幻象汽畴、虛幻與曇花

? ? 免疫桃漾。狹義的計算機病毒免疫技術(shù)：是指通過建立某些病毒的特性祥山，阻斷病毒執(zhí)行葱蝗。廣義的計算機病毒免疫技術(shù)：一種在病毒運行或者發(fā)作的入口穴张，使病毒無法執(zhí)行或者失能的技術(shù)。借鑒自生物學和醫(yī)學“免疫”的概念两曼。有廣義和狹義之分皂甘。

? ? 狹義的免疫：單點對抗性；臨時性悼凑；第三方性偿枕。

? ? 補丁的時代與無奈。第一波蠕蟲攻防最終成為補丁速度攻防之戰(zhàn)佛析；預裝版問題益老；體系是王道。

? ? 廣義的免疫寸莫。一種造成病毒失能的技術(shù)的統(tǒng)稱捺萌；VSAFE證明了通用免疫觀的可笑；DIR-II穿透防毒卡膘茎；在商用產(chǎn)品出現(xiàn)之后桃纯，查殺歸一化。

引擎與歸一化

? ? 反病毒引擎披坏。依賴于對應的可維護的數(shù)據(jù)結(jié)構(gòu)态坦，對待監(jiān)測對象進行病毒檢測和處理的一組程序模塊的統(tǒng)稱。病毒庫棒拂，反病毒引擎所依賴的可維護數(shù)據(jù)結(jié)構(gòu)的文件載體伞梯。

? ? 包裹，ARJ帚屉、ZIP谜诫、HA。編碼攻旦，QP喻旷、Base64。殼牢屋，PKLITE且预、WWWPack槽袄。

? ? 傳統(tǒng)引擎和云引擎。云的背景锋谐；全HASH云和特征云遍尺；感染式與變形問題。

實時監(jiān)控怀估、主動防御與模型完善

? ? 主機主動防御技術(shù)是指通過攔截或者過濾程序?qū)ο到y(tǒng)調(diào)用來判斷程序的行為是否具有危險性的一種技術(shù)狮鸭。它具有如下特點：運行時動態(tài)防御；具有較高的系統(tǒng)權(quán)限多搀；具有一定普遍適用性可以防御新威脅歧蕉；規(guī)則簡單且無需頻繁更新；其是從原有的反病毒產(chǎn)品的實時監(jiān)控能力中產(chǎn)生的康铭。

? ? 早起的實時監(jiān)控-TSR防護的實現(xiàn)惯退。通過截獲DOS中斷完成監(jiān)視；修改INT13H的中斷向量指向自身已駐留于內(nèi)存中的鉤子代碼以便隨時攔截所有對磁盤的操作从藤。

? ? NT監(jiān)視催跪。AD應用程序行為監(jiān)視；RD注冊表監(jiān)視；FD文件監(jiān)視。

? ? 現(xiàn)代主動防御技術(shù)主要是通過在應用程序進入到內(nèi)核過程中進行攔截兴使，這就相當于在應用層和內(nèi)核的通道建設立了一個“關(guān)卡”，它對任何可疑的調(diào)用都會進行判斷骑丸。

網(wǎng)絡監(jiān)測-另一個空間和戰(zhàn)場

? ? 蠕蟲的關(guān)鍵詞。介質(zhì)+弱點=通道妒貌。文件+通道=傳播通危。

? ? 直路與旁路之爭。趨勢專利開啟直路灌曙；安天VDS開始旁路路線菊碟；UTM開啟直路的改造；直路在刺、旁路路線沖突的爆發(fā)逆害；各自的反思。

? ? 蠕蟲時代蚣驼。威脅集體特點忍燥，蠕蟲、僵尸網(wǎng)絡隙姿、DDoS。前提假定厂捞，擴散输玷、重復队丝、分布、檢測點欲鹏。方法關(guān)鍵詞机久。方法，實時監(jiān)測赔嚎；評價膘盖，偏重統(tǒng)計；處置尤误，（載荷）源定位與處置侠畔。

后臺-冰山的主體在水面之下

? ? 木馬的關(guān)鍵詞：行為+方法=后果。

? ? 后臺發(fā)展過程损晤。手工作業(yè)階段->C/S管理階段與規(guī)則的自動化提取階段->人工任務流水線->海量自動化分析流水線软棺。

? ? 對文件特診提取問題分類。獨立文件樣本：正常編譯的可執(zhí)行程序尤勋；加殼的可執(zhí)行程序喘落；腳本文件。感染式樣本：PE和其他可執(zhí)行格式感染樣本最冰；腳本感染樣本瘦棋。

