[-基于行为的恶意代码检测技术-]培训课件.pptVIP

技术优缺点分析 优点 检测率高 可检测未知 后期维护代价小 缺点 依赖于程序执行 过高的误报率 反病毒行业的基本要求 —精确 作为主要 检测手段 精品文档 瑞星木马行为防御 检测木马、蠕虫、后门等以进程为单位的恶意代码 发现并可阻止恶意进程及其相关进程、相关文件 目的 制定恶意行为库 判定层 组织层 监控层 精品文档 制定恶意行为库 恶意动作 内置：自我复制，建立自启动关联，挂接全局自释放钩子等。 可扩展：程序动作+约束（自定义特征） 恶意行为 多个不重复内置恶意动作，一组有先后顺序的扩展恶意动作。 制定恶意行为库 精品文档 * * * [ 基于行为的恶意代码检测技术 ] 精品文档 该技术是瑞星“云安全”策略实施的辅助支撑技术之一。 瑞星合理地将该技术应用于本机威胁感知、本机威胁化解及“云安全”中心威胁自动判定分析中。 基于行为的恶意代码检测技术，被许多安全厂商用来打造“主动防御”、“启发式查毒”产品。 精品文档 传统的特征码检测技术 静态识别技术 从病毒体内提取的原始数据片断，以及该片断的位置信息 全浮动(无位置描述) 更多的位置描述(格式分析,代码分析) 更灵活的数据片断表示(？，*，RE) 在现在这个时代，越来越吃力了！ 变化和改进 提取自病毒体，滞后于病毒出现 抗“特征”变化性有限 优点 缺点 精确，误报少 快速，静态分析 精品文档 人类社会的“特征码”技术 — 指纹 初犯，截取指纹，入档案。 再犯，查对指纹，就可确定谁是犯人。 人类社会的“特征码”技术 精品文档 人类社会如何判罪？ 我们可以给程序判罪吗？ 把程序看成“人” 制定适用于这些“人”的“法律” 监视这个“人”的动作 整理、归纳收集到的信息 根据“法律”来判定“人”的好坏 行为分析就这样出现了! 精品文档 行为分析的简单介绍 将一系列已经规定好的恶意行为做为规范，根据这些规范，去监视程序做了什么，再结合这个规范来判定程序是否是恶意代码。 定义 不什么新技术 是病毒分析专家判定经验的应用 精品文档 恶 意 行 为 库 行为分析模型 组织层 组织，抽象信息 判断层 按什么方式判定 监控层 监视程序做了什么 精品文档 行为分析模型 精品文档 制定恶意行为库 除了病毒分析专家之外，没有再合适不过的人选了。 是系统设计和实施的重点，直接影响整个系统的设计，实现以及效果。 恶意动作、恶意行为要尽可能地区别正常程序与恶意代码，病毒分析经验的运用。 精品文档 三层模型 —— 判定层 在满足需求的情况下，恶意行为如何判定？ 实现时考虑 基于时序或者命中 实时判定或者事后判定 一般的实现方式 将组织层提供的数据与恶意行为库进行比对，判定被监控对象是否满足恶意行为。 判定层职能 精品文档 三层模型 —— 组织层 在满足需求的情况下，怎样组织动作发起者？ 怎样加工动作？需要记录什么？ 实现时考虑 按进程、线程或者代码块来组织； 文件创建 到 自我复制；文件修改 到 文件感染； 记录创建和修改的文件； 一般的实现方式 组织存在关系的动作发起者；抽象恶意动作；记录其必要信息动作。 组织层职能 精品文档 三层模型 —— 组织层 以进程 以线程 以代码块 实现难度 简单 较简单 复杂 代码关系粒度 进程 线程 内存块 精确度 低 中 高 关系典型 木马和它启动的进程 木马和它在正常进程中启动的远程线程 木马和它安装的API钩子 精品文档 三层模型 ——监控层 在满足需求的情况下，底层技术技术实现。 实现时考虑 环境模拟 实时监控 虚拟机和环境模拟 一般的实现方式 在满足需求的情况下，为上层收集程序动作。 监控层职能 精品文档 三种监控层实现方式比较 实时监控 环境模拟 虚拟机+环境模拟 运行方式 真实运行 真实运行 虚拟运行 运行速度 快 快 慢 执行深度 完全 视环境模拟程度 视环境模拟程度 危险性 危险 较危险 安全 监控粒度 函数级 函数级 指令级,函数级 实现复杂度 简单 视被模拟环境和需求 视被模拟环境和需求 产品化趋势 动态检测与防御 无 静态检测 产品化可行性 高 无 低 代表技术 瑞星木马行为防御 基于Wine的自动分析系统 RS未知DOS病毒检测 RS未知Win95病毒检测 精品文档 * * *