未知的恶意软件构成了重大的网络安全威胁，给企业和个人造成严重的损害。如果无法及时检测到恶意代码，攻击者就可能会获取机密信息、破坏数据，并控制系统。

检测新威胁的挑战

已知的恶意软件具有可预测性，更容易被检测到，而未知的威胁可能需要采取多种形式，从而给检测带来许多挑战：

1、恶意软件开发者使用多态性，使其能够修改恶意代码以生成同一恶意软件的独特变体；

2、仍存在未确定且没有任何检测规则集的恶意软件；

3、一些威胁可能在一段时间内完全检测不到(FUD)，从而挑战周边安全；

4、代码通常加密，使得基于签名的安全解决方案难以检测；

5、恶意软件作者可能采用“低速慢”方法，这涉及将少量恶意代码长时间发送到网络上，使其更难以检测和阻止。因其对环境缺乏可见性可能导致未检测到的恶意活动，所以对企业网络尤其危险。

检测新威胁的方法指南

在分析已知的恶意软件时，研究人员可以利用现有的关于恶意软件的信息，例如其行为、载荷和已知漏洞，进行检测和应对。但在处理新威胁时，研究人员必须从头开始，使用以下指南：

步骤1， 使用反向工程来分析恶意软件的代码，以确定其目的和恶意性质；

步骤2， 使用静态分析检查恶意软件的代码，以确定其行为、载荷和漏洞；

步骤3， 使用动态分析来观察恶意软件在执行过程中的行为；

步骤4， 使用沙箱技术在隔离环境中运行恶意软件，以观察其行为而不会损害系统；

步骤5， 使用启发式方法，基于可观察到的模式和行为，识别潜在的恶意代码；

步骤6， 分析反向工程、静态分析、动态分析、沙箱技术和启发式方法的结果，确定代码是否恶意。

有很多工具Process Monitor，Wireshark等，可帮助完成前5个步骤，但是，在如何得出精确结论的同时需要更专注恶意行为指标。

使用不同的签名来检测威胁。在计算机安全术语中，签名是与计算机网络或系统的恶意攻击相关联的典型足迹或模式。

其中一部分是行为签名。 在操作系统中做任何事都不可能不留下任何痕迹，因此可以通过可疑活动来确定是什么软件或脚本。

在沙箱中运行可疑程序，以观察恶意软件的行为并识别任何恶意行为，例如：

“Microsoft Office正在启动PowerShell”——看起来很可疑，对吧！

“一个应用程序添加到了计划任务中” ——一定要注意它！

“svchost 进程从临时注册表运行” ——肯定有问题！

即使没有签名，也可通过其行为来检测威胁。

案例1

这是一个窃密程序的示例，它在窃取用户数据、cookies、钱包等。但当应用程序打开Chrome浏览器的登录数据文件时，它就会暴露自己。

窃密程序的可疑行为

网络流量中的活动还会表明威胁的恶意意图。合法应用程序永远不会发送从本地收集到的凭据、操作系统特征和其他敏感数据。

在该情况下，可以通过一些已知特征来检测恶意软件。就如以下示例，Tesla代理不会加密从受感染系统发送的数据。

网络流量中的可疑活动

案例2

没有多少合法程序需要停止Windows Defender或其他应用程序来保护操作系统或为自己做出例外。一旦遇到这种行为时，都是可疑活动的迹象。

可疑行为

“应用程序是否会删除卷影副本？是否会删除并在每个目录中创建一个包含自述文本的TXT/HTML文件？”——是勒索软件吗？

如果用户数据在过程中被加密，就可以确定是勒索软件。就像在这个示例中发生的，即使不了解恶意软件，也可以确定该软件构成什么样的安全威胁，然后采取相应的行动并采取措施保护工作站和网络。

勒索软件的可疑行为

根据在沙箱中观察到的行为，可以找到几乎所有的恶意软件并使用工具进行监视，就可立即获得第一批结果且实时查看所有恶意软件的操作。

安胜“网鉴”流量高级威胁检测系统，是新一代的基于流量深度分析实现高级威胁感知产品。采用DPI检测技术、高效沙箱动态分析、丰富的特征库、二次研判模型、海量的威胁情报、机器学习等技术进行深度分析，发现网络入侵攻击、恶意代码传播、远程控制及渗透行为等攻击和控制行为。

黑客可以使用未知威胁向企业勒索金钱并发动大规模网络攻击。即使没有检测到恶意软件，仍可以通过考虑其行为来得出威胁的功能，利用这些数据，就可以构建信息安全措施，预防新威胁。同时，行为分析也可增强企业应对新的和未知威胁的能力，并在不增加成本的情况下加强保护。