如何检测计算机病毒并做成ppt,计算机病毒-ppt-4行为检测.ppt
計算機病毒-ppt-4行為檢測
缺點的彌補 本地白名單 基于“云安全” 的威脅信息參考認證 1、廠商維護,定時升級 2、用戶按需定義 1、海量樣本 2、隨時更新? 3、幾千萬探針的基礎規模 4、廣闊的軟件領域覆蓋面 優勢的發揮 獲得更快的響應速度 發現惡意代碼間的邏輯關系 極大地縮小威脅樣本收集范圍 更好的威脅樣本質量 為自動分析系統提供預處理 成為支撐“云安全”的 輔助支撐技術 成為“云安全”中本機威脅感知器 未來要做什么 快速虛擬機實現 更合適規模的模擬環境實現 更細粒度的信息組織 更多的惡意動作 Q&A & 謝謝大家 * * * * * * [ 基于行為的惡意代碼檢測技術 ] 該技術是瑞星“云安全”策略實施的輔助支撐技術之一。 瑞星合理地將該技術應用于本機威脅感知、本機威脅化解及“云安全”中心威脅自動判定分析中。 基于行為的惡意代碼檢測技術,被許多安全廠商用來打造“主動防御”、“啟發式查毒”產品。 傳統的特征碼檢測技術 靜態識別技術 從病毒體內提取的原始數據片斷,以及該片斷的位置信息 全浮動(無位置描述) 更多的位置描述(格式分析,代碼分析) 更靈活的數據片斷表示(?,*,RE) 在現在這個時代,越來越吃力了! 變化和改進 提取自病毒體,滯后于病毒出現 抗“特征”變化性有限 優點 缺點 精確,誤報少 快速,靜態分析 人類社會的“特征碼”技術 — 指紋 初犯,截取指紋,入檔案。 再犯,查對指紋,就可確定誰是犯人。 人類社會的“特征碼”技術 人類社會如何判罪? 我們可以給程序判罪嗎? 把程序看成“人” 制定適用于這些“人”的“法律” 監視這個“人”的動作 整理、歸納收集到的信息 根據“法律”來判定“人”的好壞 行為分析就這樣出現了! 行為分析的簡單介紹 將一系列已經規定好的惡意行為做為規范,根據這些規范,去監視程序做了什么,再結合這個規范來判定程序是否是惡意代碼。 定義 不什么新技術 是病毒分析專家判定經驗的應用 惡 意 行 為 庫 行為分析模型 組織層 組織,抽象信息 判斷層 按什么方式判定 監控層 監視程序做了什么 行為分析模型 制定惡意行為庫 除了病毒分析專家之外,沒有再合適不過的人選了。 是系統設計和實施的重點,直接影響整個系統的設計,實現以及效果。 惡意動作、惡意行為要盡可能地區別正常程序與惡意代碼,病毒分析經驗的運用。 三層模型 —— 判定層 在滿足需求的情況下,惡意行為如何判定? 實現時考慮 基于時序或者命中 實時判定或者事后判定 一般的實現方式 將組織層提供的數據與惡意行為庫進行比對,判定被監控對象是否滿足惡意行為。 判定層職能 三層模型 —— 組織層 在滿足需求的情況下,怎樣組織動作發起者? 怎樣加工動作?需要記錄什么? 實現時考慮 按進程、線程或者代碼塊來組織; 文件創建 到 自我復制;文件修改 到 文件感染; 記錄創建和修改的文件; 一般的實現方式 組織存在關系的動作發起者;抽象惡意動作;記錄其必要信息動作。 組織層職能 三層模型 —— 組織層 以進程 以線程 以代碼塊 實現難度 簡單 較簡單 復雜 代碼關系粒度 進程 線程 內存塊 精確度 低 中 高 關系典型 木馬和它啟動的進程 木馬和它在正常進程中啟動的遠程線程 木馬和它安裝的API鉤子 三層模型 ——監控層 在滿足需求的情況下,底層技術技術實現。 實現時考慮 環境模擬 實時監控 虛擬機和環境模擬 一般的實現方式 在滿足需求的情況下,為上層收集程序動作。 監控層職能 三種監控層實現方式比較 實時監控 環境模擬 虛擬機+環境模擬 運行方式 真實運行 真實運行 虛擬運行 運行速度 快 快 慢 執行深度 完全 視環境模擬程度 視環境模擬程度 危險性 危險 較危險 安全 監控粒度 函數級 函數級 指令級,函數級 實現復雜度 簡單 視被模擬環境和需求 視被模擬環境和需求 產品化趨勢 動態檢測與防御 無 靜態檢測 產品化可行性 高 無 低 代表技術 瑞星木馬行為防御 基于Wine的自動分析系統 RS未知DOS病毒檢測 RS未知Win95病毒檢測 技術優缺點分析 優點 檢測率高 可檢測未知 后期維護代價小 缺點 依賴于程序執行 過高的誤報率 反病毒行業的基本要求 —精確 作為主要 檢測手段 瑞星木馬行為防御 檢測木馬、蠕蟲、后門等以進程為單位的惡意代碼 發現并可阻止惡意進程及其相關進程、相關文件 目的 制定惡意行為庫 判定層 組織層 監控層 制定惡意行為庫 惡意動作 內置:自我復制,建立自啟動關聯,掛接全局自釋放鉤子等。 可擴展:程序動作+約束(自定義特征) 惡意行為 多個不重復內置惡意動作,一組有先后順序的擴展惡意動作。 制定惡意行為庫 木馬行為防御的判定層實現 針對進程集進行判定。 實時比對,為每個
總結
以上是生活随笔為你收集整理的如何检测计算机病毒并做成ppt,计算机病毒-ppt-4行为检测.ppt的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Python 计算在1901年1月1日至
- 下一篇: 雾计算和边缘计算的区别