windows defender杀毒能力,系统为windows defender应用程序防护

  windows defender杀毒能力,系统为windows defender应用程序防护

  鉴于日益复杂的网络环境,依靠安全研究人员手动追踪分析恶意软件显然已经不能满足大多数用户的防护需求。因此,在最近的安全博文中,微软透露了如何通过机器学习技术自动化和多层次分析,尽早识别新的恶意软件。目前多层机器学习模型已经应用在Windows Defender的杀毒软件中,对不同阶段得到的数据进行分析。

  如图:从上到下依次是原生启发式分析、元数据学习模型、样本分析学习模型、动态分析模型、大数据分析。在本机的启发式分析中,如果认为可疑文件有大问题,会在第二阶段自动分析,没有问题,会自动放行。从元数据分析开始,都是在微软云端自动分析的。这时会检测出可疑文件的源代码,然后根据其特征进行分类。然后将可疑文件作为样本进行进一步分析,并将分析结果与云端数据库中的类似结果进行比对。如果还是不能确定可疑文件是不是恶意软件,我们就执行云分析的关键点:爆炸式分析模式。

  

引爆式(动态)分析和大数据分析:

  在这里,Windows Defender会将可疑文件放在沙箱中运行,然后观察可疑文件在运行过程中的行为。例如,试图修改或复制其他文件、修改注册表项以及试图注入其他进程的可疑文件将被记录和分析。分析结果将与云数据库中具有类似行为的恶意软件的结果进行比较,这样甚至可以识别出新的恶意软件。

  

数十分钟确定恶意软件变种实例:

  2017年10月14日11点47分,俄罗斯圣彼得堡一名Windows Defender用户从恶意网站下载了一个可疑文件。可疑文件看起来很像Adobe Flash Player的更新,但实际上更新真的是坏兔子勒索病毒变种。Windows Defender在这台机器上进行启发式分析时认为不可信,于是检查可疑文件,并开始连接云端服务器进行查询。查询云服务器后发现,有几个元数据学习模型认为文件可疑,但没有一个模型认为文件是恶意的。紧接着,Windows Defender锁定了本地可疑文件,等待进一步分析。几秒钟后,云端返回恶意概率为81.6%的结果。而Windows Defender默认拦截概率是90%,所以文件还没有达到可以直接拦截阻止运行的情况。

  过了一段时间,云服务器发现全球8名受害者已经被勒索软件控制。对比后发现,这些勒索行为非常相似。于是这位用户在圣彼得堡的Windows Defender开始在沙盒中进行动态分析,分析完成后将结果上传到云端进行对比。经过比对,确认其行为与已被勒索病毒控制的电脑上的恶意软件相似,因此判断文件的恶意概率上升至90.7%。这个概率已经达到了Windows Defender的拦截要求,所以云服务器发出指令要求Windows Defender拦截。至此,这个坏兔子勒索病毒的最新变种在十分钟内被成功识别,其他所有电脑在遇到这个变种后直接停止运行。

windows defender杀毒能力,系统为windows defender应用程序防护