? ? 特征自動挖掘。在符合A范式的部分進行自動挖掘暖哨。分段自動挖掘赌朋，以8個字節(jié)的某一合理公倍數(shù)為分段，但最大不超過32鹿蜀，如果不能切斷某一指令箕慧，則向兩端補償。按照三度空間發(fā)計算權(quán)值茴恰。以n個連續(xù)值加合的高點為準颠焦，如果過于平滑，則n-1往枣，直到n=1伐庭。

? ? 人工需要完成的工作。無法自動定性文件的判定分冈；特征提取失敗或者規(guī)則沖突的圾另；清除腳本和模塊的便攜。

? ? 不可形式化的經(jīng)驗與歷史的錯誤雕沉。部分AVER沒有預料到計算能力的快速增長和虛擬化的成熟集乔；AVER團隊規(guī)模較小，經(jīng)濟能力有限坡椒；認為一些經(jīng)驗不可形式化扰路。

? ? 自動流水線工序處理尤溜。將整個處理過程視為流水線；將樣本的WAR全部屬性視為一個樣本的“屬性域”汗唱；在整個流水線流轉(zhuǎn)中宫莱，將有關(guān)WAR的屬性域全部填充；每個樣本文件有一個AVML文件伴生流轉(zhuǎn)哩罪；AVML范例授霸。

捕獲與感知

? ? 什么是蜜罐。蜜罐是一種安全資源际插，其價值在于被掃描碘耳、攻擊和攻陷。

? ? 蜜罐與蠕蟲捕獲腹鹉。蜜罐與反病毒領域的結(jié)合趨勢始于2002年藏畅，成熟于2004年功咒。與傳統(tǒng)蜜罐誘捕與遲滯攻擊的作用不同，用于蠕蟲捕獲的蜜罐完全以獲得蠕蟲樣本為目的力奋。用于蠕蟲捕獲的蜜罐系統(tǒng)主要針對獲取系統(tǒng)控制權(quán)且主動傳播的掃描溢出/口令猜測型蠕蟲樣本，使這些蠕蟲掃描到蜜罐節(jié)點的時候景殷，其樣本文件或其他載體形態(tài)被獲取溅呢。

? ? 糖人的思路。實體系統(tǒng)/載體：網(wǎng)絡行為記錄咐旧，發(fā)送捕獲結(jié)果绩蜻；主機保護系統(tǒng)铣墨；橋接；虛擬系統(tǒng)：IM/P2P接收文件办绝，P2P便利探測伊约，聊天bot，URL探測屡律，監(jiān)控文件變化降淮，監(jiān)控注冊表變化，監(jiān)控內(nèi)存變化，過濾已有樣本窍蓝，出入控制繁成。

? ? 沒落，終端就是最好的蜜罐巾腕。蜜網(wǎng)新的青春：威脅泛化絮蒿；嵌入式設備；云佛寿。

反病毒體系自身的安全性問題

? ? 正面之敵但壮。Rootkit，無法獲取蜡饵，無法檢測。反制殺軟肢专。關(guān)閉殺軟進程焦辅；IFEO映像劫持；停止反病毒軟件的服務筷登；窗口發(fā)關(guān)閉消息剃根；卸載殺軟進程中關(guān)鍵模塊仆抵。

? ? 背面之敵——非執(zhí)行對抗镣丑。。對引擎和庫的威脅莺匠；對產(chǎn)品的威脅；對體系的威脅摇庙。

? ? 引擎威脅的焦點——格式解析和預處理。PE解析宵呛；包裹解析夕凝；URL解析；其他格式解析码秉。

? ? PE格式解析转砖。惡意構(gòu)造的PE格式；加殼的PE府蔗，很多殼修改了PE文件一般的編譯格式；被其它殺軟清理的PE格式糖荒，被殺毒軟件清除掉的部分PE文件由于清除了部分文件體模捂，沒有修改對應的PE頭，導致PE結(jié)構(gòu)與正常的PE文件不同综看。

? ? PE文件頭格式解析漏洞岖食。ClamAV引擎整數(shù)溢出繼而堆溢出導致反病毒DOS；BitDefender?AntiVirus引擎掃描特定構(gòu)造的ASProtect殼格式整數(shù)溢出析珊；Kaspersky?Anti-Virus 6.0解析PE中的特殊的NumberOfRvaAndSize數(shù)據(jù)目錄值崩潰蔑穴。

