《AV(反病毒)技术的演进》AV方法论的改善和修正部分学习笔记
AV辯證法
?反病毒絕不是簡單的技術對抗,整個AV體制,包含著很多邏輯的、法理的因素。以及工程規劃的因素,有很多共性的基本原則。客觀來說,這些共性原則首先被從實踐中總結形成,回頭來又指導著反病毒引擎乃至反病毒工具的設計。
?部分原則:
1·計算機病毒歸根到底是一種程序
2·計算機病毒的特征碼是從程序體或程序體的某種處理結果上,選取的可以唯一確定計算機病毒類別的標識。
3·計算機病毒最根本的判據應該是程序特征碼或其他的內容相關特性。
4·有害或主觀有害是一個文件被提取特征加入病毒特征庫的唯一原因。
5·計算機病毒的有害,是指程序包含這用戶所不期待的對信息系統的影響。
6·一個確定的程序是否應該被反病毒軟件檢測,是基于明確的標準 。
7·反病毒軟件的工作目的是保證系統數據安全和系統正常運行,反病毒操作不應該相反的結果。
8·計算機病毒的清除過程是感染的逆過程
9·用戶對反病毒產品擁有的權利
定義權:反病毒軟件可以默認的設置,但用戶具有定義進行何種模式的檢測以及是否清除的權利。
知情權:用戶有權知道反病毒軟件在系統中做過什么
備份權:反病毒工具應該提供用戶對帶毒文件備份的手段
10·應識別包裹中的病毒,在具有算法授權的情況下,可以清除包裹中的病毒,但不是刪除包裹本身。
11·病毒監控的基本模式應該以阻止帶毒文件運行(獲得系統控制權)為目的(前報原則)。
AVER工作方法的變遷
| 病毒時代 | 完整性焦慮(破壞原有程序的完整性 良性病毒居多) | 人工分析 還原PE 消除為主 |
| 蠕蟲時: | 及時性焦慮(蠕蟲大面積快速擴散) | 發現 遏制為主 |
| 木馬時代 | 數量焦慮(木馬產生特別多) | 自動分析(快速辨識) 主動防御 |
| APT時代 | 后果焦慮(APT潛伏時間長 極少有在未發作之前被發現 用戶對具體做過什么 已經損失了什么 還能產生什么危害感到焦慮) | 深度分析 回溯評估 大數據關聯 |
驅動力:威脅拉動;安全工作者創新;用戶需求拉動
方法論的調整是因為威脅在變化 ,傳統AV的逐漸壯大是建立在成熟體系和龐大資源的支撐之下,其在前置經驗、團隊規模、計算能力方面都優于單一的攻方(VXER 病毒作者 一般的黑產團伙),是過去模型的前提假定。其以檢測查殺攻方散布物為基本目的,通過技術手段提升了攻方的成本(特別是二次散播的成本),并針對所捕獲的樣本,比攻方付出更小的資源成本和更短時間代價,完成分析判定。但這些前提假定在APT時代發生了改變。
方法思考:歸一化 *emsp;歸一化是傳統反病毒技術的精華和最重要的思想,而病毒反病毒對抗的核心也是圍繞這歸一化的穿透與反穿透展開的。
對規則的穿透 (免殺)
對分支的穿透(多態)
對鏈條的穿透(Rootkit)
方法思考:關于歸一化的對抗 ?1·一個堅硬的小內核 ?2·不再是核心環節而是必備能力 ?3·逐漸變為促使方法和成本的收斂;威脅一定會進入,傳統反病毒引擎負責知識供應 以識別和應對海量威脅
方法思考:黑名單和白名單 ?黑名單(起點)負責檢測 +白名單負責反誤報——>云鑒定(信譽階段)
從誤用檢測,到信譽鑒定到安全基線,AV的整體辨識中心正在發生變化。PE格式本身可以帶簽名域有可以被檢驗的白名單信任基礎。在不同的背景下有不同的白名單黑名單選擇方式,產品存在于對應的環境下
異常檢測 基于其具有流量和拓撲層面的顯著影響
誤用檢測 基于在載荷分析并提取后,載荷依然被重放
時空思考:傳統的后向性 特征提取——>產品生效 ?缺少對第一個遭遇此威脅用戶的防護
通過對可疑程序相關聯的網絡通訊信息進行長效緩存,提供前向追溯能力
時代計劃:全流量緩存(3天)——元數據(90天)——有價值數據/加密數據(永久)
威脅高峰在補丁日前后,通過補丁分析形成poc直至Exploit進行利用,攻防價值極大。
時空思考:實時還是異步 傳統引擎長期面對檢測效率和檢測效力的糾結
| CPU的增長 | 規則的膨脹 |
| 內存能力的增長 | 分支的增多 |
| 多核架構的發展 | 解析粒度的不斷深入 |
與沙箱結合,其本質可以定性是個異步過程,但也可以通過回饋給實時環節C&C Server List和 URL規則的方式,改善了響應能力。
能力鏈構成環,對第一波攻擊容忍。
時空思考:部署位置 在有限個節點部署的情況下實現感知的前提:蠕蟲是無限制擴散的,蠕蟲本身是可以感知的。
資產思考:公有與私有 傳統AV產品是一種資產,但其是同時具有下列特點:
1·依賴于后端的支撐能力,脫離后端后,迅速貶值
2·支撐能力是安全保障,但也帶來泄密風險
3·只是是完全為廠商所有的,且是黑箱化
4·自身不會增加用戶的計算、存儲、傳輸能力,相反可能會消耗用戶的相應能力。
沙箱與流量設備的結合、安全基線,反映了手段前置化,知識個性化的趨勢。
本身將原有廠商能力轉化為用戶個體能力,將廠商黑箱轉化為用戶白箱。
從資產觀看,這是用戶安全資產模式的變化,其將原有廠商獨占的安全資源和手段,變成用戶安全資產的一部分,同時降低了在不依賴廠商支持的情況下的資產貶值速度。
APT時代,原有的AV基本方法、時空觀、和資產觀都在發生變化、這種變化將深遠的影響到整個安全的未來,以及應用的未來。
總結
以上是生活随笔為你收集整理的《AV(反病毒)技术的演进》AV方法论的改善和修正部分学习笔记的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 能ping通不能上网,可以用手机拨号上网
- 下一篇: 2008 第二届中国软件技术英雄会归来感