技术总结
在示例中,检测引擎根据行为识别潜在的恶意软件对象。为了规避黑名单以及基于指纹的检测,恶意软件服务器可能频繁地更改域名,并且更改分布式恶意软件代理的指纹。恶意软件代理可能只进行初始DNS查找,并且此后使用所述服务器的原始IP地址经由“裸”HTTP分组与恶意软件命令与控制服务器进行通信。所述检测引擎通过这种行为识别恶意软件代理。在一个示例中,如果可执行对象在DNS查找“生存时间”已经期满后向地址作出重复的HTTP请求,则所述对象可以被标记为潜在的恶意软件。
技术研发人员:S·莫迪古英格;B·科鲁兹
受保护的技术使用者:迈克菲股份有限公司
文档号码:201580045434
技术研发日:2015.08.25
技术公布日:2017.05.31