劉鋒：支撐“云安全”的核心技術(shù)——網(wǎng)頁腳本行為判斷技術(shù)

相關(guān)專題：共建可信任的互聯(lián)網(wǎng) 2008瑞星互聯(lián)網(wǎng)安全技術(shù)大會(huì)

時(shí)間：2008年11月18日 下午
地點(diǎn)：北京國(guó)際會(huì)議中心

主持人：各位嘉賓大家下午好！上午我們已經(jīng)見過面了，所以下午的論壇我希望大家氣氛活躍一點(diǎn)，參加這個(gè)論壇的大多數(shù)嘉賓都是搞技術(shù)的，既然是這樣，希望大家有問題的話積極地提問，使我們的“云安全”計(jì)劃給大家講解的清楚一點(diǎn)。我介紹一下我的同事，一位是瑞星研發(fā)部反病毒部經(jīng)理劉鋒先生，還有一位工程師是瑞星研發(fā)部的資深的工程師葉超先生，還有一位更隆重的嘉賓是我們研發(fā)部的領(lǐng)導(dǎo)，劉剛劉總。劉總穿得很隨意，平時(shí)也是很低調(diào)的人。

今天下午的論壇的主要議題是智能行為判斷技術(shù)在安全計(jì)劃中的應(yīng)用，這個(gè)主題有兩個(gè)演講，第一個(gè)演講有請(qǐng)瑞星研發(fā)部反病毒部經(jīng)理劉鋒先生給大家?guī)怼吨悄苄袨榕袛嗉夹g(shù)之網(wǎng)頁腳本行為判斷技術(shù)》。

圖：瑞星研發(fā)部反病毒部經(jīng)理劉鋒

劉鋒：各位朋友下午好，非常高興能夠在這里做講解，今天上午介紹了08的病毒趨勢(shì)以及當(dāng)前的病毒傳播方式，在這兒我給大家介紹一下“云安全”的智能網(wǎng)應(yīng)用。在整個(gè)介紹中，我們按照幾個(gè)問題的流程，分成幾大塊。首先看看我們的目標(biāo)，游戲網(wǎng)站、論壇還有其他的熱點(diǎn)是掛馬網(wǎng)頁傳播的站點(diǎn)。早期的掛馬的出發(fā)形式一般是IE，但是隨著IE控件的出現(xiàn)，還有游戲、播放器這類互聯(lián)網(wǎng)上常用的軟件是掛馬運(yùn)行的重要的途徑。我們面對(duì)這個(gè)問題要解決的首要的目標(biāo)，實(shí)際上，首先我們要解決主機(jī)安全問題，對(duì)于單個(gè)的主機(jī)我們首先要防御不被掛馬入侵。安裝了瑞星可能只裝了殺毒軟件，防火墻這個(gè)產(chǎn)品沒有安裝，所以說我們第二個(gè)目標(biāo)是把我們的信息充分應(yīng)用。

接下來具體看一看問題，分別從三個(gè)方面，第一個(gè)網(wǎng)馬入侵的途徑，是掛馬網(wǎng)頁腳本的關(guān)系和掛馬腳本的運(yùn)行特點(diǎn)。首先我們來看一看網(wǎng)馬入侵的途徑，Windows控件用的越來越廣泛了，這些結(jié)果提供一些功能，使用腳本或者程序都可以進(jìn)行簡(jiǎn)單變成的應(yīng)用，但是這些控件存在一些問題，這些問題是什么呢？它本身的功能的調(diào)用有很多是沒有經(jīng)過驗(yàn)證的，是合法調(diào)用的還是非法的無法進(jìn)行判斷。正是因?yàn)檫@些原因，所以導(dǎo)致漏洞，比如說百度的漏洞就是他的升級(jí)版本許多沒有得到驗(yàn)證，從網(wǎng)站上下載自己的程序運(yùn)行，這就是所謂的空間漏洞。第二個(gè)是運(yùn)輸工具漏洞，這是利用微軟通過運(yùn)行代碼，來下載代碼。第三種掛馬方式是文件型掛馬，這種掛馬方式實(shí)際上在網(wǎng)頁的頁面本身不存在任何問題，而是下載的文件有問題，比如說大部分的漏洞，都是網(wǎng)馬頁面。運(yùn)行文件導(dǎo)致本地的運(yùn)行程序產(chǎn)生問題。

