DG2.0白皮书 汉化beta1 只保证能阅读 追求整洁版等我明天开始做

蓝核

由多人翻译组成 没有统一语言风格 没有大修 只保证比机器翻译读起来流畅舒服

本帖将存在3-5天，等候多人查看

DG的白皮书是蛮好的学习英语翻译方式，复合句真多……

另，我准备考虑下次采用协同翻译的方式……最新版本的DG白皮书已经出现，下载地址

当然，如果没有人帮忙我就自己做好了，不保证时间……太累了……我发现看的懂跟写出来是2回事情。加上我们都不是专业的安全人士，很多名词只能意会……

另外，该份翻译将会走通俗易懂的路线，不会追求翻译要求中信，我们只求不误解。实在是能力有限。我都快2年不看英语了……最近2年看英语好像都是这个坑爹 的FS


我会最后做出pdf的……会用markdown转换的……保证格式看起来舒服点。

嗯，大家可以圈出不畅的句子

别吐槽格式……论坛的排版我实在是有心无力……

顺便参与翻译的小鱼，星河梦以及小kk，等这个2.0的正式版出来的话我会给予每人20经验的奖励

蓝核

概要
今日之世界，互联网威胁局势已经处于犯罪分子的掌控之中，而几年前，他们才刚开始使用带有恶意的软件（即恶意软件）。从那以来，我们已经目睹了“犯罪软件”和其他意图获取利益的恶意软件的爆炸式增长。计算机犯罪网络取得了飞速的发展，并且已经深深地扎根于互联网。我们的敌人目前已经掌握了先进的技术并且控制着大量的受感染电脑。客户们面临的威胁正变得日益复杂和危险。
F-Secure正积极地搜寻新型的威胁，在这些潜在的新型威胁之中，对于我们而言最重要的，需要将其定义为实际威胁的，是我们的客户所面临的那些威胁，于是我们萌生了开发F-Secure DeepGuard 2.0技术的念头
反病毒防护始终是社区共同努力的结晶。在安全领域，我们有着诸多密切的合作伙伴，与此同时，为了共同的利益，我们也和存在竞争关系的安全产品供应商共享病毒收集成果。在安全领域之外，我们有着最重要的社区组成部分，即我们的客户，当其中一名客户向我们提交了一个潜在的威胁，我们和我们的系统将会立即作出反应。
通过引入F-Secure DeepGuard 2.0，我们的客户将会成为F-Secure实时防护网络的组成部分。这将会极大地强化我们的用户社区所扮演的角色。所有使用这一技术的客户将会成为实时防护网络的活跃成员而非被动地接受我们的服务。当一名客户遇到一个潜在的新型威胁，我们将会在第一时间收到通知。客户们的发言权将比以往更为强大，要做到这一点，他们无需为之付出额外的努力。这些都是我们加诸F-Secure DeepGuard 2.0的网络查询技术的组成部分。
通过使用开创性的云端防护技术，F-Secure DeepGuard 2.0以及 F-Secure实时防护网络提供了世界上针对新型威胁的最快速反应时间，现阶段，没有任何其他反病毒供应商的产品搭载了此项技术。




1.威胁局势
互联网上的威胁局势在过去几年已经发生了翻天覆地的变化。过去那些具有全球流行性的病毒的爆发，可归咎于年轻人对出名的渴望——然而时至今日，他们早已被那些主要由专业犯罪组织出于逐利的目的发起的，更为隐蔽、同时也更加具有针对性的攻击所取代。这直接导致了客户所面临的恶意软件数量的急剧增加。
2008年上半年，被发现的恶意文件的总数达到了300万，它们中的一部分在这个世界上仅仅存活了30分钟，就自动被新的变种所取代。截止2008年5月底，活跃的恶意文件总数高达1150万。
恶意软件的数量在不断增长，而与此同时，我们需要一定的时间来发布新的特征，由于无法通过传统手段检测到这些恶意软件，我们的客户将被暴露在极易受到攻击的环境之中。


2、F-Secure扫描架构
自1998年起，F-Secure在产品中集成了多种扫描引擎，并且引入了F-Secure CounterSign（会签）技术。会签技术使不同的扫描引擎能够互不干扰地并行运作，而不会出现两个或两个以上不同反病毒产品同时运行时通常会发生的问题。
彼时，出于如下认识，即当一个引擎漏过了恶意软件，其他引擎将会阻止它，我们使用了三个基于诸如特征码和启发等类似的技术的扫描引擎来发现恶意软件。
这一逻辑顺利地运转了很多年。事实上，尽管原先那些引擎中的大部分如今都已被替代，F-Secure依然使用着多种扫描引擎。新的引擎保护用户对抗新的种类的威胁，例如，F-Secure BlackLight引擎即被用来检测并移除rootkits。因此，即使CounterSign自身以及其他旧款插件不再沿用，现阶段我们的产品将依然遵循这一不变的逻辑。


