Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

如何分析和检测恶意软件?

分析和检测恶意软件

瞻博网络 ATP 云使用管道方法分析和检测恶意软件。如果分析表明文件是绝对恶意软件,则不需要继续管道来进一步检查恶意软件。请参阅 图 1

图 1:用于瞻博网络 ATP 云管道方法的示例 Example Juniper ATP Cloud Pipeline Approach for Analyzing Malware

每种分析技术都创建一个决定编号,并结合创建 1 到 10 之间的最终决定编号。决定数字是分数或威胁级别。数字越高,恶意软件威胁就越高。SRX 系列设备将此决定编号与策略设置进行比较,允许或拒绝会话。如果会话被拒绝,将向客户端发送一个重置数据包,并且从服务器丢弃数据包。

缓存查找

分析文件时,将生成文件哈希,分析结果存储在数据库中。将文件上传到 atP 云瞻博网络时,第一步是检查此文件之前是否已查看。如果有,存储的判定将返回给 SRX 系列设备,无需重新分析文件。除了在 ATP 云瞻博网络扫描的文件之外,还会存储有关常见恶意软件文件的信息,以便提供更快的响应。

缓存查找实时执行。所有其他技术均脱机完成。这意味着,如果缓存查找不会返回结论,文件将发送至客户端系统,而 瞻博网络 ATP 云将继续使用其余管道技术检查文件。如果稍后的分析返回恶意软件结论,将标记文件和主机。

防病毒扫描

防病毒软件的优势是可防御大量潜在威胁,如病毒、木马、蠕虫、间谍软件和 Rootkit。防病毒软件的缺点是始终在恶意软件后面。病毒首当其先,病毒修补也分秒秒。防病毒功能比"零"日威胁更好地保护人们熟悉的威胁和已知恶意软件。

瞻博网络 ATP 云使用多个防病毒软件包(不仅仅是一个)来分析文件。然后将结果馈入机器学习算法中,以克服误报和漏报。

静态分析

静态分析可检查文件,而不实际运行这些文件。基本静态分析简单快捷,通常在 30 秒左右。以下是静态分析检测区域的示例:

  • 元数据信息 — 文件的名称、此文件的供应商或创建者,以及该文件编译的原始数据。

  • 使用的说明类别 - 文件是否修改 Windows 注册表?是否接触磁盘 I/O API?。

  • 文件平均信息量 - 文件有多随机?恶意软件的常见技术是加密代码部分,然后在运行时解密。大量加密都表明此文件是恶意软件。

静态分析输出馈入机器学习算法以提高判定准确性。

动态分析

检查文件的大部分时间都是用于动态分析。使用动态分析 (通常称为沙盒)时,将研究文件在安全环境中执行。在此分析过程中,通常在虚拟机中设置操作系统环境,并开始监控所有活动的工具。该文件将上传到此环境,允许运行几分钟。分配的时间后,将下载活动记录,并传递至机器学习算法以生成结论。

由于沙盒环境缺乏人类交互,例如鼠标移动,复杂的恶意软件可以检测到沙盒环境。瞻博网络 ATP 云采用多种诱骗技术哄骗恶意软件确定这是真正的用户环境。例如,瞻博网络 ATP 云可以:

  • 生成实际的用户交互模式,如鼠标移动、模拟击键、安装和启动常见软件包。

  • 在客户端创建伪高价值目标,例如存储的凭据、用户文件和具有 Internet 访问的现实网络。

  • 在操作系统内创建脆弱区域。

欺骗技术本身可大幅提升检测率,同时减少误报。它们还可以提高文件运行的沙盒的检测率,因为它们让恶意软件执行更多活动。文件运行得越多,获得的数据就更多来检测它是恶意软件。

机器学习算法

瞻博网络 ATP 云使用自己的专有机器学习实施来辅助分析。机器学习识别模式并关联信息,以改进文件分析。机器学习算法可编程成千上万个恶意软件样例和数千个软件样例的功能。它了解恶意软件的外在情况,并定期重新编程,以随着威胁的发展而更加智能。

威胁级别

瞻博网络 ATP 云分配的编号为 0-10,用于指示扫描出恶意软件的威胁级别和受感染主机的威胁级别。请参阅 表 1

表 1:威胁级别定义

威胁级别

定义

0

清洁;无需操作。

1 - 3

低威胁级别。

4 - 6

中等威胁级别。

7 -10

高威胁级别。

有关威胁级别的信息,请参阅 瞻博网络 ATP 云 Web UI 在线帮助 。

发 牌

瞻博网络 ATP 云具有三个服务级别:免费、基本(仅源)和 Premium。免费版本无需许可证,但是您必须获得基本和高级级别的许可证。

要了解 ATP 云瞻博网络,请参阅 云瞻博网络 高级威胁防御 (ATP) 许可证。有关许可 管理的常规 信息,请参阅 许可指南 。有关更多详细信息,请参阅产品产品介绍,或联系瞻博网络客户团队或瞻博网络合作伙伴。