ESET与机器学习（上）

jamsmiter

虽然说有些看不懂的样子，感觉ESET的官方回复还是蛮真诚的。
但是用过多种国内外杀软后，表示还是ESET比较靠谱，虽然说论能力都没法跟360的QVM比，但毕竟360是个特例。

灭灭之痕

楼主辛苦，我猜测ESET所提出的说法是很普遍的一种想法，一个静态的理想问题在动态的实际场景中，往往很难找到所谓的最终方案。机器学习最近虽然很火，但是也并非灵丹妙药。
个人认为，类似Windows这类“基于用户”的系统，可能就不存在所谓的“最终方案”，因为当我们去判定一个程序是0或者是1时，思路上就和人们对于软件的实际需求是不同的，所以最后要么漏杀、要么误杀，样本学习形成的分界虽然整体上是“有范围的“，但是本质上可能是在变动的，不是一个静态的界限，当安全软件通过各种方式能够精确到这个界限后，可能还要尽可能追上它变动的步伐。
记得以前有人提过”网络安全的社会因素“，我觉得也很有趣，提到就是在某个时期内，某种样本因为很少有人涉足，从而一刀切可能就能解决（无人争夺的无人区），但是当涉足的人多了之后，就需要开始玩精确化了，而如果还是维持已有的操作系统的基本使用模式下，新的操作系统将带来更多的”无人区“，从而导致安软厂家和黑客们不得不在新的无人区里面不断地争夺。

B100D1E55

jamsmiter 发表于 2017-7-13 21:03
虽然说有些看不懂的样子，感觉ESET的官方回复还是蛮真诚的。
但是用过多种国内外杀软后，表示还是ESET比较 ...

ESET其他不说，误检肯定比QVM控制的好。虽然QVM的确算国产之光了，不过之前用的时候有一些误报还是相当讨厌的

B100D1E55

灭灭之痕 发表于 2017-7-13 22:54
楼主辛苦，我猜测ESET所提出的说法是很普遍的一种想法，一个静态的理想问题在动态的实际场景中，往往很难找 ...

“无人区”这个说法还挺有意思的。
说难听一点，对高市占率的杀软而言补漏和已知广谱检测远比玄而又玄的未知检测来得重要。强效精准的广谱侦测直接带来对抗成本的提升，在这场概率游戏中就占优势

灭灭之痕

B100D1E55 发表于 2017-7-14 10:21
“无人区”这个说法还挺有意思的。
说难听一点，对高市占率的杀软而言补漏和已知广谱检测远比玄而又玄的 ...

按照我的理解，安全软件和黑客们就是在下围棋，双方一开始会抓住一些点开始争夺，所以战线各种变迁，细化。
唯一不同于围棋的是，棋盘的格子可以无限放大（颗粒度精细化），而整个棋布还可以无限扩大（类似RPG游戏里面不断扩大视野一样）。前者出现的原因是杀毒软件对于“黑白”的判定条件有限（对于有害文件的定义本身是有限的，因此条件是有限的，因此永远可以与漏洞可以钻），后者主要原因是操作系统的本身会发展，而可能导致的漏洞也会增加。
无人区比较特别，它其实“当前棋盘”中，双方争夺较少的环节，之所以出现这种情况，从主动方的黑客来说，可能该类型（虽然这个时候完全没有办法去设定一个“类型”）是因为开发难度大也可能是因为相应的技术不够成熟，接触的人比较少。但是在一定时间后，这个无人区可能就会被人利用起来，双方的战火又延伸到这里。还有一种无人区，类似勒索病毒最近的情况，是从双方比较暧昧的地方延伸出来的，是颗粒度精细化的结果，但是之所以无人，可能是因为部分黑客出于某些目的并不会在发现漏洞之前直接公开，先存着。
所以感觉到最后，商家们玩命想要超脱出“特征码”的限制，结果也只是从一个小的“特征码”钻到一个更大的“特征码”（类似行为、模式）里面去。

B100D1E55

灭灭之痕 发表于 2017-7-14 10:48
按照我的理解，安全软件和黑客们就是在下围棋，双方一开始会抓住一些点开始争夺，所以战线各种变迁，细化 ...

