再次讨论"趋势SPN技术"

显示全部楼层 · 发表于 2012-2-3 16:47:08

感谢前几天会员12973的提问。在他的提问链接中，

个人觉得有一篇很有意义的文章。今儿给他翻译成简体。

供大家更好的熟悉趋势。

原帖地址：http://www.avpclub.ddns.info/discuz/viewthread.php?tid=22384

感谢原作者。

早些时候Bug大大传来一部很棒的影片，是趋势介绍自家SPN技术的影片，内容是蛮新的，可参考：http://www.trendmicro.com.tw/spn/movie/structure/index .asp

一直以来个人有一个错误的想法，就是以为WRS（网页信誉）是独立运作的。以前还一直夸WRS很好很不错，但是实际上WRS和ERS（电子邮件信誉）,FRS（文件信誉）三者是互相协助的。

拿影片中的例子来说，当ERS侦测到一个恶意邮件时，趋势SPN会反向追查"哪些服务器也在发送这份邮件"、"恶意邮件连结到哪个网站"、"网站上有哪些其他文件"。
它把相关讯息分配给WRS和FRS去入库分析，做更深入的追查。WRS会详细追查其他关连网站，再反向追查其他网站的文件，进而交给FRS判定文件是否为恶意程序。
然后建立起一个庞大的信誉评分机制，这就是为什么趋势SPN可以做到如此高准度、即时性的恶意程序侦测。

针对这次AVC趋势拿到的成绩，没开云端是68.5%（22个误报），开云端之后是90.7%（38个误报）。但是注意一点，趋势自己声明个人版是没有FRS和ERS的，所以这表示趋势把大量的威胁特征码放在连网的云端上（相较起来Panda放得更多）。显然这次测试并没有使用到WRS、FRS、ERS这三种任何信誉技术。经常测试趋势WRS的人会晓得它是怎样一个成绩，如果拿趋势WRS的侦测率来代表FRS和ERS的集合体成绩（因为三者相通），加入这次AVC测试中，趋势甚至可能会拿到99%的成绩，而误报数量却依旧。

几乎没有厂商会针对"所有"威胁去做反向监测，推理源网站、源散播邮件，而且不停的监控，这中间都归功于SPN的全自动处理。其他厂商即使有云端，通常也只对特定威胁进行反向追踪（可以从Panda和McAfee偶尔分析威胁的文章推敲）。

对于死链的问题，之前有个例子是：某恶意程序链接死了，但是趋势WRS还是侦测。官方回覆是该网址可能会重新发作，所以暂时不会拿掉红牌。

趋势的云端可能没有分散式分析，不会因为云端运算强大就能立即侦测所有威胁。但是趋势云端绝对有能力快速且大量反向监测威胁，形成一个巨大的防护体系。

本人之所以对趋势SPN有高度评价，是因为理念创新，而实际上也做到了。唯一不满是个人版到现在都还没应用ERS和FRS。
说这么多，在下目前还是用McAfee（毕竟是用正版），但是不可否认Artemis确实还没有趋势SPN好。不过McAfee本身就拥有很雄厚的战力（不开云端也有94.9%的侦测率），看来这场云端大战还有得打啰。

个人补充，其实现在趋势个人版拥有WRS,ERS,FRS技术。这个帖子是10年的。趋势很奇怪，别人家都是先拿个人用户开刀在顾及企业用户，趋势却不同。最先运用这三个技术的是企业版应用。

再来看看其他网友的回帖。。。

其实SPN就等于是整体的结构

而FRS WRS ERS就是底下所衍生的架构如此‧

三者应该是一样的，但因为需求不同与环境不同，而切割成三者

但是这样的切割，却是恰到好处，各有所长，在云端的发展上，趋势的整体架构

我认为是十分具有参考与学习的价值

不过我想各家公司，也想开创一条属于自己的路吧!

这戏还有得看
-----------------------------------------------------------------------
在下记得有一个周期，好像是几分钟一次，忘了，但是绝对在半小时以内。

例如说：WRS认为是白名单的网站（其实基本上不存在白名单这种东西，以趋势的概念是"信誉好"），但是却被ERS或FRS给侦测到有关联到恶意程式，那么信誉评等可能会下降至恶意网站的程度。这时候就会侦测。

