windows defender殺毒能力,系統(tǒng)為windows defender應(yīng)用程序防護(hù)

　　鑒于日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，依靠安全研究人員手動追蹤分析惡意軟件顯然已經(jīng)不能滿足大多數(shù)用戶的防護(hù)需求。因此，在最近的安全博文中，微軟透露了如何通過機(jī)器學(xué)習(xí)技術(shù)自動化和多層次分析，盡早識別新的惡意軟件。目前多層機(jī)器學(xué)習(xí)模型已經(jīng)應(yīng)用在Windows Defender的殺毒軟件中，對不同階段得到的數(shù)據(jù)進(jìn)行分析。

　　如圖：從上到下依次是原生啟發(fā)式分析、元數(shù)據(jù)學(xué)習(xí)模型、樣本分析學(xué)習(xí)模型、動態(tài)分析模型、大數(shù)據(jù)分析。在本機(jī)的啟發(fā)式分析中，如果認(rèn)為可疑文件有大問題，會在第二階段自動分析，沒有問題，會自動放行。從元數(shù)據(jù)分析開始，都是在微軟云端自動分析的。這時(shí)會檢測出可疑文件的源代碼，然后根據(jù)其特征進(jìn)行分類。然后將可疑文件作為樣本進(jìn)行進(jìn)一步分析，并將分析結(jié)果與云端數(shù)據(jù)庫中的類似結(jié)果進(jìn)行比對。如果還是不能確定可疑文件是不是惡意軟件，我們就執(zhí)行云分析的關(guān)鍵點(diǎn)：爆炸式分析模式。

　　引爆式（動態(tài)）分析和大數(shù)據(jù)分析：

　　在這里，Windows Defender會將可疑文件放在沙箱中運(yùn)行，然后觀察可疑文件在運(yùn)行過程中的行為。例如，試圖修改或復(fù)制其他文件、修改注冊表項(xiàng)以及試圖注入其他進(jìn)程的可疑文件將被記錄和分析。分析結(jié)果將與云數(shù)據(jù)庫中具有類似行為的惡意軟件的結(jié)果進(jìn)行比較，這樣甚至可以識別出新的惡意軟件。

　　數(shù)十分鐘確定惡意軟件變種實(shí)例：

　　2017年10月14日11點(diǎn)47分，俄羅斯圣彼得堡一名Windows Defender用戶從惡意網(wǎng)站下載了一個(gè)可疑文件?？梢晌募雌饋砗芟馎dobe Flash Player的更新，但實(shí)際上更新真的是壞兔子勒索病毒變種。Windows Defender在這臺機(jī)器上進(jìn)行啟發(fā)式分析時(shí)認(rèn)為不可信，于是檢查可疑文件，并開始連接云端服務(wù)器進(jìn)行查詢。查詢云服務(wù)器后發(fā)現(xiàn)，有幾個(gè)元數(shù)據(jù)學(xué)習(xí)模型認(rèn)為文件可疑，但沒有一個(gè)模型認(rèn)為文件是惡意的。緊接著，Windows Defender鎖定了本地可疑文件，等待進(jìn)一步分析。幾秒鐘后，云端返回惡意概率為81.6%的結(jié)果。而Windows Defender默認(rèn)攔截概率是90%，所以文件還沒有達(dá)到可以直接攔截阻止運(yùn)行的情況。

　　過了一段時(shí)間，云服務(wù)器發(fā)現(xiàn)全球8名受害者已經(jīng)被勒索軟件控制。對比后發(fā)現(xiàn)，這些勒索行為非常相似。于是這位用戶在圣彼得堡的Windows Defender開始在沙盒中進(jìn)行動態(tài)分析，分析完成后將結(jié)果上傳到云端進(jìn)行對比。經(jīng)過比對，確認(rèn)其行為與已被勒索病毒控制的電腦上的惡意軟件相似，因此判斷文件的惡意概率上升至90.7%。這個(gè)概率已經(jīng)達(dá)到了Windows Defender的攔截要求，所以云服務(wù)器發(fā)出指令要求Windows Defender攔截。至此，這個(gè)壞兔子勒索病毒的最新變種在十分鐘內(nèi)被成功識別，其他所有電腦在遇到這個(gè)變種后直接停止運(yùn)行。