掛馬的方式分為直接掛馬、框架掛馬和RGP掛馬，直接掛馬非常簡(jiǎn)單，黑客直接入侵網(wǎng)站，把用戶網(wǎng)站上的頁面修改了，把自己的頁面掛上去。框架掛馬是放一個(gè)連接或者其它的來做。RGP掛馬是對(duì)用戶的訪問進(jìn)行劫持，比如說你訪問了某一個(gè)頁面，他會(huì)在頁面里面直接插入。接下來我們看看掛馬頁面的生成方式，早期的是入侵者自己寫的，但是隨著產(chǎn)業(yè)鏈的發(fā)展，這種簡(jiǎn)單的工作已經(jīng)交給專門的頁面來做。而先進(jìn)的掛馬頁面往往是針對(duì)多個(gè)漏洞的，為什么會(huì)出現(xiàn)這種情況，因?yàn)槁┒词谴嬖谟谟脩舻闹鳈C(jī)上的，并不是網(wǎng)站。針對(duì)個(gè)人的機(jī)器是為什么？為了提高被掛木馬感染的范圍，采取了自動(dòng)腳本的方式，首先看你裝了什么軟件，然后看哪些控件是有用的，然后針對(duì)你裝的控件來進(jìn)行針對(duì)性的代碼。我們?cè)賮砜纯磼祚R的腳本本身的特點(diǎn)，掛馬腳本本身的特點(diǎn)在早期實(shí)際上是一個(gè)明馬，如果是明馬的話，我們可以非常簡(jiǎn)單的看出來，首先看一下這一段腳本，通過這一段腳本，我們可以很明顯的看到：首先創(chuàng)造一個(gè)對(duì)象，即使不懂程序也知道它在干什么，然后打開了一個(gè)連接，下載程序，不懂，把這個(gè)文件保存下來，下載，接著把這個(gè)程序運(yùn)行起來，如果這是一個(gè)木馬程序的話，很簡(jiǎn)單這是一個(gè)利用漏洞下載木馬的簡(jiǎn)過程，我們對(duì)它加密以后，這個(gè)代碼即使讓程序員來看也不知道什么意思，只有讓代碼跑開才知道。就是如果沒有看到程序代碼，可能都沒有辦法判斷它是做什么的。

然后我們?cè)谇懊娼榻B了我們的問題以及這個(gè)問題的一些具體細(xì)節(jié)性的東西，接下來我給大家介紹一下我們傳統(tǒng)的方法對(duì)這個(gè)問題有輔助性幫助的技術(shù)。我們把這些技術(shù)分成了兩類，一類是運(yùn)行攔截的，包括了惡意網(wǎng)址攔截和網(wǎng)頁腳本的殺毒。惡意網(wǎng)址攔截就是防火墻。網(wǎng)頁腳本的殺毒，比如說文件監(jiān)控，掛完以后漏了一個(gè)文件下來，利用文件監(jiān)控把文件殺一遍，判斷是不是病毒，這都屬于靜態(tài)殺毒范圍，時(shí)效性和有效性不高，網(wǎng)頁腳本殺毒這一塊本身存在對(duì)加密定型沒有辦法處理，文件監(jiān)控，如果是掛馬型的話，監(jiān)控的第一是我下載的文件你能查到，我稍微做一點(diǎn)修改你能查到嗎？這是不可能的。然后看一下運(yùn)營(yíng)式的攔截，網(wǎng)頁腳本監(jiān)控不是說我們現(xiàn)在的智能腳本技術(shù)，這是兩、三年前就出現(xiàn)的技術(shù)，實(shí)際上基本的原理攔截了Windows架構(gòu)中的腳本執(zhí)行系統(tǒng)，一旦發(fā)現(xiàn)有腳本執(zhí)行就把腳本塊取出來去查殺這類似于文件監(jiān)控的概念。這種技術(shù)我們個(gè)人認(rèn)為在目前的狀況下本身是一個(gè)積累，因?yàn)槟_本可能是分塊的，在你監(jiān)控到腳本塊的時(shí)候，拿到的不是完整的腳本，所以對(duì)說病毒你拿到一塊不可能判斷出來是病毒還是不是病毒。

