《智能行为判断技术之网页脚本行为判断技术》.ppt

基于行为的恶意代码检测技术 ,传统的特征码检测技术,静态识别技术,从病毒体内提取的原始数据片断，以及该片断的位置信息,全浮动(无位置描述) 更多的位置描述(格式分析,代码分析) 更灵活的数据片断表示(？，*，RE),在现在这个时代，越来越吃力了！,变化和改进,提取自病毒体，滞后于病毒出现 抗“特征”变化性有限,优点,缺点,精确，误报少 快速，静态分析,人类社会的“特征码”技术 指纹 初犯，截取指纹，入档案。 再犯，查对指纹，就可确定谁是犯人。,人类社会的“特征码”技术,人类社会如何判罪？,我们可以给程序判罪吗？,把程序看成“人” 制定适用于这些“人”的“法律” 监视这个“人”的动作 整理、归纳收集到的信息 根据“法律”来判定“人”的好坏 行为分析就这样出现了!,行为分析的简单介绍,将一系列已经规定好的恶意行为做为规范，根据这些规范，去监视程序做了什么，再结合这个规范来判定程序是否是恶意代码。,定义,不什么新技术 是病毒分析专家判定经验的应用,行为分析模型,行为分析模型,制定恶意行为库,恶意动作、恶意行为要尽可能地区别正常程序与恶意代码，病毒分析经验的运用。,三层模型 判定层,在满足需求的情况下，恶意行为如何判定？,实现时考虑,基于时序或者命中 实时判定或者事后判定,将组织层提供的数据与恶意行为库进行比对，判定被监控对象是否满足恶意行为。,三层模型 组织层,在满足需求的情况下，怎样组织动作发起者？ 怎样加工动作？需要记录什么？,实现时考虑,按进程、线程或者代码块来组织； 文件创建 到 自我复制；文件修改 到 文件感染； 记录创建和修改的文件；,一般的实现方式,组织存在关系的动作发起者；抽象恶意动作；记录其必要信息动作。,组织层职能,三层模型 组织层,三层模型 监控层,在满足需求的情况下，底层技术技术实现。,实现时考虑,环境模拟 实时监控 虚拟机和环境模拟,一般的实现方式,在满足需求的情况下，为上层收集程序动作。,监控层职能,三种监控层实现方式比较,技术优缺点分析,瑞星木马行为防御,检测木马、蠕虫、后门等以进程为单位的恶意代码 发现并可阻止恶意进程及其相关进程、相关文件,目的,制定恶意行为库,判定层,组织层,监控层,制定恶意行为库,恶意动作 内置：自我复制，建立自启动关联，挂接全局自释放钩子等。 可扩展：程序动作+约束（自定义特征） 恶意行为 多个不重复内置恶意动作，一组有先后顺序的扩展恶意动作。,制定恶意行为库,木马行为防御的判定层实现,针对进程集进行判定。 实时比对，为每个进程集合创建并维护恶意行为库的匹配上下文。 内置恶意动作发生即可，顺序无关。 扩展恶意动作按顺序判定。,判定层,木马行为防御的组织层实现,相关进程集合（创建关系，释放关系）。 忽略可见进程的程序动作。 必要时将程序动作加工成恶意动作。 记录程序创建或修改的文件。,组织层,木马行为防御的监控层实现,文件监控 进程监控 注册表监控 关键API调用监控,监控层,缺点的弥补,本地白名单,基于“云安全” 的威胁信息参考认证,1、厂商维护，定时升级 2、用户按需定义,1、海量样本 2、随时更新 3、几千万探针的基础规模 4、广阔的软件领域覆盖面,优势的发挥,获得更快的响应速度,发现恶意代码间的逻辑关系,极大地缩小威胁样本收集范围,更好的威胁样本质量,为自动分析系统提供预处理,成为支撑“云安全”的 辅助支撑技术