如何经过可疑活动检测新威胁

未曾露面的有害程序是构成严重的互联网安全问题，可能对组织和个人造成严重损害。如果没有被检测出来，恶意代码就可以访问机密信息、破坏数据，并允许攻击者操控系统。

虽然已知的恶意软件家族更容易预测，也更容易被检测出来，但未知的威胁可能以多种形式呈现，这就给检测它们带来了一系列挑战：

1. 恶意软件开发人员使用多态性，这使他们能够修改恶意代码，以便生成同一种恶意软件的独特变体。

2. 有些恶意软件仍未被识别，也缺少检测它们的任何规则集。

3. 一些威胁可能在一段时间内完全不可检测（FUD），这给边界安全出了难题。

4. 代码常常是经过加密的，因此很难被基于特征的安全解决方案检测出来。

5. 恶意软件的编写者可能使用一种“少量而缓慢”的方法，即在很长一段时间内通过网络发送少量恶意代码，因而加大了检测和拦截的难度。这在企业网络中尤其具有破坏性，因为无法足够地深入了解网络环境是否可能导致未被公开地检测出来的恶意操作系统的活动。

外头有众多工具可以帮助你完成上面这5个步骤，从Process Monitor、Wireshark到ANY.RUN，不一而足。但如何得出一个准确的结论？在拥有所有这些数据的同时，你又应该注意什么？

答案很简单：关注恶意行为的指标。

不同的特征被用来检测威胁。在计算机安全术语中，特征是与计算机网络或系统上的恶意攻击相关联的典型足迹或模式。

这些特征的一部分是行为特征。在操作系统中做了一番手脚而不留下跟踪是不可能做到的。我们可以通过可疑活动来识别是什么软件或脚本。但是，如果你的电脑没有任何问题，那么你就无法确定它是否是恶意软件。因此，我们必须在安装之前仔细检查它。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!