零日脆弱性和启发式分析

　　什么是零日漏洞？

　　零日漏洞是指供应商未知的软件中的一个漏洞。然后，黑客在供应商意识到并修复它之前，就会利用这个安全孔。零日攻击的使用可能包括渗透恶意软件，间谍软件或允许对用户信息的不必要访问。

　　术语“零日”（也称为0天）指的是孔的未知性质，尤其是黑客外部的人，特别是开发人员。一旦知道了漏洞，开发人员就会开始种族，谁必须保护用户。

　　零日漏洞

　　零日的利用是在漏洞普遍知道的同一天利用安全漏洞的一种。发现漏洞的时间与第一次攻击之间的时间为零。

零日攻击的使用可能包括渗透恶意软件，间谍软件或允许对用户信息的不必要访问。

　　通常，当某人发现软件程序包含潜在的安全问题时，该人或公司将通知软件公司（有时甚至是整个世界），以便采取行动。给定时间，软件公司可以修复代码并分发补丁程序或软件更新。

　　零日威胁

　　零日攻击发生在一个时间范围内，称为漏洞窗口。这从第一个漏洞的利用延伸到应对威胁的地步。攻击者工程师恶意软件（恶意软件）利用常见的文件类型，妥协攻击系统并窃取有价值的数据。零日攻击是仔细实施的，以最大程度地损坏 - 通常在一天的时间内。脆弱性窗口的范围可能从小时到多年。

　　防御零日威胁

　　没有100％可靠的零日利用方法检测方法，但是有两件事可以极大地帮助管理员：

　　第一个是补丁管理。

　　由于攻击仍然未知，因此该方法的效果将受到限制，并且无法解决该攻击。但是，如果所有系统都是最新的，则攻击范围可能是有限的，并且攻击者只能在包含进一步威胁的同时造成最小的损害。

　　此外，借助强大的补丁管理和漏洞扫描系统，管理员将收到通知，一旦攻击被公开，安全公司就实施了漏洞检查。这两个重要的软件解决方案使管理员可以主动采取行动，直到发布该漏洞的补丁为止。当零日攻击的补丁被公开时，也将通知管理员，从而最大程度地减少了发生攻击的机会之窗。

　　第二种选择是使用良好的防病毒解决方案。

　　零日攻击不会在一段时间内成为公众知识，在此期间，防病毒计划将不会通过使用标准模式分析技术检测任何包含此特定漏洞的文件。

　　但是，有效的防病毒解决方案不仅依赖于防病毒定义来检测威胁。良好的防病毒软件还使用一种称为启发式分析的技术。该技术不仅要寻找文件中的某些模式，而且还将分析文件在正常执行过程中的实际作用。根据文件的行为，如果检测到可疑行为，则可以将文件分类为病毒。即使没人知道漏洞的存在，这种技术也可以帮助检测零日的威胁。

　　尽管使用启发式分析的防病毒解决方案可能是针对零日恶意软件的绝佳武器，但不能保证恶意软件行为将始终被归类为恶意。但是，当AV与强大的补丁管理策略相结合时，管理员对零日威胁的感染具有更强的防御性。

　　其他用于早期检测的技术：

　　使用VPN保护单个传输的内容。

部署入侵检测系统ID（例如：状态防火墙）。

介绍网络访问控制，以防止流氓机器以技术方式获得网络访问；最少特权访问LPA

锁定无线访问点，并使用诸如Wi-Fi受保护的访问之类的安全方案，以最大程度地保护基于无线的攻击。

　　什么是启发式方法？

　　通常，人们可以理解的是，反疑问（包括防病毒程序）通过使用他们已经拥有的签名来扫描文件来工作。？？文本）或像小宏或子例程一样复杂，它告诉扫描引擎要寻找什么以及在哪里可以找到它。？

在计算机科学中，启发式算法是一种算法，它始终如一地执行和/或提供良好的结果

　　签名扫描非常适合检测已经确定的威胁，但是Antimalware程序如何检测新的，以前看不见的威胁？

　　启发式（来自希腊语的“发现”或“发现”：最受欢迎/最合适的发音是“ hyoo-ris-tik”。）是一种基于经验的技术的形容词，可帮助解决问题，学习和发现。

　　在计算机科学中，启发式词是一种算法，它始终如一地执行和/或提供良好的结果。在程序说明中 - 用于检测恶意行为而不必唯一地识别负责其的程序，这是经典的基于签名的“病毒扫描仪”的工作方式，即确定特定的计算机病毒或其他程序。

　　Antimware程序使用的启发式引擎包括以下规则：

试图将自己复制到其他程序的程序（换句话说，是经典的计算机病毒）

试图直接写入磁盘的程序

一个程序在完成执行后试图保持居民的内存

运行时解密自身的程序（恶意软件经常使用的方法避免签名扫描仪）

一个与TCP/IP端口结合并通过网络连接的说明的程序（这几乎是机器人（有时也称为无人机或僵尸） - DO）

试图操纵操作系统所需的文件（复制，删除，修改，重命名，替换等）的程序

一个类似于已知恶意的程序的程序

　　某些启发式规则的重量可能比其他规则更重（因此得分高），这意味着与一个特定规则的匹配更有可能表明存在恶意软件，而基于不同规则的多个匹配也是如此。

　　甚至更高级的启发式方法可能会在程序代码中的指示中追踪到计算机的处理器进行执行之前，允许程序在虚拟环境中运行或“沙盒”来检查对虚拟环境和虚拟环境和对虚拟环境的行为以及更改因此，在效果上，Antimware软件可以包含专门的模拟器，使其可以“欺骗”程序以认为它实际上在计算机上运行，而不是由Antimalware软件对潜在威胁进行检查。

　　启发式引擎可以在内存中检查过程和结构，在网络上传播的数据包的数据部分（或有效载荷）等等。

　　启发式代码分析的优点在于，它不仅可以检测现有恶意程序的变体（修改形式），还可以检测新的，以前未知的恶意程序。结合其他寻找恶意软件的方法，例如签名检测，行为监测和声誉分析，启发式方法可以提供令人印象深刻的准确性。也就是说，正确检测到很大的真实恶意软件，但也表现出低误报警报率，因为将无辜的文件误诊为恶意可能会导致严重的问题。

　　艾哈迈德·巴纳法（Ahmed Banafa），作者：

　　使用区块链和AI安全且智能的物联网（IoT）

　　区块链技术和应用

　　参考

　　什么是启发式方法？

　　零日威胁

　　什么是零日攻击？

　　零日漏洞

　　零日（计算机）