基于行为的恶意代码检测技术课件

1、 基于行为的恶意代码检测技术 该技术是瑞星“云安全”策略实施的辅助支撑技术之一。 瑞星合理地将该技术应用于本机威胁感知、本机威胁化解及“云安全”中心威胁自动判定分析中。基于行为的恶意代码检测技术，被许多安全厂商用来打造“主动防御”、“启发式查毒”产品。传统的特征码检测技术静态识别技术从病毒体内提取的原始数据片断，以及该片断的位置信息 全浮动(无位置描述) 更多的位置描述(格式分析,代码分析) 更灵活的数据片断表示(？，*，RE)在现在这个时代，越来越吃力了！变化和改进 提取自病毒体，滞后于病毒出现 抗“特征”变化性有限 优点 缺点 精确，误报少 快速，静态分析人类社会的“特征码”技术 指纹 初

2、犯，截取指纹，入档案。 再犯，查对指纹，就可确定谁是犯人。人类社会的“特征码”技术人类社会如何判罪？我们可以给程序判罪吗？ 把程序看成“人” 制定适用于这些“人”的“法律” 监视这个“人”的动作 整理、归纳收集到的信息 根据“法律”来判定“人”的好坏 行为分析就这样出现了!恶 意 行 为 库行为分析模型组织层组织，抽象信息判断层按什么方式判定监控层监视程序做了什么行为分析模型三层模型 判定层在满足需求的情况下，恶意行为如何判定？实现时考虑基于时序或者命中实时判定或者事后判定一般的实现方式将组织层提供的数据与恶意行为库进行比对，判定被监控对象是否满足恶意行为。判定层职能三层模型 组织层在满足需求

3、的情况下，怎样组织动作发起者？ 怎样加工动作？需要记录什么？实现时考虑按进程、线程或者代码块来组织；文件创建 到 自我复制；文件修改 到 文件感染；记录创建和修改的文件；一般的实现方式组织存在关系的动作发起者；抽象恶意动作；记录其必要信息动作。组织层职能三层模型 组织层以进程以线程以代码块实现难度简单较简单复杂代码关系粒度进程线程内存块精确度低中高关系典型木马和它启动的进程木马和它在正常进程中启动的远程线程木马和它安装的API钩子三种监控层实现方式比较实时监控环境模拟虚拟机+环境模拟运行方式真实运行真实运行虚拟运行运行速度快快慢执行深度完全视环境模拟程度视环境模拟程度危险性危险较危险安全监控粒

4、度函数级函数级指令级,函数级实现复杂度简单视被模拟环境和需求视被模拟环境和需求产品化趋势动态检测与防御无静态检测产品化可行性高无低代表技术瑞星木马行为防御基于Wine的自动分析系统RS未知DOS病毒检测RS未知Win95病毒检测技术优缺点分析优点检测率高可检测未知后期维护代价小缺点依赖于程序执行过高的误报率反病毒行业的基本要求 精确作为主要检测手段制定恶意行为库 恶意动作 内置：自我复制，建立自启动关联，挂接全局自释放钩子等。 可扩展：程序动作+约束（自定义特征） 恶意行为 多个不重复内置恶意动作，一组有先后顺序的扩展恶意动作。制定恶意行为库木马行为防御的判定层实现 针对进程集进行判定。 实时比对，为每个进程集合创建并维护恶意行为库的匹配上下文。 内置恶意动作发生即可，顺序无关。 扩展恶意动作按顺序判定。判定层木马行为防御的组织层实现 相关进程集合（创建关系，释放关系）。 忽略可见进程的程序动作。 必要时将程序动作加工成恶意动作。 记录程序创建或修改的文件。组织层木马行为防御的监控层实现 文件监控 进程监控 注册表监控 关键API调用监控监控层缺点的弥补本地白名单基于“云安全” 的威胁信息参考认证1、厂商维护，定时升级2、用户按需定义1、海量样本2、随时更新3、几千万探针的基础规模4、广阔的软件领域覆盖面优势的发挥获得更快的响应速度发现恶意代码间的