然后我們?cè)賮砜纯粗鲃?dòng)防御技術(shù)，大家都很熟悉了我也不做特別詳細(xì)的介紹，當(dāng)然這一塊的優(yōu)點(diǎn)是可以查到目前未知的病毒，是基于行為規(guī)則來判斷的。但是也存在一些問題，比如說我定的很寬松，對(duì)于用戶來說存在一種情況，就是說他沒有這方面的專業(yè)知識(shí)，沒有辦法判定。第二我直接告訴你這是有危險(xiǎn)的，直接刪除，這存在誤報(bào)的問題。

90%的網(wǎng)馬感染機(jī)器是需要利用到腳本的，這是第一個(gè)信息，第二個(gè)信息我們基本上可以得出一個(gè)結(jié)論，如果能夠把腳本問題解決了讓這些腳本沒有辦法跑起來，那么網(wǎng)馬是不是還可以下載到用戶機(jī)器上呢？第三我們要解決腳本問題，判斷它是不是惡意的腳本，首先面對(duì)的一個(gè)問題是腳本的加密和變形導(dǎo)致的問題，這個(gè)問題是非常復(fù)雜的，因?yàn)槟_本本身是一種程序，是一種編程，我可以很簡(jiǎn)單的編寫一些算法，你如果利用虛擬執(zhí)行，對(duì)加密和變形了的我們可以參考原來舊的PE的殺毒方式，一個(gè)是廣譜特征，還有比較非常有效的虛擬機(jī)，我通過虛擬機(jī)可以經(jīng)過這個(gè)程序的流程，可以把加密的代碼解開，但是對(duì)于腳本來說這不是特別現(xiàn)實(shí)的，因?yàn)槟_本只是一個(gè)文本性的語言，它的很多的功能調(diào)用依賴于系統(tǒng)，第二腳本的方便性它本身就是提供非常方便的編寫語言和工具，它的門檻低。第二它可以調(diào)動(dòng)非常多的第三方的CAM控件，你如果要做到虛擬執(zhí)行，實(shí)現(xiàn)它的緊密動(dòng)作那就意味著你必須要有非常多的第三方控件，這在效率上、代價(jià)上還有精力上是沒有辦法來處理的。

然后我們分析了這個(gè)問題以及我們的一些想法，我們發(fā)現(xiàn)用特征法沒有辦法搞定這個(gè)事情用虛擬執(zhí)行方式也存在很大的問題，再看看我們提到的主觀防御。這有點(diǎn)類似于警察辦案，第一步收集證據(jù)，第二步通過專家經(jīng)驗(yàn)來匹配勘定這個(gè)行為是不是惡意的，也就是說類似于法律，什么能做什么不能做如果做了不能做的事情就是違法犯罪。如果我們能夠了解腳本的行為以及動(dòng)作，是不是可以用規(guī)則來進(jìn)行匹配了？這個(gè)答案是肯定的，如果我們能夠攔截到腳本的行為是可以做到這一點(diǎn)的。因?yàn)槁┒催€有掛馬腳本本身實(shí)際上是依賴于第三方控件或者是系統(tǒng)漏洞來做的，這些漏洞實(shí)際上都是有限的，可能是100個(gè)、200個(gè)，代碼都是有特定的，流程也是持續(xù)的過程，所以說只要我們能抓住腳本的行為就可以制訂專家經(jīng)驗(yàn)規(guī)則來進(jìn)行行為判定。

