《基于行为的恶意代码检测技术.ppt》由会员分享,可在线阅读,更多相关《基于行为的恶意代码检测技术.ppt(24页珍藏版)》请在三一文库上搜索。
1、 基于行为的恶意代码检测技术 ,传统的特征码检测技术,静态识别技术,从病毒体内提取的原始数据片断,以及该片断的位置信息,全浮动(无位置描述) 更多的位置描述(格式分析,代码分析) 更灵活的数据片断表示(?,*,RE),在现在这个时代,越来越吃力了!,变化和改进,提取自病毒体,滞后于病毒出现 抗“特征”变化性有限,优点,缺点,精确,误报少 快速,静态分析,人类社会的“特征码”技术 指纹 初犯,截取指纹,入档案。 再犯,查对指纹,就可确定谁是犯人。,人类社会的“特征码”技术,人类社会如何判罪?,我们可以给程序判罪吗?,把程序看成“人” 制定适用于这些“人”的“法律” 监视这个“人”的动作 整理、归
2、纳收集到的信息 根据“法律”来判定“人”的好坏 行为分析就这样出现了!,行为分析的简单介绍,将一系列已经规定好的恶意行为做为规范,根据这些规范,去监视程序做了什么,再结合这个规范来判定程序是否是恶意代码。,定义,不什么新技术 是病毒分析专家判定经验的应用,行为分析模型,行为分析模型,制定恶意行为库,恶意动作、恶意行为要尽可能地区别正常程序与恶意代码,病毒分析经验的运用。,三层模型 判定层,在满足需求的情况下,恶意行为如何判定?,实现时考虑,基于时序或者命中 实时判定或者事后判定,将组织层提供的数据与恶意行为库进行比对,判定被监控对象是否满足恶意行为。,三层模型 组织层,在满足需求的情况下,怎样
3、组织动作发起者? 怎样加工动作?需要记录什么?,实现时考虑,按进程、线程或者代码块来组织; 文件创建 到 自我复制;文件修改 到 文件感染; 记录创建和修改的文件;,一般的实现方式,组织存在关系的动作发起者;抽象恶意动作;记录其必要信息动作。,组织层职能,三层模型 组织层,三层模型 监控层,在满足需求的情况下,底层技术技术实现。,实现时考虑,环境模拟 实时监控 虚拟机和环境模拟,一般的实现方式,在满足需求的情况下,为上层收集程序动作。,监控层职能,三种监控层实现方式比较,技术优缺点分析,瑞星木马行为防御,检测木马、蠕虫、后门等以进程为单位的恶意代码 发现并可阻止恶意进程及其相关进程、相关文件,
4、目的,制定恶意行为库,判定层,组织层,监控层,制定恶意行为库,恶意动作 内置:自我复制,建立自启动关联,挂接全局自释放钩子等。 可扩展:程序动作+约束(自定义特征) 恶意行为 多个不重复内置恶意动作,一组有先后顺序的扩展恶意动作。,制定恶意行为库,木马行为防御的判定层实现,针对进程集进行判定。 实时比对,为每个进程集合创建并维护恶意行为库的匹配上下文。 内置恶意动作发生即可,顺序无关。 扩展恶意动作按顺序判定。,判定层,木马行为防御的组织层实现,相关进程集合(创建关系,释放关系)。 忽略可见进程的程序动作。 必要时将程序动作加工成恶意动作。 记录程序创建或修改的文件。,组织层,木马行为防御的监控层实现,文件监控 进程监控 注册表监控 关键API调用监控,监控层,缺点的弥补,本地白名单,基于“云安全” 的威胁信息参考认证,1、厂商维护,定时升级 2、用户按需定义,1、海量样本 2、随时更新 3、几千万探针的基础规模 4、广阔的软件领域覆盖面,优势的发挥,获得更快的响应速度,发现恶意代码间的逻辑关系,极大地缩小威胁样本收集范围,更好的威胁样本质量,为自动分析系统提供预处理,成为支撑“云安全”的 辅助支撑技术,成为“云安全”中本机威胁感知器,未来要做什么,快速虚拟机实现,更合适规模的模拟环境实现,更细粒度的信息组织,更多的恶意动作,Q&A & 谢谢大家,