基于行为的恶意代码检测技术25页PPT
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
内置恶意动作发生即可,顺序无关。
扩展恶意动作按顺序判定。
判定层ห้องสมุดไป่ตู้
木马行为防御的组织层实现
相关进程集合(创建关系,释放关系)。
忽略可见进程的程序动作。
必要时将程序动作加工成恶意动作。
记录程序创建或修改的文件。
组织层
木马行为防御的监控层实现
文件监控 进程监控 注册表监控 关键API调用监控
初犯,截取指纹,入档案。 再犯,查对指纹,就可确定谁是犯人。
人类社会如何判罪?
法院
程序 我们根据法可来定以罪 给
判罪吗?
把程序看成“人”
民法、刑法
制定适警察用机于构 这些“人”的“法律准”则!
监视收这集组个织“证据人”的动作
整理、归纳收集到的信息
根据“法律”来判定“人”的好坏
行为分析 人
收集信息
除了病毒分析专家之外,没有再合适不过 的人选了。
三层模型 —— 判定层
判定层职能
将组织层提供的数据与恶意行为库进行比对,判定被监控对象是 否满足恶意行为。
实现时考虑
在满足需求的情况下,恶意行为如何判定?
一般的实现方式
基于时序或者命中 实时判定或者事后判定
三层模型 —— 组织层
组织层职能
组织存在关系的动作发起者;抽象恶意动作;记录其必要信息动 作。
制定恶意行为库
恶意动作
内置:自我复制,建立自启动关联,挂接全局 自释放钩子等。
可扩展:程序动作+约束(自定义特征)
恶意行为
多个不重复内置恶意动作,一组有先后顺序的 扩展恶意动作。
制定恶意 行为库
木马行为防御的判定层实现
针对进程集进行判定。
实时比对,为每个进程集合创建并维护恶 意行为库的匹配上下文。
真实运行
真实运行
运行速度
快
快
执行深度
完全
视环境模拟程度
危险性
危险
较危险
监控粒度
函数级
函数级
实现复杂度
简单
视被模拟环境和需求
产品化趋势 动态检测与防御
无
产品化可行性
高
无
代表技术
瑞星木马行为防 基于Wine的自动分析
御
系统
虚拟机+环境模拟
虚拟运行 慢
视环境模拟程度 安全
指令级,函数级 视被模拟环境和需求
静态检测 低
RS未知DOS病毒检测 RS未知Win95病毒检测
技术优缺点分析
优点
缺点
检可后测检期率 测 维反高未护病知代价毒小行业作 检的为 测基主 手本要 段要依过求赖高于的—程误精序报执率确行
瑞星木马行为防御
制定恶意 行为库
判定层
组织层
监控层
目的
检测木马、蠕虫、后门等以进程为单位的恶意代码 发现并可阻止恶意进程及其相关进程、相关文件
获得更快的响应速度
未来要做什么 快速虚拟机实现 更合适规模的模拟环境实现 更细粒度的信息组织 更多的恶意动作
Q&A &
谢谢大家
高
关系典型
木马和它启动的 木马和它在正常进程
进程
中启动的远程线程
木马和它安装的API钩子
三层模型 ——监控层
监控层职能
在满足需求的情况下,为上层收集程序动作。
实现时考虑
在满足需求的情况下,底层技术技术实现。
一般的实现方式
环境模拟 实时监控 虚拟机和环境模拟
三种监控层实现方式比较
实时监控
环境模拟
运行方式
收监集视信器息就这样出现了!
行为分析的简单介绍
将一系列已经规定好的恶意行为做为规范,根据这些
定义 规范,去监视程序做了什么,再结合这个规范来判定 程序是否是恶意代码。 不什么新技术 是病毒分析专家判定经验的应用
行为分析模型
判断层 按什么方式判定
组织层 组织,抽象信息
监控层 监视程序做了什么
恶意行为库
监控层
缺点的弥补
本地白名单
1、厂商维护,定时升级 2、用户按需定义
基于“云安全” 的威胁信息参考认证
1、海量样本 2、随时更新 3、几千万探针的基础规模 4、广阔的软件领域覆盖面
优势的发挥
成为支撑“云安全”的
辅助支撑技术
成为“云安全”中 本机威胁感知器
发现恶意代码间的逻辑关系 极大地缩小威胁样本收集范围 更好的威胁样本质量 为自动分析系统提供预处理
行为分析模型
“法官”
恶意行为库
判定层
团伙
犯罪证据
团伙
犯罪证据
团伙
犯罪证据
组织层
监控点 监控点
监控点 监控点 监控点
监视层
程序 程序 程序 程序 程序 程序 程序
制定恶意行为库
是系统设计和实施的重点,直接影响整 个系统的设计,实现以及效果。
恶意动作、恶意行为要尽可能地区别正常 程序与恶意代码,病毒分析经验的运用。
[ 基于行为的恶意代码检测技术 ]
基于行为的恶意代码检测技术,被许多安全厂商用来打造 “主动防御”、“启发式查毒”产品。
瑞星合理地将该技术应用于本机威胁感知、本机威胁化解及 “云安全”中心威胁自动判定分析中。
该技术是瑞星“云安全”策略实施的辅助支撑技术之一。
传统的特征码检测技术
静态识别技术
从病毒体内提取的原始数 据片断,以及该片断的位 置信息 变化和改进
• 全浮动(无位置描述) • 更多的位置描述(格式分析,代码分析) • 更灵活的数据片断表示(?,*,RE)
优点
• 精确,误报少 • 快速,静态分析
缺点 • 提取自病毒体,滞后于病毒出现 • 抗“特征”变化性有限
在现在这个时代,越来越吃力了!
人类社会的“特征码”技术
人类社会的“特征码”技术 — 指纹
实现时考虑
在满足需求的情况下,怎样组织动作发起者? 怎样加工动作? 需要记录什么?
一般的实现方式
按进程、线程或者代码块来组织; 文件创建 到 自我复制;文件修改 到 文件感染; 记录创建和修改的文件;
三层模型 —— 组织层
实现难度 代码关系粒度
精确度
以进程
简单 进程
低
以线程
较简单 线程
中
以代码块
复杂 内存块