废钢厂家
免费服务热线

Free service

hotline

010-00000000
废钢厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

瑞星安全技术大会分论坛叶超发表演讲_新闻资讯_中关村在线种植

发布时间:2020-04-19 13:41:33 阅读: 来源:废钢厂家

瑞星安全技术大会分论坛叶超发表演讲_新闻资讯_中关村在线

叶超:今天非常高兴,在这边跟大家一起探讨一下技术。今天我要讲的是基于行为的恶意代码检测系统,这个技术大家都不陌生,这个技术成为我们瑞星安全策略整个实施辅助的资深技术。在讲恶意行为检测系统之前我先讲一讲传统的检测系统,这个从病毒软件出现有已经有了,首先这个技术是一个静态的识别技术,然后这个病毒特征码是来自于什么地方呢?从病毒体内提取的原始数据片断以及该片断的位置信息,这个相信大家都很容易理解。病毒特征码这个技术在这么多年的应用中也有了许多的变化和改进,我列了三点,大家可以看一下,第一个是全自动,就是把病毒中的物质信息给去了,这样的话,反病扫描器再扫描病毒的时候,会进行一个全方位的搜索,这个好处是当特征码的位置变换的时候也可以检测到。

但是缺点是相对来说速度慢一点。第二个变化是更多的位置的描述,这个什么意思呢我举了两个,一个是基于格式分析和代码分析,基于格式分析,第一个搞出函数,我可以定义一个导出函数PE3的地方,这是一个位置的描述,这个地方有需要支持我就必须首先做一边PE的格式,这是位置描述的一点。第二点是代码分析,我还是举PE文件,我第三个被调用的函数,偏移三个地方这也是一个位置描述,这个位置描述我们需要怎么样得到?需要进行一次简单的代码分析。所以说这两点都是特征码位置方面的变化和改进。第三点是更灵活的数据改进,这就是大家常听到的广谱特征。

另外还提供了满足更丰富的数据片断描述,这就是传统的技术。这个技术的缺点和优点我们看一下,优点非常明显的,不然的话也不会被应用于这么多年这么多产品当中,它的优点第一个是精确,误报很少,一般情况误报都是由病毒分析源造成的,第二扫描速度快。缺点呢,第一点我们从病毒特征的来源考虑,提取自病毒体,所以说这就导致了一个缺点是滞后与病毒的出现的,只有有了病毒体,病毒样板才可以提取病毒码。第二个抗特征变化性有限,病毒特征码其实是原始数据片断,当这个数据片断变化的时候,或者说位置变化的时候,虽然有以下的改进可以在一定范围内控制变化,但是其实在我们这个互联网病毒时代,其实已经远远不够了。各种各样的代码变形,还有重编译等等等等,都已经导致了特征码检测技术越来越吃力。

下面我给大家讲一下人类社会的特征码技术,为什么讲这个?我想告诉大家,反病毒这个行业和人类社会定罪什么其实是非常接近的,首先看一下人的指纹技术,指纹技术第一步初犯的时候截取指纹,就像我们发现了一个病毒,截获它的样子,然后再犯的时候就可以从指纹库提取指纹,然后对照一下,确定到底是不是 病毒。既然人类社会所运用的技术和我们的反病毒技术如此相近,我们就来看一下人类社会是怎么判罪的,这张图有五个角色我简单的讲一下,首先在最低下可以看到人和监视器,人可以理解为目击证人,作用就是搜集信息,这边是监视器我想大家虽然对公共场所的监视器应该非常熟悉了,连地铁里都有,都可以看到,这两个是最低下的,负责搜集信息。

搜集到信息会提交给警察机构,警察机构做的事情就是录口供,破案的时候要找证据这都是搜集和组织证据的过程,最后警察机构对犯罪嫌疑人提起诉讼,移交到法院,法院根据民法或者刑法来判罪。这个就是一个人类社会判罪定罪的大致过程和简单的模型,可能讲的有不太准的地方,但是大致 过程是这样的这里面最重要的一点就是民法和刑法,就是法怎么样判出来的不是一样的最重要的是法。那么我们就提出一问题,是不是可以给一个程序来判罪呢?答案是肯定的。

那我们要怎么做呢?第一步首先把程序看成一个人,接着就可以制订适用于这些人的法律,必须是适用于这些人的而不是我们人类社会的率,第三监视这些人的动作,第四把这些动作整理归纳、搜集,最后再根据法律,就是刚才适用于这些人的法律来判定这个然到底是好是坏过程非常简单,而且思维的逻辑也非常的简单。

下面我开始对这个行为分析,就是恶意代码检测技术做一个简单的介绍,首先是定义,将一系列已经定义好的恶意行为进行规范,根据规范监视做了什么,然后再根据这个规范判定是好是坏。我想说一下,其实这个技术并不是什么新技术,因为思考的过程非常简单的话,这个过程出现的比较早,我相信今天早上大家听过“云安全”计划的话,我相信大家都应该已经知道,其实瑞星在01年和03年都有出过基于行为的病毒技术产品。另外,行为分析技术是分析专家判定病毒专家经验的应用。

下面我来讲一下行为分析的模型是一个简单的模型,在这里我把整个行为分析分成了三层,一判定层,二组织层,三监控层。这三层都必须工作与恶意行为库这个范畴之内就好象法官判罪警察搜集证据等等都比较在法律框架下。这张图就比较明显一点了,首先我们看到低下一排是程序,把它画成了人的样,离程序最近的是监控层,里面有很多的监控点,再上来一点是组织层,组织层经过了监控层对程序的监视搜集信息,搜集之后要做两点一把相关的程序组成一个团伙,程序的团伙有团伙之后,必须整理出这个团伙做过的哪些事情,记下来,就是犯罪证据,我们可以看到七个程序,经过监控层和组织层之后组成了三个团伙。

最后是判定层,就是法官,他会对这三个团伙分别根据恶意行为库来判定到底什么过错。恶意行为库我们必须把这三层牢牢的控制在恶意行为库的指导下这三层才能正常的工作,我们不需要去组织没有用的数据。既然恶意行为库这么重要,我们就来看一下恶意行为库怎么制订?恶意行为库里面最重要的元素恶意动作和恶意行为,本身是一个病毒分析经验的应用,因为病毒看到最多的是病毒分析,所以说除了病毒分析专家之外,没有再合适的人可以做这个人选了,只有病毒分析专家才能记住这个恶意行为。

药材的种植方法

甜菊种植方法

手工旗袍礼服定做

相关阅读