- 4
- 0
- 约6.06千字
- 约 17页
- 2017-07-23 发布于天津
- 举报
木马行为防御编辑器使用帮助.doc
木马行为防御说明
木马行为防御介绍
木马行为防御功能基于程序实时监控系统,处理来自实时监控系统的程序动作通知,包括文件操作、注册表操作、进程起停、系统关键API操作,并对这些通知进行处理,最终发现木马攻击行为。
木马行为防御将存在联系的程序组织在一起,对他们的动作历史进行记录和分析,从而发现这组程序是否存在恶意动作。
木马行为防御通过一组规则来描述“判定某种木马攻击行为所需要满足的(多个)恶意动作”,并将发现的恶意动作同这组规则进行匹配,当这组规则被满足时,木马行为防御则成功发现了一个木马攻击行为。这些规则由抽象的“病毒特征”和形象化的“病毒恶意指令序列”组成,在这里,我们称它为“记录”。在“记录”中,还包含了其他必要的信息,例如名字、描述性文字、作者、所处敏感级。
木马行为防御对计算机病毒的普遍动作做了抽象,例如:自我复制,建立自启动关联,这些动作是几乎所有木马、蠕虫都会有的动作。木马行为防御将这些普遍动作定义为“病毒特征”,用于简单的、抽象的描述木马攻击行为中应包括的恶意动作。它是顺序无关的、参数无关的。
木马行为防御还采用了通知匹配机制,来解决用“病毒特征”描述木马带来的广泛性。木马行为防御将该机制称为“病毒恶意指令序列”,它是顺序相关的、参数相关的。“病毒恶意指令”其实为符合某中模式的程序动作通知。同时,程序的动作通知将携带具体的数据,例如创建文件操作,通知中将携带着创建该
原创力文档

文档评论(0)