内提取的原始数据片断,以及该片断的位置信息 全浮动(无位置描述) 更多的位置描述(格式分析,代码分析) 更灵活的数据片断表示(?,*,RE) 在现在这个时代,越来越吃力了! 变化和改进 提取自病毒体,滞后于病毒出现 抗“特征”变化性有限 优点 缺点 精确,误报少 快速,静态分析 人类社会的“特征码”技术 — 指纹 初犯,截取指纹,入档案。 再犯,查对指纹,就可确定谁是犯人。 人类社会的“特征码”技术 人类社会如何判罪? 我们可以给程序判罪吗? 把程序看成“人” 制定适用于这些“人”的“法律” 监视这个“人”的动作 整理、归纳收集到的信息 根据“法律”来判定“人”的好坏 行为分析就这样出现了! 行为分析的简单介绍 将一系列已经规定好的恶意行为做为规范,根据这些规范,去监视程序做了什么,再结合这个规范来判定程序是否是恶意代码。 定义 不什么新技术 是病毒分析专家判定经验的应用 恶 意 行 为 库 行为分析模型 组织层 组织,抽象信息 判断层 按什么方式判定 监控层 监视程序做了什么 行为分析模型 制定恶意行为库 除了病毒分析专家之外,没有再合适不过的人选了。 是系统设计和实施的重点,直接影响整个系统的设计,实现以及效果。 恶意动作、恶意行为要尽可能地区别正常程序与恶意代码,病毒分析经验的运用。 三层模型 —— 判定层 在满足需求的情况下,恶意行为如何判定? 实现时考虑 基于时序或者命中 实时判定或者事后判定 一般的实现方式 将组织层提供的数据与恶意行为库进行比对,判定被监控对象是否满足恶意行为。 判定层职能 三层模型 —— 组织层 在满足需求的情况下,怎样组织动作发起者? 怎样加工动作?需要记录什么? 实现时考虑 按进程、线程或者代码块来组织; 文件创建 到 自我复制;文件修改 到 文件感染; 记录创建和修改的文件; 一般的实现方式 组织存在关系的动作发起者;抽象恶意动作;记录其必要信息动作。 组织层职能 三层模型 —— 组织层 以进程 以线程 以代码块 实现难度 简单 较简单 复杂 代码关系粒度 进程 线程 内存块 精确度 低 中 高 关系典型 木马和它启动的进程 木马和它在正常进程中启动的远程线程 木马和它安装的API钩子 三层模型 ——监控层 在满足需求的情况下,底层技术技术实现。 实现时考虑 环境模拟 实时监控 虚拟机和环境模拟 一般的实现方式 在满足需求的情况下,为上层收集程序动作。 监控层职能 三种监控层实现方式比较 实时监控 环境模拟 虚拟机+环境模拟 运行方式 真实运行 真实运行 虚拟运行 运行速度 快 快 慢 执行深度 完全 视环境模拟程度 视环境模拟程度 危险性 危险 较危险 安全 监控粒度 函数级 函数级 指令级,函数级 实现复杂度 简单 视被模拟环境和需求 视被模拟环境和需求 产品化趋势 动态检测与防御 无 静态检测 产品化可行性 高 无 低 代表技术 瑞星木马行为防御 基于Wine的自动分析系统 RS未知DOS病毒检测 RS未知Win95病毒检测 技术优缺点分析 优点 检测率高 可检测未知 后期维护代价小 缺点 依赖于程序执行 过高的误报率 反病毒行业的基本要求 —精确 作为主要 检测手段 瑞星木马行为防御 检测木马、蠕虫、后门等以进程为单位的恶意代码 发现并可阻止恶意进程及其相关进程、相关文件 目的 制定恶意行为库 判定层 组织层 监控层 制定恶意行为库 恶意动作 内置:自我复制,建立自启动关联,挂接全局自释放钩子等。 可扩展:程序动作+约束(自定义特征) 恶意行为 多个不重复内置恶意动作,一组有先后顺序的扩展恶意动作。 制定恶意行为库 木马行为防御的判定层实现 针对进程集进行判定。 实时比对,为每个进程
您可能关注的文档
最近下载
- 智慧广场-简单的重叠问题(课件)-2024-2025学年一年级上册青岛版(五四学制)(2024).pptx VIP
- 大学教学课件:Reading-The Modern Flying Carpets and Wind-Fire Wheels-.pptx
- 第四章 课程标准、教学与评估之间的“对齐”.pptx
- 在线网课学习课堂《英语电影与文化》单元测试考核答案.docx
- 钢结构施工质量验收规范2013.docx
- 壹号土猪市场营销分析.doc VIP
- 2023-2024学年北京市海淀区七年级第一学期期末数学试卷(含答案).pdf
- 债权转让协议-中国长城资产管理股份有限公司.DOC
- 壹号土猪案例SWOT分析课件.pptx VIP
- 大学生创新创业计划书PPT完整版.pptx
文档评论(0)