《AV（反病毒）技术的演进》AV方法论的改善和修正部分学习笔记

AV辩证法

 反病毒绝不是简单的技术对抗，整个AV体制，包含着很多逻辑的、法理的因素。以及工程规划的因素，有很多共性的基本原则。客观来说，这些共性原则首先被从实践中总结形成，回头来又指导着反病毒引擎乃至反病毒工具的设计。
 部分原则：
　　1·计算机病毒归根到底是一种程序
　　2·计算机病毒的特征码是从程序体或程序体的某种处理结果上，选取的可以唯一确定计算机病毒类别的标识。
　　3·计算机病毒最根本的判据应该是程序特征码或其他的内容相关特性。
　　4·有害或主观有害是一个文件被提取特征加入病毒特征库的唯一原因。　　
　　5·计算机病毒的有害，是指程序包含这用户所不期待的对信息系统的影响。
　　6·一个确定的程序是否应该被反病毒软件检测，是基于明确的标准 。
　　7·反病毒软件的工作目的是保证系统数据安全和系统正常运行，反病毒操作不应该相反的结果。　　
　　8·计算机病毒的清除过程是感染的逆过程　　　　
　　9·用户对反病毒产品拥有的权利　
　　　　定义权：反病毒软件可以默认的设置，但用户具有定义进行何种模式的检测以及是否清除的权利。
　　　　知情权：用户有权知道反病毒软件在系统中做过什么
　　　　备份权：反病毒工具应该提供用户对带毒文件备份的手段　
　　10·应识别包裹中的病毒，在具有算法授权的情况下，可以清除包裹中的病毒，但不是删除包裹本身。
　　11·病毒监控的基本模式应该以阻止带毒文件运行（获得系统控制权）为目的（前报原则）。

AVER工作方法的变迁

驱动力：威胁拉动；安全工作者创新；用户需求拉动

方法论的调整是因为威胁在变化 ，传统AV的逐渐壮大是建立在成熟体系和庞大资源的支撑之下，其在前置经验、团队规模、计算能力方面都优于单一的攻方（VXER 病毒作者 一般的黑产团伙），是过去模型的前提假定。其以检测查杀攻方散布物为基本目的，通过技术手段提升了攻方的成本（特别是二次散播的成本），并针对所捕获的样本，比攻方付出更小的资源成本和更短时间代价，完成分析判定。但这些前提假定在APT时代发生了改变。
方法思考：归一化 *emsp;归一化是传统反病毒技术的精华和最重要的思想，而病毒反病毒对抗的核心也是围绕这归一化的穿透与反穿透展开的。
　　对规则的穿透 (免杀）
　　对分支的穿透（多态）
　　对链条的穿透（Rootkit）
方法思考：关于归一化的对抗  1·一个坚硬的小内核  2·不再是核心环节而是必备能力  3·逐渐变为促使方法和成本的收敛；威胁一定会进入，传统反病毒引擎负责知识供应 以识别和应对海量威胁
方法思考：黑名单和白名单  黑名单（起点）负责检测 +白名单负责反误报——>云鉴定（信誉阶段）
从误用检测，到信誉鉴定到安全基线，AV的整体辨识中心正在发生变化。PE格式本身可以带签名域有可以被检验的白名单信任基础。在不同的背景下有不同的白名单黑名单选择方式，产品存在于对应的环境下
　　异常检测 基于其具有流量和拓扑层面的显著影响
　　误用检测 基于在载荷分析并提取后，载荷依然被重放
时空思考：传统的后向性 特征提取——>产品生效  缺少对第一个遭遇此威胁用户的防护
通过对可疑程序相关联的网络通讯信息进行长效缓存，提供前向追溯能力
时代计划：全流量缓存（3天）——元数据（90天）——有价值数据/加密数据（永久）
威胁高峰在补丁日前后，通过补丁分析形成poc直至Exploit进行利用，攻防价值极大。
时空思考：实时还是异步 传统引擎长期面对检测效率和检测效力的纠结

与沙箱结合，其本质可以定性是个异步过程，但也可以通过回馈给实时环节C&C Server List和 URL规则的方式，改善了响应能力。
　　能力链构成环，对第一波攻击容忍。
时空思考：部署位置 在有限个节点部署的情况下实现感知的前提：蠕虫是无限制扩散的，蠕虫本身是可以感知的。
资产思考：公有与私有 传统AV产品是一种资产，但其是同时具有下列特点：
　　1·依赖于后端的支撑能力，脱离后端后，迅速贬值
　　2·支撑能力是安全保障，但也带来泄密风险
　　3·只是是完全为厂商所有的，且是黑箱化
　　4·自身不会增加用户的计算、存储、传输能力，相反可能会消耗用户的相应能力。
　沙箱与流量设备的结合、安全基线，反映了手段前置化，知识个性化的趋势。
　本身将原有厂商能力转化为用户个体能力，将厂商黑箱转化为用户白箱。
　从资产观看，这是用户安全资产模式的变化，其将原有厂商独占的安全资源和手段，变成用户安全资产的一部分，同时降低了在不依赖厂商支持的情况下的资产贬值速度。
　
　　APT时代，原有的AV基本方法、时空观、和资产观都在发生变化、这种变化将深远的影响到整个安全的未来，以及应用的未来。