接下來介紹智能行為技術(shù)的實(shí)現(xiàn)。在這一部分，我們首先給大家介紹一下Windows腳本的運(yùn)行模型，通過這一塊的介紹讓大家對(duì)整個(gè)腳本運(yùn)行的框架有一個(gè)大致的了解，接著介紹一下我們的監(jiān)控體系架構(gòu)。最后再介紹一下我們的行為判定規(guī)則，就是說里面用到的三項(xiàng)的最主要的技術(shù)。首先我們來看看Windows腳本執(zhí)行架構(gòu)，分成兩大塊，一塊是腳本數(shù)字，第二是腳本引擎，他們倆是相互獨(dú)立，而且有通訊關(guān)系的兩個(gè)模塊。腳本數(shù)字是整個(gè)腳本運(yùn)行的發(fā)起者，也就是說它發(fā)起腳本運(yùn)行，給腳本運(yùn)行提供環(huán)境，這也就是為什么我們發(fā)現(xiàn)有很多腳本，比如說VBS、JS可以是混合編程的，在VBS里的變量在JS也可以使用，為什么？因?yàn)樗麄兊拿褡蹇臻g是同一個(gè)而不是多個(gè)。然后提供的另外一個(gè)功能，就是說它會(huì)接受和響應(yīng)腳本的系統(tǒng)調(diào)用和腳本的一些事件，比如說腳本我需要調(diào)用系統(tǒng)的某些功能比如說要改變窗口大小，這些都是通過腳本數(shù)字來做的。腳本引擎第一個(gè)功能是提供腳本的代碼解釋執(zhí)行，第二個(gè)它會(huì)通知腳本數(shù)據(jù)腳本引擎本身的一些狀態(tài)以及腳本執(zhí)行的狀態(tài)，第三會(huì)調(diào)用系統(tǒng)的一些功能。我們通過仔細(xì)觀察腳本數(shù)字和腳本引擎，我發(fā)現(xiàn)幾個(gè)有趣的特點(diǎn)：首先腳本數(shù)字提供了整個(gè)腳本運(yùn)行環(huán)境，腳本數(shù)字和腳本引擎之間的通訊是需要用COM接口來實(shí)現(xiàn)的。腳本引擎也有一個(gè)非常鮮明的特點(diǎn)，它里面的函數(shù)都是由COM口構(gòu)成的，這是我們發(fā)現(xiàn)的第二個(gè)特點(diǎn)。

接下來，我們介紹了腳本引擎和腳本數(shù)字的關(guān)系，腳本引擎和腳本數(shù)字通訊的特點(diǎn)，然后再來看看腳本監(jiān)控系統(tǒng)的模型架構(gòu)。這是系統(tǒng)提供的腳本數(shù)字，這是腳本引擎，我們?cè)谥虚g插入了一個(gè)腳本待定引擎，在傳統(tǒng)的腳本監(jiān)控里面，這個(gè)腳本產(chǎn)生的事件和系統(tǒng)調(diào)用是沒有進(jìn)行系統(tǒng)監(jiān)控的這就導(dǎo)致了系統(tǒng)無法獲取它的監(jiān)控，所以說傳統(tǒng)的不是智能的監(jiān)控，只是一個(gè)腳本塊的監(jiān)控，所以說沒有辦法進(jìn)行系統(tǒng)處理。但是大家可能有一個(gè)疑問，如果說我只是做一個(gè)安全瀏覽器，做一個(gè)其它的東西不是一樣的嗎？在一年多前，我們?nèi)鹦菍?shí)際上做了一個(gè)腳本掛馬頁面的沙箱，當(dāng)時(shí)我們對(duì)這個(gè)已經(jīng)有了比較深入的研究了，我們利用了AE盒，自己編寫了一個(gè)瀏覽器，然后利用這個(gè)瀏覽器運(yùn)行我們認(rèn)為可疑的掛馬頁面，發(fā)現(xiàn)我們可以攔截到非常多的系統(tǒng)相關(guān)的調(diào)用，原理是基本上一致的，但是最終為什么放棄了？因?yàn)槔锩嬗袃蓚€(gè)問題，一個(gè)是腳本的加密和解密是腳本引擎自身實(shí)現(xiàn)的，他內(nèi)部做的事情我沒有辦法攔截掉，那么作為產(chǎn)品出去的話還是有問題的，如果作為自己的沙箱沒有辦法攔截到所有的數(shù)據(jù)。第二個(gè)我們還發(fā)現(xiàn)一個(gè)特點(diǎn)，腳本引擎我們?cè)?jīng)提到過，它的系統(tǒng)功能的調(diào)用都是通過腳本數(shù)字來做的，但是我們發(fā)現(xiàn)理論和實(shí)踐往往是有區(qū)別的，腳本引擎可以通過自己的函數(shù)來創(chuàng)建系統(tǒng)提供的第三方控件，或者系統(tǒng)提供的一些標(biāo)準(zhǔn)控件。雖然說腳本引擎可以通過腳本數(shù)字本身來創(chuàng)建這個(gè)對(duì)象，但是很多的木馬的編寫者不這樣做他直接通過腳本引擎來做，那這樣的話還是沒有辦法，還是實(shí)現(xiàn)不了我們的行為監(jiān)控。