3、走进DeepGuard
2003年，F-Secure安全实验室判定，一种新的趋势正逐渐显现，即病毒和恶意软件的传播扩散不再仅是随意性的产物，取而代之的是利用受感染的计算机来组建僵尸网络。这将使隐藏在恶意软件幕后的黑手们能够远程控制并利用那些计算机实行诸如发送垃圾邮件或者攻击网站等行为。僵尸网络能够隐蔽攻击源，并外包所需运算能力产生的财务成本。由于更加难以确定其身份，再加上间接费用成本极其之低，那些恶意软件的作者将能够借此牟利。
恶意软件的作者们没过多久就开始使用加壳工具在常规且通常是自动化的基础上编写那些恶意代码。这为他们提供了无需对恶意软件代码进行实质性改写即可绕过反病毒产品所使用的基于特征码的简易检测技术的途径。为了保护我们的客户，研发更新的技术迫在眉睫。
这就是F-Secure研发DeepGuard的出发点，一种基于行为的侦测引擎通过分析文件行为而非特征来阻止新出现的恶意软件感染用户系统。

蓝核

4.1 F-Secure DeepGuard

第一个版本的DG是作为FSAV和FSIS的一部分于2006年9月发布。它的工作原理是，当一个程序运行时，DG会对其进行检查，关注的重点不仅是其外表，更重要的是关注其行为。

DG的行为分析包括2个主要的组件：

Gemini-一个静态启发式引擎。它负责检查是否有常见的恶意软件特征，比如被压缩，比如没有签名等等。

Pegasus-一个虚拟机（沙箱）。Pegasus将文件在虚拟环境中执行并且跟踪该文件的行为而不会影响正常的windows环境。

DG会根据这2个组件的输出，计算出行为得分，基于这些等分，会采取以下行为。

得分	采取的行为
绿色	没有行为，将允许该文件执行
黄色	将他出对话框详细介绍系统的改变，用户可以选择允许或者拒绝
红色	该程序将被自动阻止并且不允许执行。

DG的扫描是发生在应用程序执行时，不管他是如何执行的。（用户启动程序，双击邮箱的付下载并且运行一个城固；从浏览器的漏洞驱动等等。）

扫描只进行一次。如果同一个程序再次启动，DG会认识到它已经被检查并且采取上次同样的行动。

分析行为的好处是当一个稍微修改或者压缩过来避免病毒码检测的恶意软件仍然会被DG阻止，只要该修饰过的恶意软件行为与原始的恶意软件是一样的。

对于病毒作者来说，修改恶意软件的模样是很简单的。但是DG不在乎。DG定义恶意软件是基于其行为。而一个恶意软件仍然会干他原来准备干的事情，

4.2 F-Secure DeepGuard 2.0

不断增长的样本的多样性和新型的恶意软件的复杂性迫使我们不断更新DG以确保它能够理解并且阻止这些前所未有的行为。这个过程需要一个相当大数目的样本并且它经常要花费好几天来收集足够的大样本来训练我们的DG。在此期间，我们依赖传统的病毒码技术来保护我们的客户。尽管FS是世界上最快的响应新威胁的安全厂商之一，但是一个新的恶意软件攻击了我们的客户与我们针对该类恶意软件推出病毒码之间仍然有数小时的延迟。

在应对新威胁上，这做的根本不够好。我们需要想出一个方法来缩短时间，缩短我们定位到威胁和我们保护全球客户应对这个威胁的时间。

在2008年，DG增加了一个新功能叫做网络查找（Network Lookups）。这个功能确保我们能够即时响应新的威胁，即我们能够及时查询FS的实时保护网络中关于该执行的文件的定义，即查看该文件是否是好的，坏的或者是未知的文件。

如果这个文件时已知的恶意文件，那么他会被自动阻止。如果这个文件是已知的干净文件，那么他会被允许执行，如果该文件是未知的，那么我们的系统会立即开始去收集更多的信息。此外，DG的行为分析技术在网络查找功能（Network Lookups）的帮助下在面对复杂样本时更加主动准确。不在我们巨大的白名单里面的未知程序显得异常的可疑。白名单技术的使用增强了我们定义恶意样本的能力。

FS的实时保护网络数据中心分布全球并且每一个数据中心已经集群化。这些服务是如此的强大以至于在实时保护网络中查询相关信息只需花费几分之一秒。没有其他安全厂商拥有这样的全球部署的云端保护技术。

这些文件的信誉是基于详细的分析，静态分析以及使用这些程序的人数。如果该数据重度怀疑，那么那文件将会自动标记以供自动分析。如果不能被自动化明确的分类的情况下，那么该文件将排队被F-Secure Security Labs手动分析。

