基于行为的恶意代码检测技术课件

该技术是瑞星“云安全”策略实施的辅助支撑技术之一。瑞星合理地将该技术应用于本机威胁感知、本机威胁化解及“云安全”中心威胁自动判定分析中。基于行为的恶意代码检测技术，被许多安全厂商用来打造“主动防御”、“启发式查毒”产品。1感谢你的观看2019年6月9该技术是瑞星“云安全”策略实施的辅助支撑技术之一。瑞星合理传统的特征码检测技术静态识别技术从病毒体内提取的原始数据片断，以及该片断的位置信息全浮动(无位置描述)更多的位置描述(格式分析,代码分析)更灵活的数据片断表示(？，*，RE)在现在这个时代，越来越吃力了！变化和改进提取自病毒体，滞后于病毒出现抗“特征”变化性有限

优点

缺点精确，误报少快速，静态分析2感谢你的观看2019年6月9传统的特征码检测技术静态识别技术从病毒体内提取的原始数据片断人类社会的“特征码”技术—指纹初犯，截取指纹，入档案。再犯，查对指纹，就可确定谁是犯人。人类社会的“特征码”技术3感谢你的观看2019年6月9人类社会的“特征码”技术—指纹人类社会的“特征码”技人类社会如何判罪？我们可以给程序判罪吗？把程序看成“人”制定适用于这些“人”的“法律”监视这个“人”的动作整理、归纳收集到的信息根据“法律”来判定“人”的好坏

行为分析就这样出现了!4感谢你的观看2019年6月9人类社会如何判罪？我们可以给程序判罪吗？把程序看成“人”4行为分析的简单介绍将一系列已经规定好的恶意行为做为规范，根据这些规范，去监视程序做了什么，再结合这个规范来判定程序是否是恶意代码。定义不什么新技术是病毒分析专家判定经验的应用5感谢你的观看2019年6月9行为分析的简单介绍将一系列已经规定好的恶意行为做为规范，根据恶意行为库行为分析模型组织层组织，抽象信息判断层按什么方式判定监控层监视程序做了什么6感谢你的观看2019年6月9恶意行为库行为分析模型组织层判断层监控层6感谢你的观行为分析模型7感谢你的观看2019年6月9行为分析模型7感谢你的观看2019年6月9制定恶意行为库除了病毒分析专家之外，没有再合适不过的人选了。是系统设计和实施的重点，直接影响整个系统的设计，实现以及效果。恶意动作、恶意行为要尽可能地区别正常程序与恶意代码，病毒分析经验的运用。8感谢你的观看2019年6月9制定恶意行为库除了病毒分析专家之外，没有再合适不过的人选了。三层模型——判定层在满足需求的情况下，恶意行为如何判定？实现时考虑基于时序或者命中实时判定或者事后判定一般的实现方式将组织层提供的数据与恶意行为库进行比对，判定被监控对象是否满足恶意行为。判定层职能9感谢你的观看2019年6月9三层模型——判定层在满足需求的情况下，恶意行为如何判定？三层模型——组织层在满足需求的情况下，怎样组织动作发起者？怎样加工动作？需要记录什么？实现时考虑按进程、线程或者代码块来组织；文件创建到自我复制；文件修改到文件感染；记录创建和修改的文件；一般的实现方式组织存在关系的动作发起者；抽象恶意动作；记录其必要信息动作。组织层职能10感谢你的观看2019年6月9三层模型——组织层在满足需求的情况下，怎样组织动作发起者三层模型——组织层以进程以线程以代码块实现难度简单较简单复杂代码关系粒度进程线程内存块精确度低中高关系典型木马和它启动的进程木马和它在正常进程中启动的远程线程木马和它安装的API钩子11感谢你的观看2019年6月9三层模型——组织层以进程以线程以代码块实现难度简单较简单三层模型——监控层在满足需求的情况下，底层技术技术实现。实现时考虑环境模拟实时监控虚拟机和环境模拟一般的实现方式在满足需求的情况下，为上层收集程序动作。监控层职能12感谢你的观看2019年6月9三层模型——监控层在满足需求的情况下，底层技术技术实现。实三种监控层实现方式比较实时监控环境模拟虚拟机+环境模拟运行方式真实运行真实运行虚拟运行运行速度快快慢执行深度完全视环境模拟程度视环境模拟程度危险性危险较危险安全监控粒度函数级函数级指令级,函数级实现复杂度简单视被模拟环境和需求视被模拟环境和需求产品化趋势动态检测与防御无静态检测产品化可行性高无低代表技术瑞星木马行为防御基于Wine的自动分析系统RS未知DOS病毒检测RS未知Win95病毒检测13感谢你的观看2019年6月9三种监控层实现方式比较实时监控环境模拟虚拟机+环境模拟运行方技术优缺点分析优点检测率高可检测未知后期维护代价小缺点依赖于程序执行过高的误报率反病毒行业的基本要求—精确作为主要检测手段14感谢你的观看2019年6月9技术优缺点分析优点缺点反病毒行业的基本要求—精确作为主要1瑞星木马行为防御检测木马、蠕虫、后门等以进程为单位的恶意代码发现并可阻止恶意进程及其相关进程、相关文件目的制定恶意行为库判定层组织层监控层15感谢你的观看2019年6月9瑞星木马行为防御检测木马、蠕虫、后门等以进程为单位的恶意代码制定恶意行为库恶意动作内置：自我复制，建立自启动关联，挂接全局自释放钩子等。可扩展：程序动作+约束（自定义特征）恶意行为多个不重复内置恶意动作，一组有先后顺序的扩展恶意动作。制定恶意行为库16感谢你的观看2019年6月9制定恶意行为库恶意动作制定恶意行为库16感谢你的观看201木马行为防御的判定层实现针对进程集进行判定。实时比对，为每个进程集合创建并维护恶意行为库的匹配上下文。内置恶意动作发生即可，顺序无关。扩展恶意动作按顺序判定。判定层17感谢你的观看2019年6月9木马行为防御的判定层实现针对进程集进行判定。判定层17感谢木马行为防御的组织层实现相关进程集合（创建关系，释放关系）。忽略可见进程的程序动作。必要时将程序动作加工成恶意动作。记录程序创建或修改的文件。组织层18感谢你的观看2019年6月9木马行为防御的组织层实现相关进程集合（创建关系，释放关系）木马行为防御的监控层实现文件监控进程监控注册表监控关键API调用监控监控层19感谢你的观看2019年6月9木马行为防御的监控层实现文件监控监控层19感谢你的观看20缺点的弥补本地白名单基于“云安全”的威胁信息参考认证1、厂商维护，定时升级2、用户按需定义1、海量样本2、随时更新

