恶意软件进化研究的优势是什么？

Question

作为标题，有一些关于恶意软件开发的研究。但它们只是提供了一个优势：“研究恶意软件家族的关系可以成为一个强大的网络防御工具”。

我认为这个理由并不清楚。有谁知道明显的优势吗？

Answer 1

研究恶意软件家族之间的关系是至关重要的，因为它使恶意软件识别和聚类变得更加容易。

任何单一的恶意软件样本很少是完全唯一的。就像在非恶意软件开发中一样，一个新的恶意软件示例通常会重用旧示例中的代码和/或技术。

恶意软件研究人员可以通过签名查找这些共享元素。这些签名将对具有类似特性的恶意软件样本进行聚类(或“组”)。例如，您可以编写签名来识别包含DNS中毒和浏览器设置劫持等技术的示例。你也可以写签名来识别特定恶意软件运动的成员，比如宙斯或康菲克。

这样的签名可以(1)通过检测给定文件包含恶意软件来保护用户，(2)用于跟踪恶意软件的变化和传播情况。

当研究人员理解恶意软件样本之间的关系，而不是试图孤立地研究每个样本时，这就成为可能。