然后第三個(gè)缺點(diǎn)，我們發(fā)現(xiàn)如果把腳本數(shù)字替換了，那么在微軟的概念里面，利用IE類盒的程序我們是沒有辦法進(jìn)行處理的，該下載木馬還下載木馬，該感染用戶還是感染用戶，我們就考慮到對(duì)Windows腳本的架構(gòu)來說，不管你腳本數(shù)字是什么，腳本引擎是固定的，不可能存在多個(gè)腳本引擎，我可以寫一個(gè)自己的其他的引擎，所以說我們通過腳本代理可以攔截到Windows所有的VBS和JS和系統(tǒng)之間的通訊。我們解決了這個(gè)問題之后接下來還有一個(gè)問題，腳本引擎本身是可以創(chuàng)建對(duì)象，可以調(diào)動(dòng)COM創(chuàng)建第三方控件那就存在一個(gè)問題，我們必須對(duì)腳本引擎自身的函數(shù)進(jìn)行了解，我們?cè)谇懊嬲f過，腳本引擎本身是一個(gè)COM對(duì)象的話，我們就可以做一些手腳和處理了。大家看一下我們的腳本引擎代理，首先腳本數(shù)字創(chuàng)造腳本引擎的時(shí)候，腳本代理引擎創(chuàng)造一個(gè)真正的腳本引擎，接著他會(huì)獲取腳本引擎的函數(shù)的COM對(duì)象，這是我們所關(guān)心的，我們都可以獲取到，但是我們獲取的只是我們關(guān)心的對(duì)象。第三它把COM對(duì)象進(jìn)行了替換，替換成我們自己使用的，這樣就等于我們?cè)谀_本引擎里面實(shí)現(xiàn)了動(dòng)作監(jiān)控。我們?cè)賮砜纯次覀儝旖右院蟮膱?zhí)行流程，掛接以后的執(zhí)行流程，我們的腳本引擎，就是說這是腳本代理引擎，調(diào)用函數(shù)的時(shí)候，首先調(diào)用的是代理提供的COM對(duì)象，代理提供的COM對(duì)象如果發(fā)現(xiàn)有問題可以直接回去，如果沒有問題可以再繼續(xù)調(diào)用使用。

接下來看就下我們腳本監(jiān)控的具體的監(jiān)控技術(shù)，我們的腳本監(jiān)控主要判定技術(shù)，給大家介紹三種，一種是溢出攻擊防御技術(shù)，還有一種是惡意行為的監(jiān)控體系，還有智能啟發(fā)監(jiān)控的掃描技術(shù)。首先看看溢出攻擊防御技術(shù)，溢出代碼的入口上，通過執(zhí)行溢出代碼可以做一些特殊的事情，比如說下載程序，獲取系統(tǒng)信息，當(dāng)然這都看溢出者想做什么，也就是說它想做什么就可以做什么。然后對(duì)于溢出攻擊我們進(jìn)行過分析，溢出攻擊首先必須要有溢出代碼，你利用腳本進(jìn)行溢出，那是不是要有溢出代碼？這些溢出代碼本身都有一些具體的特征，比如說0704他有自己的特征，可以里面是一個(gè)目錄、參數(shù)，因?yàn)椴煌囊绯鲇胁煌暮瘮?shù)，函數(shù)有不同的特點(diǎn)，所以這種溢出的特點(diǎn)是很容易找到。第二點(diǎn)這個(gè)溢出的代碼在腳本中始終存在的，不管你做任何的加密和解密，我們只需要攔截到函數(shù)的執(zhí)行底，在函數(shù)執(zhí)行前檢查他的參數(shù)和溢出的特征性能匹配，這樣就可以非常容易的判定出這個(gè)代碼是不是溢出代碼，然后進(jìn)行攔截組織整個(gè)代碼運(yùn)行。這個(gè)技術(shù)它的特點(diǎn)就是它對(duì)溢出判斷是非常準(zhǔn)確的，因?yàn)橹饕莾牲c(diǎn)，一點(diǎn)可以拿到溢出代碼，第二點(diǎn)所有的溢出都有典型的特征，我們通過典型的特征進(jìn)行判斷，這是它的優(yōu)點(diǎn)。第二在腳本的執(zhí)行中，函數(shù)是非常多的，我們?cè)谇捌诘募夹g(shù)里面，基本上是非常多的攔截的，所以這個(gè)技術(shù)本身對(duì)腳本執(zhí)行的速度有一定的影響，可能會(huì)導(dǎo)致腳本運(yùn)行比較慢。

