当前，基于行为分析的合法性检查技术已经成为了应对未知威胁的有效手段。对用户而言，此类技术的普及将会提升企业的安全防御强度。

寻找“稻草”

    在信息安全领域， 未知威胁是指尚未被发现的具有未知特征同时对信息系统存在潜在威胁的活动类型。未知威胁可能是一种网络攻击、一种电脑病毒或者是一种对资源的非法滥用。经验表明，人们对于威胁的认知总是要滞后于威胁的产生。虽然每一种威胁最终都得到了有效的遏制，但是每一次对未知威胁的认知都付出了巨大的代价。

    从1998年的CIH开始，1999年的梅利莎，2000年的爱虫，2001年的红色代码，2003年的SQL Slammer，2004年的大无极，2005年的冲击波，2006年的僵尸网络攻击，2007年的熊猫烧香，各种混合型威胁越发复杂且传播的速度越来越快。

    事实上，信息安全领域内的各路专家都在积极探索一种有效防范未知威胁的方法。目前来看，基于行为分析的合法性检查技术将有可能成为防御未知威胁的“救命稻草”。

关注行为

    从原理上讲，基于行为分析的合法性检查技术是从已知威胁入手，通过对行为特征的分析而逐渐认识未知威胁的一种方法。是一种通过已知透析未知的人工智能技术。

    威胁是一只披着羊皮的“狼”，但无论它披上什么样的羊皮都无法掩盖其狼的秉性。每一种威胁都是由一系列的行为组成。如终止系统进程、删除文件、修改注册表、探测漏洞、强行关闭系统等等。如果能有效地截获这些动作，那么也就揭开了威胁的神秘面纱。

    基于行为分析的合法性检查技术通过利用反编译引擎对途经的数据包进行重组和反编译处理，将已编译好的二进制威胁病原体，重新反编译为一系列行为动作的组合，从而让隐藏在数据流深处的各类威胁的“秉性”一览无余，这就为有效截获未知威胁创造了条件。

    对于成千上万种不同类型的行为，什么样的组合属于正常应用，什么样的组合才构成威胁呢？基于行为分析的合法性检查技术引入了行为权重和威胁阀值的概念，即将目前各类已知的行为根据它们的风险性初始化一个行为权重，同时拟定一个威胁阀值，如果某类事件所包含行为的权重组合超过了阀值，那么可以认定这类事件为一个威胁。

    用行为权重作为判断威胁的标准对权重的精确性提出了非常高的要求，基于行为分析的合法性检查技术参考了五万多条含有丰富行为特征的样本库，即包括正常样本也包括威胁样本。经过百万次的循环验证和权重微调，最终形成了一套准确的行为权重知识库。准确的行为权重知识库是检测未知威胁的基础。

对抗威胁

    以行为分析作为条件，以“行为权重知识库”作为基础，对于任何来自于Internet的未知事件，经过“反编译、解码、行为提炼、知识库比对、权重计算、阀值比较”的流程化操作后，就可以判断该未知事件是否为一例威胁事件。如果权重计算的结果大于或等于阀值，那么就可以认定为是一例威胁事件，否则就判定为正常数据。基于五万条样本数据和百万次的循环训练而产生的准确的行为，知识库保证了对未知威胁判断的精度。

    有理由相信，此类技术对于隐藏在Internet中的未知威胁，都可以通过行为分析和合法性检查来进行筛查，而相应的安全系统则可以据此判断威胁等级并通过阻断、告警等多种手段有效控制，将未知威胁消灭于萌芽状态。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。