基于签名与基于行为的恶意软件检测
signature based vs behaviour-based malware detection
我理解两者的区别如下:
- 在第一个“基于签名的”中,恶意软件的代码将是
检查以提取某种识别恶意软件的签名
类似的代码..签名因此可以是二进制序列或哈希
..等等
- 在基于行为的恶意软件检测中实际的可执行文件
将 运行 检查其行为而不是其代码,然后
可以使用多种技术,例如统计、机器学习等
对这些定义不确定的一件事是我在一些论文中读到 as this one that 'dynamic analysis' can be used along with signature-based systems too ! is there any example for that .. will searching for a specific registry changes 'e.g. adding an executable to the autorun' will be considered as a signature-based detection system or behaviour-based detection system then ? an example is this 它可以归入哪一类?
签名是一组信息,用作给定实体的身份证明。
无论是文件的内容还是文件的行为都没有关系。
例如,给定示例从给定 URL 下载二进制文件、更改某些 Windows 注册表项并启动具有给定名称的进程这一事实可能被用作行为签名检测来自给定系列的恶意软件。
此外,您可以在样本执行期间提取工件,这可以轻松地作为传统扫描引擎的输入。例如,您可以转储内存并扫描它以查找识别恶意进程的某些字符串。网络传输捕获或磁盘可以应用相同的技术。
我理解两者的区别如下:
- 在第一个“基于签名的”中,恶意软件的代码将是 检查以提取某种识别恶意软件的签名 类似的代码..签名因此可以是二进制序列或哈希 ..等等
- 在基于行为的恶意软件检测中实际的可执行文件 将 运行 检查其行为而不是其代码,然后 可以使用多种技术,例如统计、机器学习等
对这些定义不确定的一件事是我在一些论文中读到 as this one that 'dynamic analysis' can be used along with signature-based systems too ! is there any example for that .. will searching for a specific registry changes 'e.g. adding an executable to the autorun' will be considered as a signature-based detection system or behaviour-based detection system then ? an example is this 它可以归入哪一类?
签名是一组信息,用作给定实体的身份证明。
无论是文件的内容还是文件的行为都没有关系。
例如,给定示例从给定 URL 下载二进制文件、更改某些 Windows 注册表项并启动具有给定名称的进程这一事实可能被用作行为签名检测来自给定系列的恶意软件。
此外,您可以在样本执行期间提取工件,这可以轻松地作为传统扫描引擎的输入。例如,您可以转储内存并扫描它以查找识别恶意进程的某些字符串。网络传输捕获或磁盘可以应用相同的技术。