再次讨论"趋势SPN技术"

寒山竹语

感谢前几天会员12973的提问。在他的提问链接中，

个人觉得有一篇很有意义的文章。今儿给他翻译成简体。

供大家更好的熟悉趋势。

原帖地址：http://www.avpclub.ddns.info/discuz/viewthread.php?tid=22384

感谢原作者。



早些时候Bug大大传来一部很棒的影片，是趋势介绍自家SPN技术的影片，内容是蛮新的，可参考：http://www.trendmicro.com.tw/spn/movie/structure/index .asp

一直以来个人有一个错误的想法，就是以为WRS（网页信誉）是独立运作的。以前还一直夸WRS很好很不错，但是实际上WRS和ERS（电子邮件信誉）,FRS（文件信誉）三者是互相协助的。

拿影片中的例子来说，当ERS侦测到一个恶意邮件时，趋势SPN会反向追查"哪些服务器也在发送这份邮件"、"恶意邮件连结到哪个网站"、"网站上有哪些其他文件"。
它把相关讯息分配给WRS和FRS去入库分析，做更深入的追查。WRS会详细追查其他关连网站，再反向追查其他网站的文件，进而交给FRS判定文件是否为恶意程序。
然后建立起一个庞大的信誉评分机制，这就是为什么趋势SPN可以做到如此高准度、即时性的恶意程序侦测。

针对这次AVC趋势拿到的成绩，没开云端是68.5%（22个误报），开云端之后是90.7%（38个误报）。但是注意一点，趋势自己声明个人版是没有FRS和ERS的，所以这表示趋势把大量的威胁特征码放在连网的云端上（相较起来Panda放得更多）。显然这次测试并没有使用到WRS、FRS、ERS这三种任何信誉技术。经常测试趋势WRS的人会晓得它是怎样一个成绩，如果拿趋势WRS的侦测率来代表FRS和ERS的集合体成绩（因为三者相通），加入这次AVC测试中，趋势甚至可能会拿到99%的成绩，而误报数量却依旧。

几乎没有厂商会针对"所有"威胁去做反向监测，推理源网站、源散播邮件，而且不停的监控，这中间都归功于SPN的全自动处理。其他厂商即使有云端，通常也只对特定威胁进行反向追踪（可以从Panda和McAfee偶尔分析威胁的文章推敲）。

对于死链的问题，之前有个例子是：某恶意程序链接死了，但是趋势WRS还是侦测。官方回覆是该网址可能会重新发作，所以暂时不会拿掉红牌。

趋势的云端可能没有分散式分析，不会因为云端运算强大就能立即侦测所有威胁。但是趋势云端绝对有能力快速且大量反向监测威胁，形成一个巨大的防护体系。

本人之所以对趋势SPN有高度评价，是因为理念创新，而实际上也做到了。唯一不满是个人版到现在都还没应用ERS和FRS。
说这么多，在下目前还是用McAfee（毕竟是用正版），但是不可否认Artemis确实还没有趋势SPN好。不过McAfee本身就拥有很雄厚的战力（不开云端也有94.9%的侦测率），看来这场云端大战还有得打啰。


个人补充，其实现在趋势个人版拥有WRS,ERS,FRS技术。这个帖子是10年的。趋势很奇怪，别人家都是先拿个人用户开刀在顾及企业用户，趋势却不同。最先运用这三个技术的是企业版应用。

再来看看其他网友的回帖。。。

其实SPN就等于是整体的结构

而FRS WRS ERS就是底下所衍生的架构如此‧

三者应该是一样的，但因为需求不同与环境不同，而切割成三者

但是这样的切割，却是恰到好处，各有所长，在云端的发展上，趋势的整体架构

我认为是十分具有参考与学习的价值

不过我想各家公司，也想开创一条属于自己的路吧!

这戏还有得看
-----------------------------------------------------------------------
在下记得有一个周期，好像是几分钟一次，忘了，但是绝对在半小时以内。

例如说：WRS认为是白名单的网站（其实基本上不存在白名单这种东西，以趋势的概念是"信誉好"），但是却被ERS或FRS给侦测到有关联到恶意程式，那么信誉评等可能会下降至恶意网站的程度。这时候就会侦测。

而这个流程其实很快速，因为云端加速了资料的整合和联系。但是说下一秒正常网页就被挂马，那还是会有一点点时间差的。

不过因为趋势WRS的法则之一是针对"网页的年龄"，因此新出现的网站往往都会先被检查，这就是为什么一旦有恶意网页出现时，趋势WRS几乎都能立即拦截。

转贴到此结束，希望真心喜欢趋势的同学仔细看看内容，了解一下趋势的前瞻防御等技术。。。

法外之徒

科普贴，学习了！

CYCSQ

学习了，话说今天趋势区爆了

gaokeyi

来学习了~~~

gaokeyi

CYCSQ 发表于 2012-2-3 17:46
学习了，话说今天趋势区爆了

当然啊，有我在这里帮版主提人气了，哈哈。

CYCSQ

gaokeyi 发表于 2012-2-3 17:53
当然啊，有我在这里帮版主提人气了，哈哈。

乃的功劳大大地！

gaokeyi

CYCSQ 发表于 2012-2-3 17:54
乃的功劳大大地！

呵呵，其实感觉吧，趋势区还是能够提升人气的，借着这两天简中小抽，提升人气。不过貌似记得版主说过趋势2012正式后再抽的话，大家一起怎么来着？

CYCSQ

gaokeyi 发表于 2012-2-3 17:57
呵呵，其实感觉吧，趋势区还是能够提升人气的，借着这两天简中小抽，提升人气。不过貌似记得版主说过趋势 ...

我如果用趋势的话要么繁体版要么英文版

hilan

卡饭很需要这样的帖子，每天看着一堆“XX和XX哪个好”的帖子都无力吐槽了……

happywangxl

好帖啊，不版主劳心费力了