? ? 包裹解析——包裹格式溢出。Kaspersky復制特定ARJ包裹該格式數(shù)據(jù)堆溢出可能導致惡意代碼執(zhí)行奕剃；Symantec的Decomposer掃描畸形格式的RAR文檔棧溢出導致拒絕服務或執(zhí)行任意指令；Kaspersky引擎解析已破壞的CHM文件發(fā)生堆溢出導致遠程攻擊者以殺毒軟件進程的權(quán)限執(zhí)行任意代碼纵朋；CA引擎解析構(gòu)造CAB文件導致棧溢出操软。

? ? 產(chǎn)品的威脅。跑飛聂薪，權(quán)力濫用胆建，提權(quán)肘交，遠程操作，掛馬涯呻。

? ? 基礎設施攻擊复罐。誤報構(gòu)造攻擊，DDoS攻擊VirusTotal服務效诅。

挑戰(zhàn)與新思路

? ? APT⊙柿“APT”一詞最初起源于2005-2006年間在空軍工作的網(wǎng)絡安全工程師們對一些安全事件的描述戚炫，他們創(chuàng)造了這個詞以使公眾不對此類安全事件小題大做。

? ? 戰(zhàn)略性背景導向施掏。不基于特征的未知威脅檢測：惡意代碼茅糜；0day漏洞利用，shellcode抖苦、多種格式文件。背景：2013美國國防預算法案932.b：為了克服當前面臨的問題和局限性贮庞，（下一代網(wǎng)絡安全）系統(tǒng)不應依賴于：已知特征機制究西；需要經(jīng)常更新的特征機制；需要以數(shù)據(jù)庫形式存儲下來的特征機制遮斥。

? ? 基于虛擬執(zhí)行的網(wǎng)絡側(cè)未知檢測扇丛。典型代表：FireEye；在網(wǎng)絡設備中對流量數(shù)據(jù)中異常代碼或文件作沙箱虛擬執(zhí)行较屿，并對內(nèi)存做污點分析卓练，發(fā)現(xiàn)已知和未知的問題。

? ? FireEye方案嘱么。MPS引擎顽悼；支持web、郵件拴测、文件共享等多種來源數(shù)據(jù)府蛇；專門的MPS硬件運行不同來源數(shù)據(jù)；除可執(zhí)行文件外务荆，支持20多種其他文件格式穷遂；實時學習惡意代碼C&C特征并阻斷。

? ? 基于白名單的終端防護蚪黑。在終端、服務器中抒寂，只允許受信的白名單軟件運行。典型代表：Bit9郊愧【樱基于策略定義軟件的可信性，包括軟件開發(fā)者和軟件分發(fā)渠道制定焦蘑；安全云盒发，提供軟件可信度評價服務；實時檢測審計，監(jiān)測明吩、防范殷费、事后審計。

? ? Bit9方案遇到的一個問題仍律。2013年2月实柠，Bit9代碼簽名證書被盜；至少3家客戶發(fā)現(xiàn)了由被盜證書簽名的惡意代碼草则；它們將被Bit9系統(tǒng)認為是可信的軟件而可以執(zhí)行蟹漓。

? ? 基于IDS的通信發(fā)現(xiàn)識別。針對APT中的C&C通信份殿；基于格式、特征卿嘲、模式等腔寡，識別流量并予以阻斷；代表：趨勢科技Deep?Discovery忿磅。IDS引擎Inspector凭语，基于全球威脅情報信息檢測C&C通道；惡意代碼沙箱和分析引擎吨些；全球各個Inspector之間共享情報炒辉。

? ? 日志數(shù)據(jù)聚合分析和事件重構(gòu)。采集海量數(shù)據(jù)：終端偶器、服務器的各類運行日志和運行數(shù)據(jù)缝裤；網(wǎng)絡設備原始流量和數(shù)據(jù)；外部威脅情報信息霎苗。集中分析和關(guān)聯(lián)挖掘榛做，發(fā)現(xiàn)APT攻擊并還原攻擊場景和過程检眯。典型代表：RSA?NetWitness轰传、Solera获茬。

? ? 產(chǎn)品整合——威脅情報倔既。多階段信息融合渤涌，更有效的APT發(fā)現(xiàn)把还；實時防御和處置問題；多種方案的合作安皱。