而这个流程其实很快速，因为云端加速了资料的整合和联系。但是说下一秒正常网页就被挂马，那还是会有一点点时间差的。

不过因为趋势WRS的法则之一是针对"网页的年龄"，因此新出现的网站往往都会先被检查，这就是为什么一旦有恶意网页出现时，趋势WRS几乎都能立即拦截。

转贴到此结束，希望真心喜欢趋势的同学仔细看看内容，了解一下趋势的前瞻防御等技术。。。

显示全部楼层 · 发表于 2012-2-3 17:33:10

科普贴，学习了！

显示全部楼层 · 发表于 2012-2-3 17:46:10

学习了，话说今天趋势区爆了

显示全部楼层 · 发表于 2012-2-3 17:53:01

来学习了~~~

显示全部楼层 · 发表于 2012-2-3 17:53:30

CYCSQ 发表于 2012-2-3 17:46
学习了，话说今天趋势区爆了

当然啊，有我在这里帮版主提人气了，哈哈。

显示全部楼层 · 发表于 2012-2-3 17:54:57

gaokeyi 发表于 2012-2-3 17:53
当然啊，有我在这里帮版主提人气了，哈哈。

乃的功劳大大地！

显示全部楼层 · 发表于 2012-2-3 17:57:30

CYCSQ 发表于 2012-2-3 17:54
乃的功劳大大地！

呵呵，其实感觉吧，趋势区还是能够提升人气的，借着这两天简中小抽，提升人气。不过貌似记得版主说过趋势2012正式后再抽的话，大家一起怎么来着？

显示全部楼层 · 发表于 2012-2-3 17:59:04

gaokeyi 发表于 2012-2-3 17:57
呵呵，其实感觉吧，趋势区还是能够提升人气的，借着这两天简中小抽，提升人气。不过貌似记得版主说过趋势 ...

我如果用趋势的话要么繁体版要么英文版

显示全部楼层 · 发表于 2012-2-3 18:14:08

卡饭很需要这样的帖子，每天看着一堆“XX和XX哪个好”的帖子都无力吐槽了……

显示全部楼层 · 发表于 2012-2-3 18:25:48

本帖最后由 happywangxl 于 2012-2-3 18:26 编辑

好帖啊，不版主劳心费力了

显示全部楼层 · 发表于 2012-2-3 18:40:59

CYCSQ 发表于 2012-2-3 17:46
学习了，话说今天趋势区爆了

昨天也可以呀。这两天有点超前了

不过冷清也快。毕竟可讨论的内容不多。

显示全部楼层 · 发表于 2012-2-3 18:44:03

gaokeyi 发表于 2012-2-3 17:53
当然啊，有我在这里帮版主提人气了，哈哈。

有德刚兄弟在，心情都开朗

之前一直想写一个这样的帖子，无奈文字功底和逻辑能力差得很。天遂人愿，现成的来了。
看完这个帖子，有什么感想？

显示全部楼层 · 发表于 2012-2-3 18:44:47

hilan 发表于 2012-2-3 18:14
卡饭很需要这样的帖子，每天看着一堆“XX和XX哪个好”的帖子都无力吐槽了……

是呀，卡饭xx和xx的帖子，对于老人来说，对于技术论坛来说，都不是好现象。

显示全部楼层 · 发表于 2012-2-3 18:54:01

谢谢版主关注我啊~!

我也觉得是很有意义的文章

显示全部楼层 · 发表于 2012-2-3 19:30:03

先来看看，明天仔细看，到时候说不定我会来挑毛病

显示全部楼层 · 发表于 2012-2-3 20:25:57

本帖最后由 rising0809 于 2012-2-3 20:30 编辑

这绝对是个好贴啊。
不拿个人版做试验，直接先上企业版，至少说明新技术上的时候已经比较稳定了，在保守投入使用。辩证地看，这点太好了，谁说求新就可以让个人版牺牲一定的稳定性，让你拿来做试验，趋势对个人版还是比较尊重的。

显示全部楼层 · 发表于 2012-2-3 20:29:58

厉害的宣传广告

显示全部楼层 · 发表于 2012-2-3 20:32:10

yeow5243 发表于 2012-2-3 20:29
厉害的宣传广告

这叫技术演示。
我一看到你头疼。。。

显示全部楼层 · 发表于 2012-2-3 20:32:58

我只知道前不久刚装上趋势后到样本区发现趋势扫描很悲剧，接着虚拟机里双击样本，趋势一点反应都没有就和虚拟机里的系统一起挂了，就对趋势失望了

显示全部楼层 · 发表于 2012-2-3 20:33:58

zeroten 发表于 2012-2-3 20:32
我只知道前不久刚装上趋势后到样本区发现趋势扫描很悲剧，接着虚拟机里双击样本，趋势一点反应都没有 ...

本地这么测试的话，没有不挂的。放心。
中毒又不是这么来的。

[转帖] 再次讨论"趋势SPN技术"

评分

评分

评分