瑞星基于行为的恶意代码检测技术

《瑞星基于行为的恶意代码检测技术》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、[基于行为的恶意代码检测技术]该技术是瑞星“云安全”策略实施的辅助支撑技术之一。瑞星合理地将该技术应用于本机威胁感知、本机威胁化解及“云安全”中心威胁自动判定分析中。基于行为的恶意代码检测技术，被许多安全厂商用来打造“主动防御”、“启发式查毒”产品。传统的特征码检测技术静态识别技术从病毒体内提取的原始数据片断，以及该片断的位置信息全浮动(无位置描述)更多的位置描述(格式分析,代码分析)更灵活的数据片断表示(？，*，RE)在现在这个时代，越来越吃力了！变化和改进提取自病毒体，滞后于病毒出现抗“特征”变化性有限优点缺点精

2、确，误报少快速，静态分析人类社会的“特征码”技术—指纹初犯，截取指纹，入档案。再犯，查对指纹，就可确定谁是犯人。人类社会的“特征码”技术人类社会如何判罪？我们可以给程序判罪吗？把程序看成“人”制定适用于这些“人”的“法律”监视这个“人”的动作整理、归纳收集到的信息根据“法律”来判定“人”的好坏行为分析就这样出现了!行为分析的简单介绍将一系列已经规定好的恶意行为做为规范，根据这些规范，去监视程序做了什么，再结合这个规范来判定程序是否是恶意代码。定义不什么新技术是病毒分析专家判定经验的应用恶意行为库行为分析模型组织层组织

3、，抽象信息判断层按什么方式判定监控层监视程序做了什么行为分析模型制定恶意行为库除了病毒分析专家之外，没有再合适不过的人选了。是系统设计和实施的重点，直接影响整个系统的设计，实现以及效果。恶意动作、恶意行为要尽可能地区别正常程序与恶意代码，病毒分析经验的运用。三层模型——判定层在满足需求的情况下，恶意行为如何判定？实现时考虑基于时序或者命中实时判定或者事后判定一般的实现方式将组织层提供的数据与恶意行为库进行比对，判定被监控对象是否满足恶意行为。判定层职能三层模型——组织层在满足需求的情况下，怎样组织动作发起者？怎样加工

4、动作？需要记录什么？实现时考虑按进程、线程或者代码块来组织；文件创建到自我复制；文件修改到文件感染；记录创建和修改的文件；一般的实现方式组织存在关系的动作发起者；抽象恶意动作；记录其必要信息动作。组织层职能三层模型——组织层以进程以线程以代码块实现难度简单较简单复杂代码关系粒度进程线程内存块精确度低中高关系典型木马和它启动的进程木马和它在正常进程中启动的远程线程木马和它安装的API钩子三层模型——监控层在满足需求的情况下，底层技术技术实现。实现时考虑环境模拟实时监控虚拟机和环境模拟一般的实现方式在满足需求的情况下，为

5、上层收集程序动作。监控层职能三种监控层实现方式比较实时监控环境模拟虚拟机+环境模拟运行方式真实运行真实运行虚拟运行运行速度快快慢执行深度完全视环境模拟程度视环境模拟程度危险性危险较危险安全监控粒度函数级函数级指令级,函数级实现复杂度简单视被模拟环境和需求视被模拟环境和需求产品化趋势动态检测与防御无静态检测产品化可行性高无低代表技术瑞星木马行为防御基于Wine的自动分析系统RS未知DOS病毒检测RS未知Win95病毒检测技术优缺点分析优点检测率高可检测未知后期维护代价小缺点依赖于程序执行过高的误报率反病毒行业的基本要求

6、—精确作为主要检测手段瑞星木马行为防御检测木马、蠕虫、后门等以进程为单位的恶意代码发现并可阻止恶意进程及其相关进程、相关文件目的制定恶意行为库判定层组织层监控层制定恶意行为库恶意动作内置：自我复制，建立自启动关联，挂接全局自释放钩子等。可扩展：程序动作+约束（自定义特征）恶意行为多个不重复内置恶意动作，一组有先后顺序的扩展恶意动作。制定恶意行为库木马行为防御的判定层实现针对进程集进行判定。实时比对，为每个进程集合创建并维护恶意行为库的匹配上下文。内置恶意动作发生即可，顺序无关。扩展恶意动作按顺序判定。判定层木马行为防

7、御的组织层实现相关进程集合（创建关系，释放关系）。忽略可见进程的程序动作。必要时将程序动作加工成恶意动作。记录程序创建或修改的文件。组织层木马行为防御的监控层实现文件监控进程监控注册表监控关键API调用监控监控层缺点的弥补本地白名单基于“云安全”的威胁信息参考认证1、厂商维护，定时升级2、用户按需定义1、海量样本2、随时更新3、几千万探针的基础规模4、广阔的软件领域覆盖面优势的发挥获得更快的响应速度发现恶意代码间的逻辑关系极大地缩小威胁样本收集范围更好的威胁样本质量为自动分析系统提供预处理成为支撑“云安全”的辅助支撑

8、技术成为“云安全”中本机威胁感知器未来要做什么快速虚拟机实现更合适规模的模拟环境实现更细粒度的信息组织更多的恶意动作Q&A&谢谢大家