基于浏览器的网络威胁

• 细分
• 嵌入文件
• 可疑的函数参数
• 代码注入的证据，如隐藏的iframe或异常标记
• 代码混淆的迹象，例如编码，或特定的JavaScript函数，如加密或指纹识别
• 利用的迹象 - 结构相似性，签名

(2) 动态 - 行为异常

• 异常进程行为 - 代码可能不会丢弃文件但可能会导致网络连接异常，或者尝试启动异常进程
• 堆喷涂 - 通过利用浏览器漏洞将代码插入预定位置
• 尝试修改系统文件或组件
• 与已知恶意站点或命令和控制中心的连接
• 逃避战术如拖延

虽然通过分析组织员工遇到的每一点JavaScript和Flash内容，当然可以查找上面列出的所有可能的异常，但这是不切实际的。对每个实例进行全面测试至少需要一定程度的行为分析，这可能需要60秒或更长时间。鉴于典型公司的员工每天都会遇到大量的JavaScript和Flash，因此对所有员工进行全面的行为分析是不可行的。幸运的是，我们没有。

过滤方法可以评估基于浏览器的威胁

良好的恶意软件检测引擎可以分阶段评估代码，而不是让每个JavaScript实例都进行完整的静态和动态分析。在初始阶段，引擎仅执行静态分析，不需要执行代码。由于恶意软件检测系统可以实时执行此操作，因此可以在此级别评估所有JavaScript和Flash内容。成功通过此过滤器的代码，大部分将在正常操作期间执行，无需进行其他测试。

在恶意软件检测引擎在初始静态分析阶段遇到异常的情况下，它可以更密切地检查代码。最严格和耗时的测试只需要在以前所有测试都表明存在大量恶意软件风险的罕见情况下进行。例如，静态分析可能会识别可能是恶意的功能，例如数据加密。可以加密数据的代码可能是勒索软件。在这种情况下，系统还将执行动态分析，以确定代码是否确实是恶意行为，或者是否以良性和适当的方式使用加密功能。

静态分析可以有效地检测各种异常，例如异常宏，丢失或添加的结构或段，与网络犯罪分子使用的命令和控制服务器的对应等等。其中一些功能非常表明恶意，系统可以立即将对象评为高风险。如果有任何疑问，系统还会执行动态分析来测试代码执行时实际执行的操作。

如果静态分析没有发现任何可疑之处，系统可以以高准确率将对象评分为低风险并绕过动态分析。

通过使用这种分阶段的方法，系统可以完全测试所有可疑对象，从根本上消除误报。结合仅在必要时执行动态分析所获得的效率，测试所有JavaScrip文件是否存在恶意软件变得可行。

恶意软件不断发展，我们必须这样做

网络犯罪分子一直在努力寻找新的更有效的方式来渗透我们的计算机，设备和网络。基于浏览器的网络威胁最近的演变是一个难以检测和有效的恶意新技术的尖锐例子。

由于传统的反恶意软件产品几乎不可能有效地评估所有JavaScript和类似的基于浏览器的对象，因此企业通常容易受到这些新威胁。为了有效地保护自己，组织还必须不断发展并不断升级其威胁防御工具，以应对恶意软件的变化。一种方法是实

（编辑：泉州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!