译文：Securing the Uncertain——B-HAVE技术介绍

jason_jiang

Securing the Uncertain

介绍BitDefender抵御多样化威胁的B-HAVE技术

恶意软件带来的挑战
近年来，信息安全形势发生了显著的变化，商业活动面临的风险已和过去大不相同。不久前，制作恶意软件还只是业余的叛逆青年们沽名钓誉的手段；现在，恶意软件由以此牟利的专业程序员制造出来。恶意软件的产业化，显著提高了攻击事件的发生频率和复杂性。

恶意软件愈演愈烈
在2007年，每天至少有3000种恶意软件被检测到，完全依赖传统特征码的安全厂商已经很难跟上恶意软件的步伐。现在，大约有100万种已知的恶意软件流行（In The Wild）。

恶意软件攻击行为趋于复杂
过去的安全风险相对简单，通常很容易处理。当前的安全风险显著复杂化，而且经过精心设计，有效利用了传统安全架构的缺点。
- 生存期很短的多态威胁能逃过基于特征码的反病毒系统和入侵检测/防御系统（IDS/IPS）
- 基于脚本的网络攻击遍历各种薄弱环节，直到发现可利用的漏洞。它们广泛使用各种封包方式，以掩盖其恶意衍生物
- 碎片、交错攻击、SQL注入技术可以用来突破许多外围安全措施的静态深度包检测（SPI）
- 笔记本等移动计算和存储设备可以作为媒介；它们可以完全绕开外围安全措施，携带恶意软件进入网络
- 使用快速的传播手段，确保在安全厂商更新特征码前能尽快感染尽可能多的系统
- 安全厂商从发现新威胁到更新特征码可能需要几小时，甚至几天。在这个风险窗口期内，用户的系统将持续处于易受攻击状态
- 被感染的电脑越来越多地连接成所谓的“僵尸网络”。这是一种更新恶意代码的有效手段，它缩短了特征码的有效期。有些僵尸家族甚至每天更新
- 当前有些恶意软件针对特定的个人或组织。这种攻击可能不像泛网络的攻击一样能很快被安全厂商注意到，造成了特征码更新的滞后，延长了风险窗口期

简而言之，当前的恶意软件取得了长足的技术进步，使完全依赖特征码的安全措施暴露了其固有的局限性。这并不是说这些措施已经过时；相反，基于特征码的威胁检测仍然是结果最精确、运算最高效的手段。然而，基于上述原因，单纯的特征码是不够的，必须辅以其他检测手段。这些辅助手段需要：
1.能缩短从发现新威胁到更新特征码之间的风险窗口期；
2.对多态等免杀技术免疫。

当前对安全困局的解决方案
当前，对上述安全困局的解决方案主要依赖所谓的“启发式检测”。

什么是启发式检测
启发式检测基于这样一个原则：如果一个程序表现出类似恶意软件的特征和/或行为，那么它可能是恶意软件。病毒和其他恶意软件通常有某些特定的行为，而合法程序通常没有，这使得它们可以被检测到。虽然这个想法听起来简单，但这个过程背后的技术却非常复杂。
传统的、基于特征码的扫描器有一个保存恶意软件特征的数据库，内容是从恶意软件样本中提取的字节片段。当扫描文件时，如果文件中含有与特征库匹配的字节片段，就将这个文件判为已感染。
启发式扫描器也有一个特征库，但与传统扫描器不同的是，其内容是恶意软件会表现出的已知特定特征或行为。
举个例子，看启发式技术是如何检测针对贝宝的钓鱼攻击的。要访问贝宝，系统先要知道贝宝的IP地址。于是系统检查其Hosts文件，看是否已记录了贝宝的IP地址。如果找到了对应的IP地址，就用它打开网站。如果没有找到，系统就联系DNS服务器以确认其IP地址。钓鱼攻击会更改Hosts文件，使恶意软件可以把用户引导到非预期的站点。于是，当他们输入www.paypal.com的时候，可能会被劫持到一个用来骗取贝宝帐号的钓鱼站点。相对而言，正常程序一般不会修改Hosts文件，所以当一个程序试图这么做时，有理由认为这个程序是恶意软件。

