基于行为的恶意代码检测技术-瑞星.pptVIP

缺点的弥补 本地白名单 基于“云安全” 的威胁信息参考认证 1、厂商维护，定时升级 2、用户按需定义 1、海量样本 2、随时更新? 3、几千万探针的基础规模 4、广阔的软件领域覆盖面 优势的发挥 获得更快的响应速度 发现恶意代码间的逻辑关系 极大地缩小威胁样本收集范围 更好的威胁样本质量 为自动分析系统提供预处理 成为支撑“云安全”的 辅助支撑技术 成为“云安全”中本机威胁感知器 未来要做什么 快速虚拟机实现 更合适规模的模拟环境实现 更细粒度的信息组织 更多的恶意动作 QA 谢谢大家 * * * * * * [ 基于行为的恶意代码检测技术 ] 该技术是瑞星“云安全”策略实施的辅助支撑技术之一。 瑞星合理地将该技术应用于本机威胁感知、本机威胁化解及“云安全”中心威胁自动判定分析中。 基于行为的恶意代码检测技术，被许多安全厂商用来打造“主动防御”、“启发式查毒”产品。 传统的特征码检测技术 静态识别技术 从病毒体内提取的原始数据片断，以及该片断的位置信息 全浮动(无位置描述) 更多的位置描述(格式分析,代码分析) 更灵活的数据片断表示(？，*，RE) 在现在这个时代，越来越吃力了！ 变化和改进 提取自病毒体，滞后于病毒出现 抗“特征”变化性有限 优点 缺点 精确，误报少 快速，静态分析 人类社会的“特征码”技术 — 指纹 初犯，截取指纹，入档案。 再犯，查对指纹，就可确定谁是犯人。 人类社会的“特征码”技术 人类社会如何判罪？ 我们可以给程序判罪吗？ 把程序看成“人” 制定适用于这些“人”的“法律” 监视这个“人”的动作 整理、归纳收集到的信息 根据“法律”来判定“人”的好坏 行为分析就这样出现了! 行为分析的简单介绍 将一系列已经规定好的恶意行为做为规范，根据这些规范，去监视程序做了什么，再结合这个规范来判定程序是否是恶意代码。 定义 不什么新技术 是病毒分析专家判定经验的应用 恶 意 行 为 库 行为分析模型 组织层 组织，抽象信息 判断层 按什么方式判定 监控层 监视程序做了什么 行为分析模型 制定恶意行为库 除了病毒分析专家之外，没有再合适不过的人选了。 是系统设计和实施的重点，直接影响整个系统的设计，实现以及效果。 恶意动作、恶意行为要尽可能地区别正常程序与恶意代码，病毒分析经验的运用。 三层模型 —— 判定层 在满足需求的情况下，恶意行为如何判定？ 实现时考虑 基于时序或者命中 实时判定或者事后判定 一般的实现方式 将组织层提供的数据与恶意行为库进行比对，判定被监控对象是否满足恶意行为。 判定层职能 三层模型 —— 组织层 在满足需求的情况下，怎样组织动作发起者？ 怎样加工动作？需要记录什么？ 实现时考虑 按进程、线程或者代码块来组织； 文件创建 到 自我复制；文件修改 到 文件感染； 记录创建和修改的文件； 一般的实现方式 组织存在关系的动作发起者；抽象恶意动作；记录其必要信息动作。 组织层职能 三层模型 —— 组织层 以进程 以线程 以代码块 实现难度 简单 较简单 复杂 代码关系粒度 进程 线程 内存块 精确度 低 中 高 关系典型 木马和它启动的进程 木马和它在正常进程中启动的远程线程 木马和它安装的API钩子 三层模型 ——监控层 在满足需求的情况下，底层技术技术实现。 实现时考虑 环境模拟 实时监控 虚拟机和环境模拟 一般的实现方式 在满足需求的情况下，为上层收集程序动作。 监控层职能 三种监控层实现方式比较 实时监控 环境模拟 虚拟机+环境模拟 运行方式 真实运行 真实运行 虚拟运行 运行速度 快 快 慢 执行深度 完全 视环境模拟程度 视环境模拟程度 危险性 危险 较危险 安全 监控粒度 函数级 函数级 指令级,函数级 实现复杂度 简单 视被模拟环境和需求 视被模拟环境和需求 产品化趋势 动态检测与防御 无 静态检测 产品化可行性 高 无 低 代表技术 瑞星木马行为防御 基于Wine的自动分析系统 RS未知DOS病毒检测 RS未知Win95病毒检测 技术优缺点分析 优点 检测率高 可检测未知 后期维护代价小 缺点 依赖于程序执行 过高的误报率 反病毒行业的基本要求 —精确 作为主要 检测手段 瑞星木马行为防御 检测木马、蠕虫、后门等以进程为单位的恶意代码 发现并可阻止恶意进程及其相关进程、相关文件 目的 制定恶意行为库 判定层 组织层 监控层 制定恶意行为库 恶意动作 内置：自我复制，建立自启动关联，挂接全局自释放钩子等。 可扩展：程序动作+约束（自定义特征） 恶意行为 多个不重复内置恶意动作，一组有先后顺序的扩展恶意动作。 制定恶意行为库 木马行为防御的判定层实现 针对进程集进行判定。 实时比对，为每个进程