1.恶意软件的基本检测方法
一个有效的,强大的和可扩展的恶意软件识别模块是每个网络安全产品的关键组成部分。基于预执行和执行后两阶段收集的数据,恶意软件识别模块来决定一个对象是否是一个威胁。
预执行阶段的数据:一个文件在执行前可获得所有数据。这可以包括可执行文件格式描述、代码描述、二进制数据统计、通过代码仿真提取文本字符串和信息机其他相似数据。(静态信息)
执行后阶段的数据:在系统中进程活动引起的行为或事件。(动态信息)
在网络时代的早期时代,恶意软件威胁的数量相对较低,简单的手工预执行规则通常是足够的检测威胁。但是自从十多年前,恶意软件数量的迅速增长使得反恶意软件解决方案不能完全依赖昂贵的手工所创建的检测规则。
机器学习在图像识别、搜索和决策方面取得了巨大的成功。安全公司也将机器学习方法应用于恶意软件的检测和分类。今天,机器学习使用多种数据包括主机数据,网络和基于云的反恶意软件组件来提高恶意软件的检测能力。