恶意行为如何判定-瑞星.ppt

缺点的弥补 本地白名单 基于“云安全” 的威胁信息参考认证 1、厂商维护，定时升级 2、用户按需定义 1、海量样本 2、随时更新? 3、几千万探针的基础规模 4、广阔的软件领域覆盖面 优势的发挥 获得更快的响应速度 发现恶意代码间的逻辑关系 极大地缩小威胁样本收集范围 更好的威胁样本质量 为自动分析系统提供预处理 成为支撑“云安全”的 辅助支撑技术 成为“云安全”中本机威胁感知器 未来要做什么 快速虚拟机实现 更合适规模的模拟环境实现 更细粒度的信息组织 更多的恶意动作 QA 谢谢大家 * * * * * * [ 基于行为的恶意代码检测技术 ] 该技术是瑞星“云安全”策略实施的辅助支撑技术之一。 瑞星合理地将该技术应用于本机威胁感知、本机威胁化解及“云安全”中心威胁自动判定分析中。 基于行为的恶意代码检测技术，被许多安全厂商用来打造“主动防御”、“启发式查毒”产品。 传统的特征码检测技术 静态识别技术 从病毒体内提取的原始数据片断，以及该片断的位置信息 全浮动(无位置描述) 更多的位置描述(格式分析,代码分析) 更灵活的数据片断表示(？，*，RE) 在现在这个时代，越来越吃力了！ 变化和改进 提取自病毒体，滞后于病毒出现 抗“特征”变化性有限 优点 缺点 精确，误报少 快速，静态分析 人类社会的“特征码”技术 — 指纹 初犯，截取指纹