反病毒技术发展
技术部分第二节内容,即第二章《病毒与威胁基础》之任务 2《反病毒技术发展》
早期病毒
文件感染方式
功能单一
防病毒应对:通过特征码匹配
特征码
哈希散列
一串二进制字符串
扫描引擎
- 自动化恶意软件初理机制
- 规定恶意软件入口点
- 匹配特征
- 挑战
- 资源占用
- 对抗变种能力
- 对抗免杀能力
- 稳定性、兼容性
恶意软件检测技术
特征码检测
基于文件某部分特征
精确匹配技术
早期,一张软盘对应一种病毒
病毒库,从一周更新一次到每天更新
拖慢系统运行速度
无法及时识别新的恶意软件
云查杀
- 动态病毒库
- 实时、共享
- 查杀能力更为精确、有效
- 挑战
- 隔离网络环境
- 加大自身体积
- 高速、自动化生成的变种
启发式检测
启发式特征:通过一系列预定义的规则集来判断文件是否为恶意的检测方式
相似度匹配
特征码检测 VS 启发式检测
启发式检测不能替代特征码检测
| 优缺点 | 特征码检测 | 启发式检测 |
|---|---|---|
| 误报率 | 低 | 高 |
| 未知病毒 | 低 | 高 |
| 实现难度 | 低 | 高 |
恶意软件分析技术
静态扫描
检测静态文件是否存在恶意代码的过程
静态扫描
- 特征码检测
- 启发式检测:被动启发式检测
- 恶意软件对抗
- 现象:一个硬盘中的文件在平时不会被检测为恶意软件,但是当他在内存中运行时就会被认为是恶意软件
- 技术:加壳、压缩
动态扫描
动态分析是在恶意软件在运行过程中,抽取特征进行匹配
状态特征
行为特征
沙盒技术
可控的恶意软件运行环境,最小化恶意软件的感染范围
分析出以下信息
- 主机方面:系统修改、恶意软件在内存中的行为
- 网络方面:网络连接状态、数据包
完全模拟恶意软件运行的环境,分析出的行为更接近真实效果
动态的安全防护(态势感知)
态势感知指在特定时空下,对动态环境中各元素或对象的察觉、理解以及对未来状态的预测
依赖大数据的辅助和配合
多方位联动分析
人工智能
- 目标:预判、处理、取证
- 常见应用:图像识别、人脸识别、语言翻译
- 应用于安全:机器学习、深度学习
- 反病毒技术:特征码检测 → 启发式检测
- 人工智能:模式识别 → 机器学习
- 机器学习:识别 → 理解 → 解释
- 已在使用中的机器学习
- C&C 网络流量通信行为
- 动态域名识别
- 鼠标动态行为检测
- 手机触屏行为学习
- web 攻击行为学习