3、几千万探针的基础规模4、广阔的软件领域覆盖面20感谢你的观看2019年6月9缺点的弥补本地白名单基于“云安全”的威胁信息参考认证1、厂优势的发挥获得更快的响应速度发现恶意代码间的逻辑关系极大地缩小威胁样本收集范围更好的威胁样本质量为自动分析系统提供预处理成为支撑“云安全”的辅助支撑技术成为“云安全”中本机威胁感知器21感谢你的观看2019年6月9优势的发挥获得更快的响应速度发现恶意代码间的逻辑关系极大地缩未来要做什么快速虚拟机实现更合适规模的模拟环境实现更细粒度的信息组织更多的恶意动作22感谢你的观看2019年6月9未来要做什么快速虚拟机实现更合适规模的模拟环境实现更细粒度的23感谢你的观看2019年6月923感谢你的观看2019年6月9Q&A&谢谢大家24感谢你的观看2019年6月9Q&A24感谢你的观看2019年6月9该技术是瑞星“云安全”策略实施的辅助支撑技术之一。瑞星合理地将该技术应用于本机威胁感知、本机威胁化解及“云安全”中心威胁自动判定分析中。基于行为的恶意代码检测技术，被许多安全厂商用来打造“主动防御”、“启发式查毒”产品。25感谢你的观看2019年6月9该技术是瑞星“云安全”策略实施的辅助支撑技术之一。瑞星合理传统的特征码检测技术静态识别技术从病毒体内提取的原始数据片断，以及该片断的位置信息全浮动(无位置描述)更多的位置描述(格式分析,代码分析)更灵活的数据片断表示(？，*，RE)在现在这个时代，越来越吃力了！变化和改进提取自病毒体，滞后于病毒出现抗“特征”变化性有限

优点

缺点精确，误报少快速，静态分析26感谢你的观看2019年6月9传统的特征码检测技术静态识别技术从病毒体内提取的原始数据片断人类社会的“特征码”技术—指纹初犯，截取指纹，入档案。再犯，查对指纹，就可确定谁是犯人。人类社会的“特征码”技术27感谢你的观看2019年6月9人类社会的“特征码”技术—指纹人类社会的“特征码”技人类社会如何判罪？我们可以给程序判罪吗？把程序看成“人”制定适用于这些“人”的“法律”监视这个“人”的动作整理、归纳收集到的信息根据“法律”来判定“人”的好坏

