工业落地-阿里云恶意软件检测平台
一、阿里云恶意文件检测平台
Linux沙箱 | 阿里云恶意文件检测平台开放Linux二进制文件检测:https://www.anquanke.com/post/id/276349#10006-weixin-1-52626-6b3bffd01fdde4900130bc5a2751b6d1
1.1 简介
在病毒检测方向,一直以来常见的两种手段就是静态特征检测与动态行为检测。两者各有优势与不足,静态特征检测方案实施成本更低,检出结果也更精准,但是其泛化能力不足,针对具有高级对抗能力的恶意文件显得力不从心,并且天然地处于被动的地位,人力运营成本会更高。
动态行为检测实施成本相对较高,需要有足够的资源,而且检出的结果在一定程度上不如静态检测精准,但是它最大的优势是可以从恶意行为、技术手段的角度识别恶意文件,具有极大的泛化能力。对于需要检测大量恶意文件的安全厂商来说,人工运营所有样本并提取静态特征是不现实的,而沙箱的作用也就显现出来了:在海量的文件中,识别出最值得关注的恶意文件。
1.2 沙箱优势
高性能的环境仿真
云沙箱依托于阿里云神龙架构,在具备高性能的仿真的同时,还支持资源池化和自动化运维的能力。利用自定义的虚拟化技术和定制的沙箱OS内核,对恶意样本使用的反虚拟化的技术具备天然的对抗能力,配合上专门打造的二进制检测探针,可以在安全、高效、仿真的隔离环境中对二进制进行深度的行为分析。
全面的动态行为分析
基于虚拟化构建的沙箱深度分析技术,对进程、文件、网络、敏感系统调用、rootkit、漏洞利用等进行全面监控,配合智能模型规则检测引擎,快速分析出样本潜在的恶意行为。
海量的数据积累
阿里云沙箱服务于阿里云安全云上恶意文件检测,积累了海量样本数据,提炼出大量有独检优势的行为检测规则。
3.3 检测优势
算法模型——覆盖未知威胁
基于阿里云平台海量样本数据和强劲计算能力,采用“机器智能(神经网络)”与“专家智能(行为标签、ATT&CK)”结合的智能安全思想,挖掘海量样本数据中可疑内容信息和行为标签威胁值,构建智能的威胁检测模型发现新威胁。
将专家知识与海量数据结合智能化构建以ATT&CK为核心的多模态特征表示,对样本行为从技术战术度量、敏感信息表征、意图逻辑推理等角度进行多维度刻画、分析,同时依赖机器智能的学习泛化能力、检测模型能覆盖更多的未知,拓展威胁发现边界。