未来检测恶意软件的方式竟是它？

对于检测OS X系统上恶意软件的方式，未来用的会是pattern和热图可视化的方法而不是在机器中加入相应的算法。

来自荷兰代尔夫特理工大学的毕业生Vincent Van Mieghem在周一时发布了一篇学术论文，描述了OS X系统中一个重复性的pattern可被用来检测系统中是否存在恶意软件。

从实验概率上来说，Van Mieghem的检测方法非常成功，检测OS X系统上恶意软件的成功率是100%，几乎是0误差。

这种方法是基于系统调用，Van Meighem使用手动序列分析和热图可视化来跟踪调用轨迹，从而可以找出恶意软件。原理是：正常的调用轨迹和有恶意软件的调用轨迹是不同的。

Van Meighem在论文中说道：

我的方式是只提取恶意软件系统调用的重复pattern，然后利用这些pattern鉴定是不是一个恶意的进程。

Van Meighem在OS X 10.11.3 EI Capitan系统的虚拟机上测试了23种功能不同的恶意软件，并且得到了它们的系统调用轨迹。得来轨迹后，他把每个恶意软件的调用和数据点放到一个含有x轴和y轴的热图里面，一眼便能清晰可见恶意进程有多次调用。

Van Mieghem还研究了OS X系统上早期发现的几个恶意软件，比如Flashback、2011年的Trojan、2014年的WireLurker。今年二月份，他研究调用pattern之后，又在OS X上发现了一些新恶意软件，比如KeRanger木马和Pirrit恶意广告软件，从而更加肯定了他研究的正确性。

Van Miehem提到：

大部分的恶意软件对shell进程的系统调用都可以清楚的看到，系统调用的次数和与shell的交互是判断恶意软件较为准确的一种方式，但是在power users系统下数据会偏高，这是这种方式的缺陷。power users就是运行编译器或者解释器（比如Python 和JavaScript）的平台。因为这些平台允许二进制的调用，并且还会执行shell进程。

Van Mieghem在周二接受Threatpost采访时也强调了算法的重要性，但他的研究是想找到一个不依赖在机器中加入算法并且实用的检测方法。耐用、可重复利用是他对自己研究技术的描述。

仅仅做签名检查来检测恶意软件是不充足的，将来的趋势可能是算法或探索式检测方法。

虽然现在OS X系统上的恶意软件并没有Windows上的恶意软件种类繁多，但是去年OS X上的恶意软件数量是过去五年总和的5倍。

上周，Kaspersky Lab的研究人员发现了OS X后门程序的变种——Mokes，它可以捕捉声音，屏幕快照，监测特定类型的文件，从而执行黑客们的恶意命令。