行为分析就这样出现了!28感谢你的观看2019年6月9人类社会如何判罪？我们可以给程序判罪吗？把程序看成“人”4行为分析的简单介绍将一系列已经规定好的恶意行为做为规范，根据这些规范，去监视程序做了什么，再结合这个规范来判定程序是否是恶意代码。定义不什么新技术是病毒分析专家判定经验的应用29感谢你的观看2019年6月9行为分析的简单介绍将一系列已经规定好的恶意行为做为规范，根据恶意行为库行为分析模型组织层组织，抽象信息判断层按什么方式判定监控层监视程序做了什么30感谢你的观看2019年6月9恶意行为库行为分析模型组织层判断层监控层6感谢你的观行为分析模型31感谢你的观看2019年6月9行为分析模型7感谢你的观看2019年6月9制定恶意行为库除了病毒分析专家之外，没有再合适不过的人选了。是系统设计和实施的重点，直接影响整个系统的设计，实现以及效果。恶意动作、恶意行为要尽可能地区别正常程序与恶意代码，病毒分析经验的运用。32感谢你的观看2019年6月9制定恶意行为库除了病毒分析专家之外，没有再合适不过的人选了。三层模型——判定层在满足需求的情况下，恶意行为如何判定？实现时考虑基于时序或者命中实时判定或者事后判定一般的实现方式将组织层提供的数据与恶意行为库进行比对，判定被监控对象是否满足恶意行为。判定层职能33感谢你的观看2019年6月9三层模型——判定层在满足需求的情况下，恶意行为如何判定？三层模型——组织层在满足需求的情况下，怎样组织动作发起者？怎样加工动作？需要记录什么？实现时考虑按进程、线程或者代码块来组织；文件创建到自我复制；文件修改到文件感染；记录创建和修改的文件；一般的实现方式组织存在关系的动作发起者；抽象恶意动作；记录其必要信息动作。组织层职能34感谢你的观看2019年6月9三层模型——组织层在满足需求的情况下，怎样组织动作发起者三层模型——组织层以进程以线程以代码块实现难度简单较简单复杂代码关系粒度进程线程内存块精确度低中高关系典型木马和它启动的进程木马和它在正常进程中启动的远程线程木马和它安装的API钩子35感谢你的观看2019年6月9三层模型——组织层以进程以线程以代码块实现难度简单较简单三层模型——监控层在满足需求的情况下，底层技术技术实现。实现时考虑环境模拟实时监控虚拟机和环境模拟一般的实现方式在满足需求的情况下，为上层收集程序动作。监控层职能36感谢你的观看2019年6月9三层模型——监控层在满足需求的情况下，底层技术技术实现。实三种监控层实现方式比较实时监控环境模拟虚拟机+环境模拟运行方式真实运行真实运行虚拟运行运行速度快快慢执行深度完全视环境模拟程度视环境模拟程度危险性危险较危险安全监控粒度函数级函数级指令级,函数级实现复杂度简单视被模拟环境和需求视被模拟环境和需求产品化趋势动态检测与防御无静态检测产品化可行性高无低代表技术瑞星木马行为防御基于Wine的自动分析系统RS未知DOS病毒检测RS未知Win95病毒检测37感谢你的观看2019年6月9三种监控层实现方式比较实时监控环境模拟虚拟机+环境模拟运行方技术优缺点分析优点检测率高可检测未知后期维护代价小缺点依赖于程序执行过高的误报率反病毒行业的基本要求—精确作为主要检测手段38感谢你的观看2019年6月9技术优缺点分析优点缺点反病毒行业的基本要求—精确作为主要1瑞星木马行为防御检测木马、蠕虫、后门等以进程为单位的恶意代码发现并可阻止恶意进程及其相关进程、相关文件目的制定恶意行为库判定层组织层监控层39感谢你的观看2019年6月9瑞星木马行为防御检测木马、蠕虫、后门等以进程为单位的恶意代码制定恶意行为库恶意动作内置：自我复制，建立自启动关联，挂接全局自释放钩子等。可扩展：程序动作+约束（自定义特征）恶意行为多个不重复内置恶意动作，一组有先后顺序的扩展恶意动作。制定恶意行为库40感谢你的观看2019年6月9制定恶意行为库恶意动作制定恶意行为库16感谢你的观看201木马行为防御的判定层实现针对进程集进行判定。实时比对，为每个进程集合创建并维护恶意行为库的匹配上下文。内置恶意动作发生即可，顺序无关。扩展恶意动作按顺序判定。判定层41感谢你的观看2019年6月9木马行为防御的判定层实现针对进程集进行判定。判定层17感谢木马行为防御的组织层实现相关进程集合（创建关系，释放关系）。忽略可见进程的程序动作。必要