恶意软件属性枚举和表征(MAEC™)(读作“迈克”)是一个由社区开发的结构化语言编码和共享高保真恶意软件基于属性信息等行为,工件和恶意软件样本之间的关系。
通过消除歧义和不准确,目前存在于恶意软件描述和减少依赖签名,MAEC旨在:
恶意软件也称为“恶意软件”——负责各种恶意的活动,从垃圾邮件分布通过僵尸网络窃取敏感信息通过有针对性的社会工程攻击。有效地自主代理操作代表攻击者恶意软件可以执行任何操作,可以表达了在代码中,因此,对网络安全构成重大威胁。
因此,保护计算机系统免受恶意软件是一个主要的网络安全问题对组织和个人,即使是单个实例的未捕获恶意软件可能导致系统损坏和破坏数据。
到目前为止,大多数的反恶意软件的努力专注于早期检测,在最常见的方法是基于物理签名和启发式。尽管经常有效,这种方法有明显的缺陷。例如,签名不适合处理零日,目标,多态,和其他形式的新兴恶意软件。同样,启发式检测可能一般检测某些类型的恶意软件,但它会错过那些对于它没有模式,如内核级rootkit。因此,这些方法不能完全依赖处理当前的恶意软件。
现代检测方法和打击恶意软件往往依赖于恶意软件的特征属性和行为。
一般来说,这样的行为和属性是通过静态和动态分析技术发现。两者的结合可以将一个包含恶意软件的构建基于恶意软件的拆卸二进制和观察到的运行时行为。
之前MAEC,缺乏一个公认的标准明确地描述恶意软件意味着没有明确的方法,沟通具体的恶意软件检测到的恶意软件属性分析,也没有列举的基本构成。结果包括non-interoperable和不同组织之间的恶意报道,杂乱的或不准确的归因的恶意软件,恶意软件分析的重复努力,增加难以确定一个恶意软件的威胁的严重性,和一个更大的恶意软件感染和检测/响应之间的延迟。
MAEC解决了这些问题。恶意软件使用抽象模式的描述提供了一个广泛的福利产品的物理特征,并允许恶意软件如何运作的准确的编码和它执行的具体行动。这些信息不仅可以用于恶意软件检测,而且对恶意软件的阐述了恶意软件正在评估和相应的威胁。
专注于恶意软件的属性和行为促进了新兴的检测和分析,复杂的恶意软件的威胁,绕过传统的基于特征码和启发式方法。描述恶意软件以标准方式支持跨组织的协作和共同行为的识别,恶意软件的功能和代码实例。
MAEC语言由两个规范文档定义。的核心概念文档介绍MAEC,提供高层用例,并定义MAEC数据类型和顶级对象。的词汇表文档提供了显式值为每个开放核心概念文档中引用的词汇。此外,非规范化JSON模式和示例也可用。
MAEC模式开发,使分析师捕捉信息的全部恶意软件。然而,MAEC包以最小的信息是有效的。只需要定义四个属性:类型(“包”),一个独特的标识符,MAEC模式版本,和一个MAEC对象。其他所有属性都是可选的。
采用高保真的MAEC编码信息恶意软件社区的主要好处:
消除歧义和恶意软件的描述不准确——human-to-tool MAEC改善人际tool-to-tool, tool-to-human通信反恶意软件相关信息。这对所有主要利益相关者会产生积极的影响,包括生产者和消费者的恶意软件和相关的恶意软件分析数据,以及终端用户的恶意软件工具预防和缓解。
减少重复的恶意软件分析工作——描述恶意软件的常见方法以及相应的标准为恶意软件分析报告,将允许研究人员和分析师确定是否一个特定的恶意软件的实例已经被分析了。
改进的恶意软件的一般认识——一个广泛采用的标准描述恶意软件将允许提高公众意识的恶意软件威胁和活动。
减少恶意软件威胁的总体响应时间——MAEC标准方法描述恶意软件的行为将使对策以前观察到的恶意软件实例杠杆,导致更快的缓解和响应。
的MAEC社区包括代表杀毒厂商、操作系统供应商、软件供应商、用户,安全服务提供商,和其他来自国际网络安全社区的人一起帮助建立这种增长,开源行业工作。
一些捷径:
MAEC社区讨论列表——社区成员讨论最新的版本的MAEC规范、模式、公用事业、和其他物品MAEC不可或缺的持续的发展。
百科全书的恶意软件属性——MAEC社区合作构建语义mediawiki的恶意软件功能,行为,和结构特征,及其相关属性。
MAECProject GitHub工具和实用程序——中央位置MAEC社区成员作出开源贡献MAEC MAEC模式发展和管理问题跟踪,公用事业和其他支持信息和物品。
反馈是受欢迎的在maec@mitre.org。