目录
Cybersecurity

为什么需要静态分析、动态分析和机器学习?

目录

安全领域的点解决方案就是这样:在整个 攻击生命周期中,它们专注于单点干预。即使安全解决方案的成功率高达 90%,但仍有十分之一的几率无法阻止攻击继续发展。要提高阻止成功网络攻击的几率,组织不能依赖点解决方案。必须层层设防,覆盖多个拦截点。堆栈有效的技术可以提高安全解决方案的整体有效性,提供在多个点上打破攻击生命周期的机会。

相关视频

为什么机器学习对发现和保护 IoT 设备至关重要?

以下是三种威胁识别方法,它们相互配合,可以预防网络攻击的成功:

 

动态分析

唯一能检测零日威胁的工具

通过动态分析,在虚拟机(如恶意软件分析环境)中引爆可疑文件,并对其进行分析,以了解其作用。文件的分级取决于其执行时的作用,而不是依靠签名来识别威胁。这使得动态分析能够识别出前所未有的威胁。

为了获得最准确的结果,样本应能完全访问互联网,就像企业网络上的普通端点一样,因为威胁往往需要命令和控制才能完全解开自身的束缚。作为一种预防机制,恶意软件分析可以禁止接触互联网,并会伪造响应电话,试图诱使威胁暴露自己,但这可能并不可靠,并不能真正取代互联网访问。

恶意软件分析环境可识别,过程耗时长

为了逃避检测,攻击者会试图通过剖析网络来识别攻击是否在恶意软件分析环境中运行。他们会搜索恶意软件处于虚拟环境中的迹象,如在类似时间或由相同的 IP 地址引爆、缺乏有效的用户活动(如键盘敲击或鼠标移动)或虚拟化技术(如异常大的磁盘空间)。如果确定是在恶意软件分析环境中运行,攻击者将停止运行攻击。这意味着分析结果很容易受到任何故障的影响。例如,如果样本在引爆过程中打电话回家,但由于攻击者识别出恶意软件分析而导致操作瘫痪,那么样本不会做任何恶意行为,分析也不会识别出任何威胁。同样,如果威胁要求特定软件的特定版本才能运行,那么它在恶意软件分析环境中就不会做出任何可识别的恶意行为。

调出虚拟机、将文件放入虚拟机、查看虚拟机的运行情况、关闭虚拟机并分析结果可能需要几分钟的时间。虽然动态分析是最昂贵、最耗时的方法,但它也是唯一能有效检测未知威胁或零时差威胁的工具。

 

 

静态分析

迅速取得成果,不要求进行分析

与动态分析不同,静态分析查看的是特定文件在磁盘上存在时的内容,而不是文件被引爆时的内容。它对数据进行解析,提取模式、属性和工件,并标记异常。

静态分析可以抵御动态分析带来的问题。它的效率极高,只需几分之一秒,而且成本效益更高。静态分析也可以适用于任何文件,因为没有特定的要求,不需要定制环境,也不需要从文件中传出通信来进行分析。

打包文件导致可见性丢失

不过,如果文件是打包的,静态分析就相对容易规避。虽然打包文件在动态分析中运行良好,但在静态分析中,由于重新打包样本会将整个文件变成噪音,因此实际文件的可视性就会丧失。能静态提取的东西几乎为零。

 

 

机器学习

根据行为将新版本的威胁与已知威胁聚类

机器学习不是进行特定的模式匹配或引爆文件,而是解析文件并提取成千上万的特征。这些特征通过分类器(也称为特征向量)运行,以根据已知标识符识别文件的好坏。如果文件的某个特征与之前评估过的任何文件集群的特征相似,机器就会将该文件标记为文件集群的一部分,而不是寻找特定的文件。要想实现良好的机器学习,需要训练好的判决集和坏的判决集,增加新的数据或特征将改善这一过程,降低误判率。

机器学习弥补了动态分析和静态分析的不足。惰性样本、未引爆样本、被包装器瘫痪样本、指挥和控制失灵样本或不可靠样本仍可通过机器学习识别为恶意样本。如果某个威胁的众多版本被发现并聚集在一起,而某个样本具有类似于该集群中的特征,那么机器就会认为该样本属于该集群,并在几秒钟内将其标记为恶意样本。

 

只能发现更多已知信息

与其他两种方法一样,机器学习也应被视为一种工具,它有很多优点,但也有一些缺点。也就是说,机器学习只根据已知标识符来训练模型。与动态分析不同,机器学习永远不会发现真正原创或未知的东西。如果它遇到的威胁与它以前见过的任何东西都不一样,机器就不会将其标记出来,因为它只是被训练去发现更多已知的东西。

平台中的分层技术

要挫败对手的任何进攻,你需要的不仅仅是一块拼图。你需要分层技术--这个概念过去是多供应商解决方案。虽然纵深防御仍然合适且具有现实意义,但它需要超越多供应商点解决方案,发展成为一个集成静态分析、动态分析和机器学习的平台。三者协同工作,通过层层集成的解决方案,可以实现纵深防御。

 

Palo Alto Networks Next-Generation Security Platform 与 WildFire® 基于云的威胁分析服务集成,为组件提供上下文、可操作的威胁情报,为整个网络、端点和云提供安全支持。WildFire 结合了定制的动态分析引擎、静态分析、机器学习和裸机分析,可实现先进的威胁预防技术。虽然许多恶意软件分析环境都利用了开源技术,但 WildFire 在动态分析引擎中取消了所有开源虚拟化,取而代之的是从底层构建的虚拟环境。攻击者必须制造完全独特的威胁来躲避 WildFire 的检测,而不能使用针对其他网络安全供应商的技术。对于能够躲过 WildFire 前三层防御(动态分析、静态分析和机器学习)的一小部分攻击,显示躲避行为的文件会被动态引导到裸机环境中,以完全硬件执行。

在平台内,这些技术以非线性方式协同工作。如果一种技术将文件识别为恶意文件,整个平台都会将其记录在案,从而采用多层次方法提高所有其他功能的安全性。

获取最新资讯、活动邀请以及威胁警报