工业落地-阿里云恶意软件检测平台

一、阿里云恶意文件检测平台

Linux沙箱 ｜ 阿里云恶意文件检测平台开放Linux二进制文件检测：https://www.anquanke.com/post/id/276349#10006-weixin-1-52626-6b3bffd01fdde4900130bc5a2751b6d1

1.1 简介

在病毒检测方向，一直以来常见的两种手段就是静态特征检测与动态行为检测。两者各有优势与不足，静态特征检测方案实施成本更低，检出结果也更精准，但是其泛化能力不足，针对具有高级对抗能力的恶意文件显得力不从心，并且天然地处于被动的地位，人力运营成本会更高。

动态行为检测实施成本相对较高，需要有足够的资源，而且检出的结果在一定程度上不如静态检测精准，但是它最大的优势是可以从恶意行为、技术手段的角度识别恶意文件，具有极大的泛化能力。对于需要检测大量恶意文件的安全厂商来说，人工运营所有样本并提取静态特征是不现实的，而沙箱的作用也就显现出来了：在海量的文件中，识别出最值得关注的恶意文件。

1.2 沙箱优势

高性能的环境仿真

云沙箱依托于阿里云神龙架构，在具备高性能的仿真的同时，还支持资源池化和自动化运维的能力。利用自定义的虚拟化技术和定制的沙箱OS内核，对恶意样本使用的反虚拟化的技术具备天然的对抗能力，配合上专门打造的二进制检测探针，可以在安全、高效、仿真的隔离环境中对二进制进行深度的行为分析。

全面的动态行为分析

基于虚拟化构建的沙箱深度分析技术，对进程、文件、网络、敏感系统调用、rootkit、漏洞利用等进行全面监控，配合智能模型规则检测引擎，快速分析出样本潜在的恶意行为。

海量的数据积累

阿里云沙箱服务于阿里云安全云上恶意文件检测，积累了海量样本数据，提炼出大量有独检优势的行为检测规则。

3.3 检测优势

算法模型——覆盖未知威胁

基于阿里云平台海量样本数据和强劲计算能力，采用“机器智能(神经网络)”与“专家智能(行为标签、ATT&CK)”结合的智能安全思想，挖掘海量样本数据中可疑内容信息和行为标签威胁值，构建智能的威胁检测模型发现新威胁。

将专家知识与海量数据结合智能化构建以ATT&CK为核心的多模态特征表示，对样本行为从技术战术度量、敏感信息表征、意图逻辑推理等角度进行多维度刻画、分析，同时依赖机器智能的学习泛化能力、检测模型能覆盖更多的未知，拓展威胁发现边界。

img