基于行為的惡意代碼檢測(cè)技術(shù)課件

1、 基于行為的惡意代碼檢測(cè)技術(shù) 該技術(shù)是瑞星“云安全”策略實(shí)施的輔助支撐技術(shù)之一。 瑞星合理地將該技術(shù)應(yīng)用于本機(jī)威脅感知、本機(jī)威脅化解及“云安全”中心威脅自動(dòng)判定分析中?；谛袨榈膼阂獯a檢測(cè)技術(shù)，被許多安全廠商用來打造“主動(dòng)防御”、“啟發(fā)式查毒”產(chǎn)品。傳統(tǒng)的特征碼檢測(cè)技術(shù)靜態(tài)識(shí)別技術(shù)從病毒體內(nèi)提取的原始數(shù)據(jù)片斷，以及該片斷的位置信息 全浮動(dòng)(無位置描述) 更多的位置描述(格式分析,代碼分析) 更靈活的數(shù)據(jù)片斷表示(？，*，RE)在現(xiàn)在這個(gè)時(shí)代，越來越吃力了！變化和改進(jìn) 提取自病毒體，滯后于病毒出現(xiàn) 抗“特征”變化性有限 優(yōu)點(diǎn) 缺點(diǎn) 精確，誤報(bào)少 快速，靜態(tài)分析人類社會(huì)的“特征碼”技術(shù) 指紋 初

2、犯，截取指紋，入檔案。 再犯，查對(duì)指紋，就可確定誰是犯人。人類社會(huì)的“特征碼”技術(shù)人類社會(huì)如何判罪？我們可以給程序判罪嗎？ 把程序看成“人” 制定適用于這些“人”的“法律” 監(jiān)視這個(gè)“人”的動(dòng)作 整理、歸納收集到的信息 根據(jù)“法律”來判定“人”的好壞 行為分析就這樣出現(xiàn)了!惡 意 行 為 庫行為分析模型組織層組織，抽象信息判斷層按什么方式判定監(jiān)控層監(jiān)視程序做了什么行為分析模型三層模型 判定層在滿足需求的情況下，惡意行為如何判定？實(shí)現(xiàn)時(shí)考慮基于時(shí)序或者命中實(shí)時(shí)判定或者事后判定一般的實(shí)現(xiàn)方式將組織層提供的數(shù)據(jù)與惡意行為庫進(jìn)行比對(duì)，判定被監(jiān)控對(duì)象是否滿足惡意行為。判定層職能三層模型 組織層在滿足需求

3、的情況下，怎樣組織動(dòng)作發(fā)起者？ 怎樣加工動(dòng)作？需要記錄什么？實(shí)現(xiàn)時(shí)考慮按進(jìn)程、線程或者代碼塊來組織；文件創(chuàng)建 到 自我復(fù)制；文件修改 到 文件感染；記錄創(chuàng)建和修改的文件；一般的實(shí)現(xiàn)方式組織存在關(guān)系的動(dòng)作發(fā)起者；抽象惡意動(dòng)作；記錄其必要信息動(dòng)作。組織層職能三層模型 組織層以進(jìn)程以線程以代碼塊實(shí)現(xiàn)難度簡(jiǎn)單較簡(jiǎn)單復(fù)雜代碼關(guān)系粒度進(jìn)程線程內(nèi)存塊精確度低中高關(guān)系典型木馬和它啟動(dòng)的進(jìn)程木馬和它在正常進(jìn)程中啟動(dòng)的遠(yuǎn)程線程木馬和它安裝的API鉤子三種監(jiān)控層實(shí)現(xiàn)方式比較實(shí)時(shí)監(jiān)控環(huán)境模擬虛擬機(jī)+環(huán)境模擬運(yùn)行方式真實(shí)運(yùn)行真實(shí)運(yùn)行虛擬運(yùn)行運(yùn)行速度快快慢執(zhí)行深度完全視環(huán)境模擬程度視環(huán)境模擬程度危險(xiǎn)性危險(xiǎn)較危險(xiǎn)安全監(jiān)控粒

4、度函數(shù)級(jí)函數(shù)級(jí)指令級(jí),函數(shù)級(jí)實(shí)現(xiàn)復(fù)雜度簡(jiǎn)單視被模擬環(huán)境和需求視被模擬環(huán)境和需求產(chǎn)品化趨勢(shì)動(dòng)態(tài)檢測(cè)與防御無靜態(tài)檢測(cè)產(chǎn)品化可行性高無低代表技術(shù)瑞星木馬行為防御基于Wine的自動(dòng)分析系統(tǒng)RS未知DOS病毒檢測(cè)RS未知Win95病毒檢測(cè)技術(shù)優(yōu)缺點(diǎn)分析優(yōu)點(diǎn)檢測(cè)率高可檢測(cè)未知后期維護(hù)代價(jià)小缺點(diǎn)依賴于程序執(zhí)行過高的誤報(bào)率反病毒行業(yè)的基本要求 精確作為主要檢測(cè)手段制定惡意行為庫 惡意動(dòng)作 內(nèi)置：自我復(fù)制，建立自啟動(dòng)關(guān)聯(lián)，掛接全局自釋放鉤子等。 可擴(kuò)展：程序動(dòng)作+約束（自定義特征） 惡意行為 多個(gè)不重復(fù)內(nèi)置惡意動(dòng)作，一組有先后順序的擴(kuò)展惡意動(dòng)作。制定惡意行為庫木馬行為防御的判定層實(shí)現(xiàn) 針對(duì)進(jìn)程集進(jìn)行判定。 實(shí)時(shí)比對(duì)，為每個(gè)進(jìn)程集合創(chuàng)建并維護(hù)惡意行為庫的匹配上下文。 內(nèi)置惡意動(dòng)作發(fā)生即可，順序無關(guān)。 擴(kuò)展惡意動(dòng)作按順序判定。判定層木馬行為防御的組織層實(shí)現(xiàn) 相關(guān)進(jìn)程集合（創(chuàng)建關(guān)系，釋放關(guān)系）。 忽略可見進(jìn)程的程序動(dòng)作。 必要時(shí)將程序動(dòng)作加工成惡意動(dòng)作。 記錄程序創(chuàng)建或修改的文件。組織層木馬行為防御的監(jiān)控層實(shí)現(xiàn) 文件監(jiān)控 進(jìn)程監(jiān)控 注冊(cè)表監(jiān)控 關(guān)鍵API調(diào)用監(jiān)控監(jiān)控層缺點(diǎn)的彌補(bǔ)本地白名單基于“云安全” 的威脅信息參考認(rèn)證1、廠商維護(hù)，定時(shí)升級(jí)2、用戶按需定義1、海量樣本2、隨時(shí)更新3、幾千萬探針的基礎(chǔ)規(guī)模4、廣闊的軟件領(lǐng)域覆蓋面優(yōu)勢(shì)的發(fā)揮獲得更快的響應(yīng)速度發(fā)現(xiàn)惡意代碼間的