接下來介紹一下行為監(jiān)控技術(shù)，首先我們攔截到了腳本運(yùn)行是調(diào)用系統(tǒng)函數(shù)的功能，然后在功能執(zhí)行前，我們檢查已經(jīng)存在的行為序列，執(zhí)行有一個(gè)行為序列，我們把所有的執(zhí)行的過程可以保留下來，保留下來我們就形成一個(gè)行為鏈，這個(gè)行為鏈保存在這我們?cè)趺礄z查？在執(zhí)行之前首先我們有一個(gè)專家的經(jīng)驗(yàn)數(shù)據(jù)庫，這是怎么產(chǎn)生的？我們病毒分析源可以對(duì)腳本病毒進(jìn)行分析，知道某一類的腳本病毒行為序列是什么樣的，只要這個(gè)行為序列匹配上了我們就可以認(rèn)為它是一個(gè)危害程序，是處于惡意代碼，我們就可以終止這個(gè)函數(shù)的執(zhí)行，而且也終止后面的任意函數(shù)的調(diào)用，這樣我們就達(dá)到了阻止木馬下載的目的。但是這個(gè)行為監(jiān)控本身有一個(gè)天然的缺陷，因?yàn)檎３绦蛞泊嬖谛袨槌绦?，如果比較寬松的話，很多惡意的就放進(jìn)去了，起不到防御作用。如果過于嚴(yán)格的話本身存在誤報(bào)，比如說我定一個(gè)非常嚴(yán)格的定義，腳本創(chuàng)造文件我就認(rèn)為是危害程序就不讓你形成，這怎么辦呢？我們實(shí)際上對(duì)這個(gè)問題本身也做了一個(gè)考慮，然后我們?cè)诎踩到y(tǒng)中會(huì)有一個(gè)校驗(yàn)的東西，通過網(wǎng)絡(luò)進(jìn)行校驗(yàn)，非常嚴(yán)格準(zhǔn)確的規(guī)則實(shí)際上直接報(bào)給用戶，確認(rèn)它是一個(gè)惡意行為。對(duì)于我們不確定的規(guī)則，我們實(shí)際上只是提出它本身可能是一個(gè)惡意行為。

然后給大家介紹一下第三種技術(shù)，智能啟發(fā)掃描監(jiān)控，我們?yōu)槭裁磿?huì)使用它？它從原理上本身是一個(gè)特征碼，大家可以會(huì)用，你本身就是行為監(jiān)控的技術(shù)，怎么會(huì)用到特征碼？這是很簡(jiǎn)單的問題，因?yàn)楹芏嗬寐┒吹某绦蛟谟脩舻闹鳈C(jī)上是不存在一些漏洞的，因?yàn)楝F(xiàn)在很多安全工具輔助用戶打補(bǔ)丁，用戶的安全意識(shí)也提高了，大部分的網(wǎng)馬起效的可能是一、兩個(gè)起效，那為什么還要做特征碼？這時(shí)候比如說一個(gè)用戶利用QQ漏洞，但是這個(gè)漏洞在用機(jī)上都不存在，都不存在，代碼就跑不起來，我們惡意行為監(jiān)控，通過行為監(jiān)控的時(shí)候發(fā)現(xiàn)它沒有異常行為，就認(rèn)為這個(gè)是正常的，很顯然用戶這個(gè)機(jī)器上不會(huì)中毒。但是換一個(gè)用戶，如果有這個(gè)漏洞，我們就可以抓住他。但是并不是所有的用戶都安裝了我們的程序，我們的目的是在獲取更多的信息，比如說惡意網(wǎng)址，拿過來可以加到防火墻庫里面，可以保護(hù)更多的用戶。所以說針對(duì)這一塊我們做了一些處理，因?yàn)榇蟛糠值臅r(shí)候我們看到的是明碼而不是加密過后的代碼，這樣的話，利用漏洞也好、其他方式也好，它的代碼和漏洞本身是有限的，每個(gè)漏洞它的代碼特征、明碼特征實(shí)際上是非常相似的，這時(shí)候就可以利用我們的廣譜特征進(jìn)行差，而不是說加密以后幾十個(gè)特征變成幾十萬個(gè)特征，這樣我們可以用非常少的代價(jià)來實(shí)現(xiàn)功能。因?yàn)槭且粋€(gè)明碼查毒，準(zhǔn)確是非常高的，但是因?yàn)槟_本是文本式的你要做廣譜殺毒要做智能匹配這需要花費(fèi)一定的代價(jià)，而且我們這樣做對(duì)腳本本身有影響。

