欢迎来到天天文库
浏览记录
ID:37375246
大小:2.05 MB
页数:29页
时间:2019-05-22
《移动反病毒工程化体系中的降维思维潘宣辰》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、智能移动终端攻防论坛移动反病毒工程化体系中的降维思维MOBILEANTI-MALWARESYSTEM’SDIMENSIONALITYREDUCTIONTHINKINGTOM:PAN(潘宣辰)主讲人介绍•潘宣辰,Tom:Pan–AVL移动安全团队,武汉安天–Founder&Leader•技术涉猎较广,手机反病毒引擎和自动化分析技术,移动安全攻防技术,以及移动网络安全。•tompan@antiy.cn题目太大,时间很短,一句话概括这个PPT如何用15个分析工程师运转一套完整的移动反恶意代码体系,不依赖第三方引擎,并实现世界Top3检出率的反病毒引擎我们对反病毒引擎
2、的工程化理解和映射训练数据集中划分成N个已知类分类器划定分类器和聚类器,包括数据的选择策略数据集合训练数据特征类标签迭代和学习策略聚类器训练数据集中划分成M个类我们对反病毒引擎的工程化理解和映射倾向于检测/识别本地检测云检测知识化等知识输出引擎引擎引擎分类器前恶意代码样本捕获台命名黑风险件样本库目标样本特征类标签白命名灰后其它台聚类器其它知识库倾向于分析/判定/关联等知识生成人工&机器人工分析机器分析分析我们对反病毒引擎的工程化理解和映射•狭义反病毒引擎–在前台/用户侧解决恶意代码检测和识别输出的核心功能模块•广义反病毒引擎–由前台和后台组成的系统化解决恶意代
3、码分析/判定和检测识别输出的工程化系统•区别反病毒引擎的核心要素–后台的判定能力–特征的选择策略–前台的检测机制我们对反病毒引擎的工程化理解和映射—示例1本地检测无本地特知识化引擎征云检测引擎分类器前恶意代码样本捕获台命名黑高样本覆风险件样本库目标样本类标签白盖率特征命名灰后其它台聚类器其它知识库人工&机器第三方人工分析分析引擎判定我们对反病毒引擎的工程化理解和映射—示例2本地检测云检测知识化引擎引擎引擎分类器前恶意代码样本捕获台命名黑高启发式风险件样本库目标样本类标签白特征命名灰后其它台聚类器其它知识库人工&机器人工分析机器分析分析反病毒引擎的误解/迷信本地
4、检测云检测知识化引擎引擎引擎误解:反病毒引擎是高级算法的产物分类器前恶意代码样本捕获台命名黑误解2:特征是讳莫如深风险件样本库目标样本特征类标签白的命名灰后其它台误解1:人工分析作业需聚类器要大量分析工程师,是劳其它知识库迷信1:存在恶意代码自动力密集作业体系动化判定的银弹误解2:后端使用第三方人工&机器人工分析机器分析引擎是不好的分析我们对移动恶意代码对抗能力的设计和降维追求第一时间对威胁的原生本地检测发现和对抗能力。人工分析引擎阶段1和学习策略控制都将必定是1.合理优化特征的选择和生成重度人工参与的2.尽可提高特征表达能力分类器1样本库目标样本特征类标签迭
5、代和学习策略3阶段23.尽可能降低目标样本规模聚类器阶段34.尽可能降低人工分析的规模5.尽可能降低人工分5.尽可能降低人工分析成本析成本人工&机器6.尽可能优化聚类器人工分析机器分析分析5的学习效率移动恶意代码分阶段对抗局势对抗走势图140012001000800600400200020102011201220132014分析工程师(人)2481315样本数量(千)0.009112499921331降维阶段1•1.合理优化特征的选择和生成–文件格式的预处理能力–特征可供选择的提取的粒度•2.尽可能提高特征表达能力–易于推理–易于修改–易于表达和理解降维阶段1
6、•多层检测体系和检索式特征获取策略BlockHeadeArAPK,ZIPBlockDataAppBEXE1EXE2BlockCodeCAndroidManifestApp-ManifestResource.arscEXEPackageWrapperDEX,ODEX,ELFManifestEXEManifestExecutableAExecutableBInner-ExeSymbolOpcodeResourceResourceExecutableCMobileOSApp-LevelExe-LevelExecutable-StyleOtherFeaturesDEX
7、Index&FragmentationStyleCodeInject&RebuildODEXIndex&FragmentationStyle-AndroidManifestAndroidAPKIndex&FragmentationStyleSelf-DefinedFormatResource.arscELFStructuralStyleCodeInfectionOATStructuralStyle&FragmentationStyleCodeInjectSelf-DefinedSISXFormatSymbianSISXEPOCStructuralStyleCo
8、deCompressionIPAMAC
此文档下载收益归作者所有