启发式检测的类型
启发有两种：静态和动态。虽然都依赖“行为特征码”识别恶意软件，但这是它们仅有的共同点。
静态启发只检查一个程序的结构和运行逻辑，看是否有与已知恶意行为匹配的行为。
动态启发则在虚拟环境中执行这个程序，以精确还原程序本来的行为，看是否有与已知恶意行为匹配的行为。
两种方法各有优劣。由于恶意软件编写者经常使用加密、加花等手段掩盖他们的代码，静态启发很难判断程序的实际行为。为了克服这个缺点，静态启发也试图识别程序的其他特征，如运行时的自解密行为，来判断恶意软件。这当然能提升检测的精确度，但仍然无法突破静态启发在行为判断能力上的局限性。
另一方面，动态启发不存在行为判断能力的问题，但产生了另一个问题。前文所述的虚拟环境，就是在实体机中创建虚拟机，因此需要额外的资源。而执行程序并分析其行为，也经常是一个低效且耗时的过程。
另外，启发式检测也是一种不严谨的技术，厂商很难找准高检出率与低误报的平衡点。长久以来，误报问题一直影响着启发式解决方案的可行性。这不仅会干扰商业活动，加重客户支持压力，还会提高总体拥有成本（TCO）。
理想的启发式解决方案应该做到：拥有静态启发的扫描速度、动态启发的检测能力，同时保持高度精准。这就是BitDefender借助B-HAVE技术实现的目标。

BitDefender的B-HAVE——提升防护的另一种选择
BitDefender的B-HAVE是一种经特别优化设计、整合当前安全技术的动态启发技术，不仅提供了优秀的主动防御能力，而且克服了其他许多动态启发技术的架构限制。


全面的解决方案
B-HAVE会创建一个独立的虚拟机。由系统模拟器建立的虚拟机包括一整套虚拟硬件，完全模仿典型的PC，却与实体机完全隔离。任何程序都可以在虚拟机中运行，对实体机没有威胁，而其行为和特征都会被记录下来。随后，B-HAVE检查这些特征，看是否有已知的恶意软件特征。例如，当一个程序试图修改特定文件、在内存敏感区读写数据，或创建已知病毒的衍生物时，它就可能被判为恶意的。
当你试图使用不信任的程序时，B-HAVE会延迟程序启动，直到在虚拟机里记录并分析完它的行为和特征为止。如果没有检测到恶意行为，B-HAVE就正常启动这个程序；如果表现出可疑，B-HAVE将根据你的设置，自动隔离或删除这个程序。
此外，B-HAVE在提升安全性方面还有以下优点：
- 通用解包算法，零时差支持新型封包
- VB运行环境引擎，主动检测VB病毒
- COM组件支持，完全仿真VB病毒
- 极佳的静态解包能力
- 跨平台：支持Windows、Linux、FreeBSD
- 支持BAT/CMD批处理仿真

高度精准
B-HAVE在精准性方面取得了平衡，在提供较高检出率的同时保持了低误报，且不牺牲性能。B-HAVE通过一系列传统和现代的手段避免误报：
- 已知无害文件的白名单，如已安装软件或多媒体文件的样本
- 完善的处理机制。默认设置下，B-HAVE会标记出所有潜在的威胁，你可以选择无视警告，或将可疑文件上报BitDefender；同时既可以保持隔离，也可以还原。
B-HAVE针对新生威胁提供了即时、主动的防御。2008年1月，由Anti-Malware Test Lab进行的独立测试表明，B-HAVE启发检出了63%的威胁，而不需要更新特征码。


快速应对多变威胁
为了避免降低系统性能，B-HAVE拥有一个记录已知代码片段、封包算法、系统调用的数据库。通过加速模拟，极大减少了在虚拟机中执行已知代码片段所需的时间。
要进一步减轻B-HAVE对系统资源的影响，你可以信任某些程序，将它们从扫描中排除。
尽管B-HAVE看起来是一个冗长且复杂的过程，但实际上只需要极短时间，就能显示出正在进行的操作和可选的措施。Anti-Malware Test Lab证明，B-HAVE的复合启发在速度上位居前列，如下图：

悠柚

你......


本来我也想的！

jason_jiang

其实上周就想写了，一直拖着

jason_jiang

PS：译文中的封包、解包等词，原文为packing、unpacking。考虑到有压缩、加壳、解压缩、脱壳等多种含义，不能以偏概全，故统称为封包、解包

耍花剑的猫

算啦，我本来就想把自己的帖子整合到tsgyls 的帖子里的

明天补人气

龍捲風

占个座看 嗯

看来这项新技术很有竞争力啊！！

ShadowGlory

具体的不清楚 不过看上去不错

实际用起来 也不错....

1e3e

bdv也使用了这种技术吧？

依然寰随云

感谢LZ