我們?cè)谇懊娼o大家簡(jiǎn)單介紹一下腳本監(jiān)控的技術(shù)，接下來看一下智能網(wǎng)頁腳本監(jiān)控的優(yōu)缺點(diǎn)，第一個(gè)優(yōu)點(diǎn)非常明確，可以把網(wǎng)絡(luò)威脅阻止在外。第二個(gè)優(yōu)點(diǎn)因?yàn)槲覀兪腔谛袨?，不用產(chǎn)生網(wǎng)址庫或者非常大的病毒庫，所以這是一個(gè)輕量級(jí)的行為監(jiān)控系統(tǒng)，所以升級(jí)維護(hù)的代價(jià)都是非常小的。第三因?yàn)槲覀兪菙r截在腳本引擎這一塊，而不是腳本數(shù)字，腳本數(shù)字可以由非常多，比如說基本上所有的工具，像IE、QQ、MSN，實(shí)際上都包括了，還有一些現(xiàn)場(chǎng)直播的工具，游戲類的有大話西游，還有CS，CS我們?cè)?jīng)發(fā)展過它本身被掛馬，玩游戲的時(shí)候中毒。如果用我們的智能腳本監(jiān)控系統(tǒng)，只要他利用到IE類盒都可以監(jiān)控到。它的缺點(diǎn)，這只是一個(gè)監(jiān)控技術(shù)，它執(zhí)行時(shí)肯定會(huì)導(dǎo)致一些系統(tǒng)問題，還需要我們?cè)诶锩婕尤胍恍┨卣髌ヅ浜吐┒?，漏洞溢出攻擊這種匹配是比較耗時(shí)的，會(huì)拖慢整個(gè)腳本運(yùn)行的速度。

第二個(gè)問題，我們提了三種掛馬類型，其中有一個(gè)是文件型掛馬，利用網(wǎng)頁連接、惡意網(wǎng)址我們可以攔到，但是對(duì)于光標(biāo)文件和動(dòng)畫文件，本身文件內(nèi)部的架構(gòu)和腳本是沒有關(guān)系的，這種是沒有辦法做到攔截的。當(dāng)然這兩種文件有非常明顯的特征，它的運(yùn)行結(jié)構(gòu)是非常 類似的，我們可以簡(jiǎn)單的利用文件特征在病毒庫里面添加進(jìn)去。

最后給大家介紹一下我們智能腳本監(jiān)控技術(shù)的應(yīng)用，第一個(gè)應(yīng)用就是我們?cè)谌鹦?009里面做了一個(gè)智能木馬防御，查殺功能，阻止木馬的下載。第二個(gè)它是一個(gè)網(wǎng)絡(luò)威脅的探針，可以把它收集到的懷疑為病毒或者確認(rèn)為病毒的網(wǎng)址，或者由這個(gè)網(wǎng)址下產(chǎn)生的下載地址傳輸?shù)轿覀兊陌踩到y(tǒng)，在我們的安全系統(tǒng)里進(jìn)行深入的挖掘，然后傳入我們的自動(dòng)分析和處理系統(tǒng)，然后快速的加到病毒庫里以保護(hù)更多的人。我的講解基本上就到這，謝謝大家！

主持人：非常感謝劉鋒的精采演講，也非常的賣力氣，喝了好幾次水。下面我們有10分鐘的茶歇時(shí)間，茶歇過后我們會(huì)請(qǐng)葉超先生進(jìn)行下一階段的演講。剛才我看到大家拍我們的PPT這沒有必要，我們的PPT會(huì)下載給你們的。謝謝大家！

相關(guān)文章: