我们的McAfee在云端--------零距离接触McAfee Artemis Technology

洒家谈谈

洒家前言:很早之前就想介绍一下Artemis,但是一直都没下手,今天决定系统普及一下Artemis,资料主要来源于McAfee官方网站. 也顺便翻阅了以前的Artemis的帖子,整理了一下其中的精华部分.

McAfee早在2008年就推出了自己的云技术Artemis.具体测试(传说中的传送门：）
http://bbs.kafan.cn/thread-334089-1-1.html

洒家谈谈

第一部分

McAfee Artemis Technology在McAfee产品中被称为Active Protection


官方定义:McAfee Artemis Technology is the first always-on, real-time protection that secures enterprises and consumers from threats as they strike.
迈克菲Artemis技术是第一个持续的,实时的保护------在威胁侵袭来临时，保持企业和客户数据的始终安全。

Its comprehensive Global Threat Intelligence blocks malware, stops data theft, and prevents damage to your systems before virus signature updates are even available.
它的全方位的全球威胁警报系统在病毒定义更新可用前拦截恶意软件，阻断数据盗窃，并防止系统的损失。

The volume of malware, including dangerous viruses, Trojans, phishing schemes, and other malicious crimeware code, continues to grow exponentially. Traditional signature-based defenses simply can't keep up. With typical signature-based technologies, it often takes 24 to 72 hours from the time a threat is identified and analyzed until a signature is delivered and deployed to all endpoint devices. During this time, systems, networks, and sensitive data are completely exposed and vulnerable.
恶意软件的数量（包括危险病毒，特洛伊木马，钓鱼阴谋和其他恶意病毒代码）持续成倍增长。传统基于定义的防范显然不能长久。采用传统的病毒定义技术，从识别并分析一个威胁直到一个定义被推送和部署到所有的端点设备，这常常耗费24-72个小时。在这段时间里，系统、网络和敏感数据将会变得暴露和脆弱。

Enter Artemis Technology. It combines signature- and behavioral-based techniques with Global Threat Intelligence to block known and unknown online threats almost instantly. Artemis Technology dramatically shortens the time to detection and resolution, keeping your systems safe and your business up and running.
加入Artemis技术。它通过全球威胁警报系统的集合基于定义和行为技术来及时阻断已知和未知在线威胁。Artemis技术显著缩短侦测和解决的时间，保持你的系统安全，使商务不被打断。

洒家谈谈

第二部分

通过以上的介绍，大家应该对McAfee Artemis Technology诞生的原因有大致的了解。接下来，我们将了解它的工作原理。

How Artemis Technology Works
Artemis Technology如何工作

McAfee Artemis Technology gathers information from millions of sensors across all threat vectors using an in-the-cloud collection and distribution model. These sensors are programmed to look for suspicious file characteristics. When the sensors detect a suspicious file, they send a sample representation of the file back through the Global Threat Intelligence network. This intelligence data is correlated around the clock in real time, along with data feeds from millions of other sensors distributed globally and analyzed centrally using automated methods.
McAfee Artemis Technology使用一种“云”收集和分配模式，用数以百万计的探测器，从所有威胁感染者中得到信息。这些探测器被设定去查找可疑文件特征。当探测器侦测到一个可疑文件，它们返发一个简单文件标记到全球威胁警报系统网络。警报数据是24小时实时相关，由上百万的其他探测器采用自动的方法进行全球分配和集中分析而成的。


Intelligence data is analyzed for behavior traits like volume, speed, and geographic location to calculate a reputation for millions of malicious files dynamically in real time, even before signatures are available. To maintain our exceptionally low false positive rate and continue to provide high detection rates, file reputation data also includes millions of genuine files, too.
警报数据根据行为特征（如体积，传播速度，和地理位置）来动态地实时为成百万计的恶意文件计算信誉，甚至病毒定义还不可用时。为了保持我们特别低的误报率，并继续提供高的检出率，信誉数据文件还包括数以百万计的干净文件。

Here's an example:
举一个例子：
   1. A user receives a file that the scan agent deems suspicious, even though there is no signature in the local virus scanning engine .DAT database.
   1.一位用户收到了一个扫描模块认定为可疑的文件，尽管没有本地病毒库当中尚未有对应病毒定义
   2. The agent sends a fingerprint of the file through the Global Threat Intelligence network to McAfee Labs for real-time analysis.
   2.模块通过全球威胁警报系统网络发送文件指纹到McAfee Lab，进行实时分析。
   3. Global Threat Intelligence reputation systems examine the file and generate results in less than a second. If the fingerprint is confirmed as malicious, based on real-time reputation
  scores, it notifies the user to block or quarantine the file.
   3.全球威胁警报信誉系统测试文件，在不到1秒的时间内得到结果。如果指纹被确认为恶意，根据实时信誉分数，它通知用户去阻止或隔离文件。

洒家谈谈

第三部分

总结：通俗的说，这项技术就是通过网络将可疑文件集中到全球服务器当中,进行相关分析,最后把判定为有害程序但是尚未放出对应的特征码更新的这些有害程序添加入黑名单，再分发回各个服务器当中,用户每次扫描时遇到可疑文件McAfee都会联网与此数据库比对，这样的话就将”发现有害程序到放出特征码更新”这一段时间省下来了，可以做到更快的反应.当然,如果被标识为威胁的文件,会呈送到McAfee工程师进行进一步的分析.所以最后被报成Artemis的病毒将会被确认,最后加入到下一次的更新.



Attention:使用Artemis技术必须联网.
Attention:可疑文件指的是那些并未被确认病毒的，但缺少数字签名或存在可疑行为的文件。
Attention:已经加入Artemis数据库的恶意文件也将分类:被标识为特洛伊木马或有害程序等.采用相应的处理措施(如特洛伊木马被隔离不可排除,有害程序可以设置可信排除)

洒家谈谈

目前,Artemis技术已经完全装备到McAfee的相关产品中.


官方资料库（如有不明白的地方可查阅）:
http://www.mcafee.com/us/threat_center/artemis_video.html
http://www.mcafee.com/us/mcafee_labs/gti_artemis.html
http://www.mcafee.com/us/enterprise/products/artemis_technology/index.html
http://www.mcafee.com/us/local_content/demos/artemis/index.html


后记：这次编撰采取了http://bbs.kafan.cn/thread-337199-1-1.html中的部分说法，介绍部分直接人工翻译自http://www.mcafee.com/us/mcafee_labs/gti_artemis.html，在此对他们表示感谢。

最后大家坐下来边喝咖啡边看吧

safeworld

先支持下

c5132902

不错

runyon

支持楼主了，不过咖啡2010真的让人很囧

★比尔·盖帽★

McAfee的  云   ？

洒家谈谈

回复 9# ★比尔·盖帽★

Artemis其实和云类似