高手来辩论吧：毛豆或OP的墙+主防在实际防御中根本没有优势？

brynhild.ran

          前天在国外病毒区开了个贴，主题是想讨论matousec的反入侵、反泄漏测试中某些热门套装成绩惨淡的原因，因为我是新手，事先并不知道MATOUSEC是一个很知名的测试。帖子更多是想从回复中得到学习。
           
           我理解一款好的防火墙+主防至少可以有效的做到以下三件事：1：御毒于“门外”     2：抑制可以行为活动范围  3：保护你想保护的区域。之前用了很久的OP，在7.0以后OP慢慢开始有了这些功能，现在刚上手毛豆，很喜欢。(因为在我机器上比OP流畅），无奈刚刚看到那帖子的一个回复，我很菜不知道如何“接招”，只有转过来看看高手如何拆解了。
-----------------------------------------------------------------------------------------------------------------------------------------------------------
          Comodo的所谓智能依然是建立在基于对单步行为的拦截之上的HIPS上的一套系统，这套系统本身在此种测试中就具有显著的优势，但是在实际防御中根本没有优势

卡巴更加明显，卡巴斯基的主防有两个独立模块，HIPS是其中一个很大的模块，为防护做出了很大贡献，而卡巴的多步行为防护则并不十分给力，实际防护中，如果用自动模式，卡巴跟漏勺没区别……

BD同样则另类一些，AVC是典型的多步防御，但是AVC在提高敏感等级以后，会扯进很多单步防御规则，误杀率急速增长……早年AVC开最高等级会直接秒迅雷……

至于防火墙则更明显，整个测试表现得好像不知道世界上存在智能墙这么个东西一样……得分高的那些都以弹窗多闻名世界……但是实际防御效果是多少，这个测试根本没法给出，因为，这个测试没有任何的有效攻击测试，同样，以卡巴为例，卡巴的那个防火墙测试数据很好看，但实际也还是个大漏勺……实际防御能力远不及后面很多产品，BD亦如此……

举图中NIS为例，如果把手动模式打开，NIS可以拿100%，这说明NIS具有对这些测试点的监控，但是自动测试结果只有20%，这说明剩下的80%在NIS看来没有构成任何的威胁，而实际攻击发生时，NIS的防御强度绝不比排在前面的那些套装差，就是这个测试本身没有意义的很好说明。这个测试本身就是从对HIPS的考量方向出发设计的，而不是从实际防御方向出发设计的……
链接：http://bbs.kafan.cn/forum.php?mo ... 0418&fromuid=554553

   

bluelaser

COMODO在学习和编辑规则的时候是单步，但一旦编好规则，有询问就直接套用相应规则呢？

a256886572008

你叫那個用戶，開 NIS 實機運行 舊版 0access，就知道 實際防禦力是如何了。


卡八開自動模式會弱，是因為在這個模式下，低受限組 = 信任組，而且很多未知程序常常被歸類到低受限。

JillPal

那个回复虽然字数不少，但一直没有对自己的论点给出合理的证明，通篇基本上都是在陈述自己的论点而没有给出论据，仅有的一点关于防火墙测试不可靠的论据也有以偏概全之嫌。

bluelaser

我跟他辩论了一下，结果发现这家伙根本没有自己的标准。什么叫多步？什么叫单步？凭什么单步弱于多步？他根本没有自己的标准，没有清晰的论点，感觉只是主观言论。

JillPal

bluelaser 发表于 2011-11-16 12:35
我跟他辩论了一下，结果发现这家伙根本没有自己的标准。什么叫多步？什么叫单步？凭什么单步弱于多步？他根 ...

确实如此，比如说卡巴的主防，说完特点，下了结论，却突然来了个“如果用自动模式怎么怎么”，然后就转到别的方面了。即使自动模式真的不行，那么交互模式呢？况且他还没有证明自动模式是否真的不行？整个看来，他根本没法证明自己的观点，都是在反复绕着弯地陈述自己的观点，到了需要证明自己观点的时候就换个方向绕过去。这样的辩论，不需要参加去浪费时间。

柯林

每年都有黑客大赛
最NB的系统，几天都攻不破，就算OK了
惨的系统几十分钟就破掉
拿这个来说事，可不可以说全世界的电脑都是个渣

brynhild.ran

bluelaser 发表于 2011-11-16 12:35
我跟他辩论了一下，结果发现这家伙根本没有自己的标准。什么叫多步？什么叫单步？凭什么单步弱于多步？他根 ...

我看了那两个帖子，最后您一句话就把他问倒了···············

      用毛豆的D+来形容单步与多步的区别的话，大概多步就是一个类似于单个规则与全局规则之间，适用于某个方面的一个局部规则集合吧？
      当行为触发这个局部规则的时候，D+就实行规则集合，而不是单步的判断？

brynhild.ran

柯林 发表于 2011-11-16 12:53
每年都有黑客大赛
最NB的系统，几天都攻不破，就算OK了
惨的系统几十分钟就破掉

多步防御是否可以理解为基于局域规则集合？效果的评价是基于这个规则集合的逻辑好坏？冗余度？

全局规则——N个部分的局域规则集合 ————特殊的针对性规则

如果是，那么毛豆初装后跑一遍，或者套用打磨好的规则跑一边设置好后应该算是多步吧？

柯林

brynhild.ran 发表于 2011-11-16 12:56
我看了那两个帖子，最后您一句话就把他问倒了···············

      用毛豆的D+来形容 ...

单步与多步判断，一般是程序编写时依据拟定的模型来构造的逻辑体系，是先天性的东东，无法通过后天的规则编写来改变。多步判断需要的模型和逻辑体系很复杂，主体框架不作实质性的改变，仅仅通过修改补充规则来完善，很快就会达到瓶颈，微点就是实例。

ps：毛豆只是个单步判定的东东，还达不到多步综合判定的高度