办事指南

映射恶意软件的基因组以对抗未来的攻击

点击量:   时间:2017-06-01 16:28:00

作者:吉姆吉尔斯编辑:“揭开网络破坏者的面纱,无论他们每年出现什么样的计算机蠕虫出现在互联网上,每一个看起来都比上一个更大,更糟糕(见图表)虽然它们似乎无处不在,但每一个新的恶意软件都有其历史消除家庭相似性可以更快地响应未来的威胁 “我们的愿景是建立一个世界恶意软件数据库,人们可以用它来分享见解,”来自弗吉尼亚州费尔法克斯的Invincea实验室的Josh Saxe说他的公司的计划基于一种新的恶意软件分类方法,黑客用来窃取密码,发送垃圾邮件和进行其他邪恶活动的程序我们的愿景是建立一个世界恶意软件数据库,重点关注它的行为方式恶意软件以惊人的速度生成,安全专家已经拥有自动化系统来对新菌株进行分类但他们的许多计划都是基于恶意软件代码的分析,而黑客通常可以伪装新方法的重点是恶意软件本身的行为 Saxe及其同事在2011年2月至2012年6月期间收集的超过100,000个恶意软件样本中测试了他们的想法该团队运行每一件恶意软件并记录软件与其运行的机器之间的通信该通信由“调用”组成,例如读取特定文件内容的请求个别菌株通常会产生数以万计的此类呼叫在观察了许多菌株的行为后,Saxe及其同事能够将通信数据分解为包含在不同样本中重复发生的特定呼叫序列的块这些块是恶意软件作者重用旧版本代码的结果该团队使用这些块来对菌株进行分类,并将它们分组为Saxe所谓的“恶意软件系列”他上个月在内华达州太浩湖的神经信息处理系统会议上展示了他的作品分析师将能够使用此恶意软件系列目录来共享有关新威胁的信息这样的工具可能非常有用,因为安全社区中发生的大部分协作都是临时的研究小组有时会联合起来应对新的威胁,但对新出现的菌株的详细分析往往是并行和独立的 Invincea系统提供了另一种选择分析人员可以在序列调用块上附加注释,如果新应变产生相同的块,则会弹出这些注释这应该允许其他人更快地掌握应变西雅图IOActive首席技术官Gunter Ollmann表示,分析师还应该能够可视化恶意软件系列,这有助于确定新菌株的祖先和作者但他提醒说,分析师的设置之间的技术差异可能会阻碍这种分享 Invincea项目是由美国国防高级研究计划局运营的网络基因组计划资助的几个项目之一结果,其中许多尚未公开,将用于保护国防部运行的计算机网络 “我们试图让人们对分析内容做出更明智的选择,以避免重复,”萨克斯说 “我们正在努力提高分析师的效率”更多关于这些主题: