查看: 19546|回复: 136
收起左侧

[技术探讨] 【原创翻译+动态图制作】揭秘WD最新技术+独特光学系统+云防护下一步计划

  [复制链接]
驭龙
发表于 2016-10-17 14:53:07 | 显示全部楼层 |阅读模式
本帖最后由 驭龙 于 2016-10-17 16:44 编辑

     首先说一下本帖根据BRK2205技术文档的PPT人工翻译制作,英文一直是我的软肋,部分无用的内容我就没有翻译,如果翻译错误请各位多多包涵,其中一些内容的意思是一样的,只是我换一种好了解的方式翻译了,另外Optics是微软的技术术语,这个词是光学或者光学式的意思,所以我翻译为光学系统。

WD独一无二的光学系统:
    WD的独特光学系统已经应用到微软的绝大部分产品当中,提供设备防御、服务器防御、服务防御,以及使用微软安全生态系统,都有WDUO(Windows Defender Unique Optics的缩写)的参与,如下图所示:
W 1 1.jpg

     WDUO拥有难以想象的大数据基础,它涉及到的数据量,我真的是惊呆了,我没见过几个云大数据分析能有这个级别的,相关信息如下图所示:
W 1 2.jpg

     现在的反病毒情况,并不是很乐观吗?特征码需要20小时以后才能抑制住威胁,而MMPC人工写入特征码每天是150左右,每个月的引擎更新会融入五百多个威胁家族到特征基础库中。
如下图所示:
W 1 3.jpg

WD云防护与首次看见时阻止功能:
     这个是本帖的重中之重,也是最让我花费时间的地方,昨天一晚上都在弄这个了,先看动态图,然后我在简单解说一下,关于WD云防护技术细节如下动图所示:
W 2 1.gif

     上动图的基本原理,我在这里简单说明一下:
     首先攻击者发送邮件到用户处,随后在服务器上生成新的恶意文件,用户一号点击邮件,下载了攻击者的新恶意文件,用户一号的WD发送新威胁的元数据(metadata)到WD云,WD云开始评估元数据,但没有结果,因为文件非常稀少,WD云请求用户一号反馈新威胁的文件。

     接下来是首次看见时阻止功能,流程接着上一步的用户一号反馈的新威胁,WD云确认文件结果,用户一号运行威胁样本,系统被威胁感染,WD云防护开始自动化处理文件,机器学习将文件分类为恶意软件。
     WD云防护确认用户一号的文件是威胁以后,用户二号再通过邮件下载这个新威胁的时候,下载到本地的新威胁会被用户二号的WD通过云防护阻止这个威胁在系统上运行,这就是云防护的快速响应。
PS:难怪我上次测试的时候,白文件很快就不阻止了,原来是云完成分析了。

     WD的云智能体系都是通过WDUO供给各种数据,然后机器学习模块,自动化分类为干净文件或者恶意文件,再用模糊哈希算法,完成样本到云防护的效果,如下图所示:
W 2 2.jpg

WD云/行为分析文件系统(BaFS应该是这个意思)的体验和效果:
     下图所示中仅使用客户端防护的用户在威胁首次出现的二十四小时内,会有一小部分用户感染威胁。
     而Windows 10 周年更新的WD带有云防护,把威胁首次出现感染的时间缩短到一个小时,但还是会有很少一部分用户感染威胁,八个小时以后就不会再有感染用户。
     下一个版本的云防护会把感染者降到最低,达到秒级的响应速度。

W 3 1.jpg

     现在的Windows 10 AU上的WD在一个小时内无法阻止新威胁感染系统,需要八个小时的时间才能完成阻止新威胁的响应,之后只需要几百毫秒的延迟,就可以阻止威胁感染系统,如下图所示:
W 3 2.jpg

      微软的下一步计划是达到分钟级别和秒级的响应速度,进而让系统不被新威胁感染,这样的响应速度,是什么概念?我真的有一点期待!下图所示就是微软WD云防护的下一步计划。
W 3 3.jpg

     微软顺便还说他们的保护技术和阻止技术不单单是传统特征签名,这些都是WIN 10以后的新技术。
W 4 1.jpg

     PUA功能说什么是给企业用户的,实际上个人用户也可以通过注册表开启,当然Windows 10 专业版用户是可以用组策略,开启PUA保护功能。

W 5 1.jpg

      感谢大家阅读,如有错误请见谅,本帖到此结束,谢谢大家对我的支持,如果我有时间会继续奉上更多技术帖跟大家分享!

评分

参与人数 12分享 +3 人气 +12 收起 理由
飞霜流华 + 1 版区有你更精彩: )
HEMM + 1 布吉岛这道光可以穿透神网吗~
root1605 + 2
aice7837 + 1 精品文章
sunnyjianna + 1 大湿好文采

查看全部评分

ELOHIM
发表于 2016-10-17 15:09:21 | 显示全部楼层

又给我升级系统增加了很大动力。
>>>
  
          像小丑一样被人浅笑的基准线。   
          让他们永远禁用下去寻找其它强大慰藉吧……
GreenCodes
发表于 2016-10-17 15:10:14 | 显示全部楼层
秒级响应,牛逼
驭龙
 楼主| 发表于 2016-10-17 15:13:24 | 显示全部楼层
ELOHIM 发表于 2016-10-17 15:09
又给我升级系统增加了很大动力。
>>>
  

我期待的是下一步的秒级响应速度。

PS:看隔壁的翻译帖信息量跟我这个差不多,人家得了一枚技术值,不知道我这个会不会有技术值,毕竟也是原创翻译,还有动图和完善的介绍呢

评分

参与人数 1人气 +1 收起 理由
root1605 + 1 是累计》》》

查看全部评分

驭龙
 楼主| 发表于 2016-10-17 15:15:32 | 显示全部楼层

是啊,以后是分钟级别或者秒级别的,但具体效果如何就不好说了,毕竟还没有发布
ELOHIM
发表于 2016-10-17 15:17:00 | 显示全部楼层
驭龙 发表于 2016-10-17 15:13
我期待的是下一步的秒级响应速度。

PS:看隔壁的翻译帖信息量跟我这个差不多,人家得了一枚技术值,不 ...

哪个贴子啊?
没注意到呢……
驭龙
 楼主| 发表于 2016-10-17 15:19:07 | 显示全部楼层
ELOHIM 发表于 2016-10-17 15:17
哪个贴子啊?
没注意到呢……

Avast区的那个翻译帖,所以我也希望有新的技术值入手
ELOHIM
发表于 2016-10-17 15:20:07 | 显示全部楼层
驭龙 发表于 2016-10-17 15:19
Avast区的那个翻译帖,所以我也希望有新的技术值入手


我很久都没有去过小A区。。
君陌潇
发表于 2016-10-17 15:27:34 | 显示全部楼层
可能红石2前期 还不能达到 分钟级别或者秒级别。不过最近提交样本 WD分析倒是快5-10分钟就把结果弄出来了。
驭龙
 楼主| 发表于 2016-10-17 15:30:54 | 显示全部楼层
君陌潇 发表于 2016-10-17 15:27
可能红石2前期 还不能达到 分钟级别或者秒级别。不过最近提交样本 WD分析倒是快5-10分钟就把结果弄出来了。

不要着急,现在的RS2预览版的WD还在精简代码和功能,新变化还没有上呢
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-8-23 23:38 , Processed in 0.140110 second(s), 9 queries , MemCache On.

快速回复 返回顶部 返回列表