如何正确分析恶意软件

日期:2017-06-21      来源:TechTarget中国      作者:赵长林      编辑:灵枫      点击:491次

当前,网络安全面对这一个不可否认的事实就是:“道高一尺,魔高一丈”,只要网络安全人员研究出新的防范恶意软件的新防火墙,攻击者就能很快的找到其他的回避或者绕过新型防火墙的办法。

不过好消息是,网络安全厂商已经找到了很多防范恶意软件的办法,这就意味着,即使偶尔有一些方法被曝光在网上,也可以通过其他的手段防范恶意软件对网络的渗透。

如何正确分析恶意软件

我们今天就讨论一下当今可用的恶意软件分析技术是如何使安全团队能够自动应对大多数威胁,又是如何释放安全团队的资源,从而积极地搜寻更高级的威胁。

所有的恶意软件分析技术都依赖于威胁情报数据流来训练算法和模式,所以其性能是伴随着对更真实的数据的访问而改进的。只有具备了关于新威胁手段和媒介、恶意软件家族、恶意脚本、攻击活动的稳定的信息输入,安全系统和团队才能够做出关于防御网络的更明智的决策。如果不能访问大量的威胁情报,网络安全就成了一种猜测游戏,一种必然会出现失败的想法油然而生。

静态分析

静态分析作为恶意软件分析环境中的第一道防线,它涉及到将一个未知的文件分解为其组成部分进行检查,而不必破坏文件。通过静态分析,系统可以判定一个文件是否存在可能表明它是恶意软件的任何潜在标记或模式。静态分析是一种快捷而准确的检测已知恶意软件(占据企业面临的恶意软件的绝大部分)及其变种的方法。

机器学习分析

有些分析系统使静态分析达到了更高水平,增加了对机器学习的支持。机器学习涉及创建一个系统并使其自动化,从而可以将恶意行为分为不同的组或家族。这些组或家族可被用于确认未来的恶意内容,而无需人为地构建匹配模式。如果可疑内容之间的相似性达到足够程度,系统就可以自动地创建一种恶意软件签名,并在整个网络中推送。随着越来越多的恶意软件样本被检查和分类,系统自身减轻攻击的能力也随着时间的推移而增长。在当今商品化的网络攻击中,即使是黑客新手也可以执行攻击,而支持机器学习的分析是安全团队每天必须处理各种威胁警告的最佳方法之一。

动态分析

如果静态分析不能处理可疑文件,就需要通过触发可疑文件,并观察其相应的主机和网络行为,进行更详细地检查。动态分析往往涉及将可疑样本转发到基于虚拟机的环境中,然后在一个受到严格控制的环境中(也称为“沙盒”)激活它,从而可以观察其行为并析取情报。在将可疑样本部署在虚拟机环境中时,有些高级的可感知虚拟机的恶意软件可以检测到虚拟机,所以,我们就需要无遮蔽的主机分析。只有在需要作为基于云的自动系统的一部分时,利用动态分析才能有效地减轻大量人工努力的负担。


如何防范恶意软件的骚扰,请关注OTPUB精品课程《安全准则培训课程

本站所载作品版权归作者及原出处共同所有。凡本网注明“来源:OTPUB”的所有作品、文章,版权均属于本站,转载、摘编或利用其它方式使用上述作品,应注明“来源:OTPUB” 或 “摘自:OTPUB”。

上一篇: Oracle RAC环境下如何保证应... 下一篇: 【直播预告】PostgreSQL技术...