石晓虹QVM云计算环境下的海量恶意软件智能识别技术.ppt
《石晓虹QVM云计算环境下的海量恶意软件智能识别技术.ppt》由会员分享,可在线阅读,更多相关《石晓虹QVM云计算环境下的海量恶意软件智能识别技术.ppt(23页珍藏版)》请在三一文库上搜索。
1、优秀精品课件文档资料,QVM:云计算环境下的海 量恶意软件智能识别技术,奇虎360 2011年11月,灰色产业链导致恶意软件爆炸式的增长,2,2,木马已经形成了造马、改马、卖马、买马、发马、挂马、盗号、销赃等分工明确的灰色产业链,从业人数以十万计。,互联网为木马提供了多样化的传播途径,使之无需像病毒那样依靠感染即可大规模传播,恶意软件的“摩尔定律”,3,恶意软件的“摩尔定律”:新增恶意程序文件数每年增加十倍,4,4,4,4,传统反病毒技术面临的问题,卡,慢,效果差,庞大的资源占用造成卡机,病毒库更新远远滞后于木马变化速度,轻松被免杀,无法防范最新的安全威胁,5,5,5,云安全:基于云计算模式的
2、网络安全技术,云安全的基本原理:云计算中心对从用户电脑采集到的可疑程序样本依据其代码特征、行为特征、生存周期、传播趋势进行数据挖掘和智能分析,进而判定恶意程序及其传播规律,在恶意软件传播初期予以查杀。,采集:从上亿用户终端电脑中采集可疑行为程序样本及其行为特征,服务端云计算集群,分析:经过服务端集群自动分析处理,形成对恶意程序处置的指导规则,处置:恶意程序判定指导规则反馈回客户端进行处置,云安全技术体系示意,6,6,海量终端用户覆盖,云安全查询引擎,终端文件/网页 云安全查询,云端恶意软件/网页自动化鉴定分析系统,360云安全体系示意图,7,云安全的核心问题,云安全核心:对海量未知恶意文件/网
3、页的实时处理能力 多家安全公司已采用云安全模式,核心竞争力已经发生了转移。 目前,云端未知文件/网页的自动分析技术纷繁复杂 文件特征、行为特征、智能启发、概率统计、分类 奇虎360在云端主打人工智能引擎QVM,8,QVM简介,QVM是奇虎360自主研发的人工智能引擎。此引擎基于海量数据挖掘、引入机器智能学习算法,能够有效准确识别未知恶意软件,是人工智能技术在恶意程序自动分析领域中的首次大规模商业应用。 基于机器学习的恶意软件识别,学者、研究机构和厂商都在关注,但大多都停留在实验室阶段,没有实际应用。 奇虎360经过技术攻关,解决了机器学习的几个关键技术问题。,9,机器学习的关键技术难点,关键技
4、术难点一:机器学习算法的选型 机器学习算法很多,如 RIPPER、贝叶斯、决策树、SVM、神经网络等 奇虎360将SVM作为基本学习算法。此算法的优点如下: 1、维数限制少,适用于高维数据 2、 速度较快 3、 算法适用性较强,10,机器学习的关键技术难点,关键技术难点二:误报控制 由于安全领域用户对误报的敏感性和特殊性,导致长期以来机器学习算法在本领域一直作为不大。多数研究者尝试后,可能检出率能做到很高,但无法达到预期的精度而放弃。因此误报控制是引擎能否上线运营的关键。 误报控制的方法: 1、合适的机器学习算法SVM 2、快速的参数选择和快速训练方法 3、找到合适的、精准的、分散度足够的白训
5、练集,并不断补充。,11,机器学习的关键技术难点,关键技术难点三:样本特征的选取 由于海量样本的类型、大小各不相同,而一个机器学习算法不可能面面俱到,为了达到快速、高效、并能有效寻找的建模特征,需要研究样本的敏感区域。 敏感区域的探测方法: 1、 对PE结构分块 2、采用N-gram算法统计特征,计算特征的信息增益,选择TopN,12,机器学习的关键技术难点,关键技术难点四:样本的信息还原 由于近年来,对软件加壳或者保护日益盛行,获取基本的PE内部信息日益困难,但是这个难点也要突破。 样本信息还原的方法: 1、对常见的壳采用静态脱壳技术 2、非常见的壳采用虚拟机脱壳,尽可能还原原始PE的信息,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 石晓虹 QVM 计算 环境 海量 恶意 软件 智能 识别 技术
链接地址:https://www.31doc.com/p-2664869.html