今日的反病毒侦测核心终归没有走出80年代Cohen那些前瞻性讨论。当时他就已经讨论过从表征、行为等层面进行病毒侦测的手段和相应的局限性（基本上都是不可判定的）。当然就检测模型发展而言精确度和广谱度都有很大提升，这是另话

棋盘不一定持续变大，操作系统的迭代虽然可能引入新问题，但也封死了大量攻击手段（CFG等等改进都是典型代表了）。至于为什么近几年ransomware才火起来，我个人并不是很理解。毕竟ransomware这种门槛极低、道德上也相当下三滥的东西除了早年赎金支付手段有限之外就很难想到什么技术局限了。我在想是不是一些家伙在早年一些廉价手段逐渐被封死之后，就转而钻这种普通权限管控的漏洞（行为上和正常程序类似、侦测困难）。毕竟挖洞成本和门槛远比开发这种程序来的高。当年fakeAV、锁机之类的还要考虑绕过自启动防护、底层访问防护等等，ransomware基本都不用考虑这些难题。我觉得这是低级攻击变得困难的体现之一。

灭灭之痕

B100D1E55 发表于 2017-7-14 11:13
今日的反病毒侦测核心终归没有走出80年代Cohen那些前瞻性讨论。当时他就已经讨论过从表征、行为等层面进 ...

不知道您有没有那些讨论的相关介绍，挺想拜读下。
棋盘变大的原因，我认为复杂的系统逻辑肯定会带来相应的漏洞，从某种意义上来说，所谓棋盘变大了，但是可能一部分曾经斗争焦灼的棋盘会被挖空或者被遗弃。所以那个东西叫“网络安全社会因素”，个人认为有些时候已经不仅仅是技术层面的问题了。技术上，可能安全软件已经守住了大多数问题，但是问题在于社会学。比如我现在写了一个很蠢的程序，目标是遍历并且干掉所有DOC文件，但是我会要求用户赞同我做这件事情。但是我给用户的提示很简单：点击安装XXX安全卫士。

B100D1E55

灭灭之痕 发表于 2017-7-14 11:34
不知道您有没有那些讨论的相关介绍，挺想拜读下。
棋盘变大的原因，我认为复杂的系统逻辑肯定会带来相应 ...

我当时看的是这篇，我觉得挺有启发性的，不过没看到有中文对应的文章，见谅
杀软平日不要乱报毒是对抗社工的有效方式之一，每次看到有人说加排除加到手软，我就觉得中招指日可待了

安全的另一个大问题（大机遇）是硬件。很多软件的妥协是因为性能考量，其实辅以相应的硬件支持实现一些细密的监控（taint check，flow check）性能和颗粒度都能比软件好很多。同时，硬件的安全也是个大麻烦（AMT典型代表）。这方面比较难开拓，因为解决方案基本处于被垄断状态，而且性能至上的市场对这类也不是特别友好

jamsmiter

B100D1E55 发表于 2017-7-14 10:07
ESET其他不说，误检肯定比QVM控制的好。虽然QVM的确算国产之光了，不过之前用的时候有一些误报还是相当讨 ...

早些年的ESET，是真正【轻、快、准、狠】的代名词，给我印象最深的是它那经典的Nod32 v2.7版本，速度快的在垃圾老爷机上都飚的起，优化做的非常遛，而且病毒库还能跟它当时的DOS版本通用，可惜在12年5月份的时候就彻底停止技术支持了，后续用过3.0 4.0版本，感觉也都很清爽。如今很少能用杀软了，只是偶尔在下载一些自己都不太确定的文件的时候，拿出老版本的国际QVM来进行心理补偿补偿。
不黑不吹，3X0是比较叼的，但是其自身历史原因很难让人彻彻底底放心，所以只能用它的国际老版本，新版广告也有些受不了。而且大部分时间都是让它歇着的
还有一个印象比较好的杀软是F-PROT，之所以印象好，完全是出于它的冷门