课程介绍
伴随着互联网时代的高速发展,人们无论是在日常生活中还是在工作学习上,已经逐渐无法离开计算机的使用。然而,互联网一方面给社会生活与工作带来诸多便捷性的同时,它同样也引发了不少的安全风险与隐患。
在当今社会环境里,恶意软件的制作过程由于打包化而变得越来越容易,导致大量不同种类的恶意软件随之而生产出来,大量变体也开始产生。因此,传统的检测方式在愈发糟糕的大环境下表变得力不从心。
传统的恶意软件检测技术主要是通过对恶意软件本身特征码匹配的方法进行(非网络行为),但是该技术仍存在三大问题:
1.随着恶意软件的种类增多,检索时间会变得越来越长,其会对所知恶意软件的特征码一一进行比对,其检测所需的时间开销会变得非常大。
2.由于其检测方式是基于特征码的,因此其不可能检测到多态的恶意软件。
3.传统检测软件无法对付隐蔽性恶意软件。如果恶意软件先于该检测系统入驻内存,那么该隐蔽性恶意软件就能先于检测工具,将该特征码除去,从而导致检测软件的功能无法使用。
由于传统检测技术仍存在诸多局限之处,为了解决当前恶意软件泛滥的现象,我们迫切地需要一种新型的方法去着力解决该问题,网络流量的行为特征就是一个非常利于检测的方式。如今绝大多数的恶意软件都存在网络流量,即通过网络通信来接受命令,执行恶意的活动,再将所需信息回送等。因此,网络流量的行为特征被网络管理人员广泛应用于检测其网络中受感染的主机,以及用于识别远程恶意服务器的入侵行为。除此以外,还有另一大优点,它不需要在每台终端机上运行,而是仅仅需要在一个重要的网络节点上部署即可。
目录
1 : 绪论
1: 病毒样本(仅作实验使用,传播病毒是违法行为).zip
2 : 沙箱环境搭建及样本检测
3 : 主控端环境搭建
4 : 被控端环境搭建
5 : 特定入侵规则生成
6 : 通用入侵规则生成
7 : 实验结论和展望 |