端点安全性评估
近年来,端点安全领域的评估发生了快速变化,特别是与检测率有关。在大多数情况下,检测率的测量依赖于可以从公共或私有存储库容易检索到已知的恶意软件。 端点安全解决方案通过使用各种功能(如哈希散列,签名,启发式算法,以及基于机器学习的模型的黑名单)逐渐提高其检测率的准确性,主要针对的是已知的恶意软件。此外,这些解决方案还包括基于深度学习的模型,可扫描文件(静态)或查看进程或机器(动态)的行为。 尽管端点安全解决方案提高了已知恶意软件的检测率,但是,在检测未知的恶意软件方面仍然存在问题。未知恶意软件实例的数量不断增加。每天都会出现新的变种,这使得研究人员难以在规避技术上保持领先地位。 让研究人员对新变种如此棘手的原因是,它们通常是原始恶意软件二进制文件的修改版本。通过勒索软件修改涉及安全厂商可能签署的功能,从硬编码字符串开始,C&C服务器的IP/域名,注册表项,文件路径,元数据甚至互斥体,与加密文件相关的证书,偏移量和文件扩展名。它也可以在代码本身上,例如使用诸如多态性的技术,其中操作码在保持原始功能的同时被改变,其中添加了无用的代码段来混淆和改变结构的顺序。提供新的恶意软件的主要方法是不同的...