当安全实验室确认了一种新的威胁，那么该分析将只花费60秒就实时传递到了实时保护网络的服务器上。使用DG2.0Network

Lookups的我们的顾客已经可以对付该种威胁，哪怕我们的分析师仍然在研究该样本然后添加到我们的病毒库中。

利用云的技术来确定程序的声誉使得FS能够在几秒内响应新威胁。

DG2.0已经在几个FS的工作站产品开始投入使用，并且最终为成为我们所有的windows工作站产品的一部分。

这个技术有一个缺点，它需要在线。当你离线使用你的电脑的时候，FS的产品将跟以前一样，采用静态扫描引擎和没有Network Lookups的DG监控文件。由于大部分的威胁的目标都是在线的电脑（通过邮件或者网络），DG2.0和它的Network Lookups总在最需要的时候与你同在。

4.3 它是如何工作的？

FS反病毒产品监控所有的应用程序启动，不管这个程序是如何启动的，是否由个人或者一个恶意攻击启动。

1.应用文件将被传统的特征码引擎进行扫描已检测是否包含一个已知的威胁，如果该文件被检测出包含已知的恶意软件，那么该文件将被阻止。

2.如果该文件扫描后没有警报，那么DG2.0将提取该文件的特征并且运作Network Lookups链接到FS的实时保护网络数据库。去确认下该文件是否被 F-Secure Security Labs鉴定过。根据获取的信息，将自动采取行动。

3.如果该文件无法在实时保护网络中查询到，那么DG将启动Gemini 和 Pegasus两个引擎进行检查。这个文件将在沙盘运行。根据请行为来决定其是否该被允许运行。结合Network Lookups，DG将更好的了解该文件不是一个干净的文件。未知的文件因而可以推断其可疑。DG2.0在根据其行为分析的基础上也更有把握来确定其性质。

与实时保护网络联系在一起的DG2.0通过数据的传送加"入了云"。通过这一信息的收集的累积效应可以更好的确定我吗用户面对的威胁和更舒适的用户体验。

4.4 好处

1.干扰更低。 没有Network Lookups，DG在面对黄色评分的程序时必须与用户互动/交互。毕竟只有数目有限的绿色评分应用，并且对于红色评分的应用必须要做到保守以避免"误报"。在Network Lookups的联动下，大量的黄色评分的程序也会被确认为安全的程序。这样做（引入了Network Lookups）的结果

可以给用户更少的提示。并且被Network Lookups确定是安全的应用也可以避免多余的行为分析。

2.分析更有效。FS的实时保护网络的最终目的是尽可能的确定更多一直的安全程序。从行为分析的对象中排除安全的程序意味着未知的程序其危险性越高。这样做的结果是黄色和红色的分数阙值可以被调整，更多恶意的程序将被DG2.0自动处理同时不牺牲误报。

3.响应时间更快。DG2.O的Network Lookups将给F-Secure Security Labs提供非常可贵的信息。当我们的自动分析提交的威胁样本时，实验室会知道当下面对这一威胁的顾客有多少。这些顾客的数目越大，分析越关键。关键客户的案例总是第一时间出现。现在我们有实时保护网络给我们提供信息。我们的顾客可以在本地不用动手但更积极地帮助我们。

蓝核

5 云端的发展
随着F-Secure 产品与技术的更新换代，我们对于反病毒产品的理解也越发深入。由此，我们研发了DeepGuard 2.0 与实时查询以加强原有的实时保护网络，这是我们在追求终极安全的过程中一次巨大的进步。

5.1 这个程序安全吗？
很久以前，反病毒产品所面临的挑战仅仅是判断一个程序是否安全。用户提交可疑的文件，我们对其进行分析后作出答复。这就是我们的全部工作 —— 收集、分析和入库。

5.2 这个程序值得信任吗？
但是自从以盗取信息和钱财为目的的恶意软件出现以来，传统的方式已经越发的力不从心。为了维持原有的响应速度，我们建立了一整套安全分析设施，但除此之外，我们仍需要一种全新的技术来补充这方面的不足。
因此，我们研发了DeepGuard 主动防御技术。它着眼于程序的行为而不是传统的特征对比。它会分析一个程序的行为是否正常，或者说值得信任，行为可疑的程序会被判定为威胁。这为之前的问题提供了一个很好的思路 —— 对于可疑的未知程序应当从严处理。

5.3 这是已知的程序吗？
随着窃取信息的恶意程序的迅速发展，我们亟需一个前瞻性的理论引导。我们决定不再简单地关注威胁本身，而是尽可能地搜集每一个已知文件的相关信息。 DeepGuard 2.0 引入了这一思想 —— 它还将文件的信誉和已知信息纳入考量范围。同时，由于文件信息储存在云端，因此每个F-Secure 产品所能调用的数据都是无限的，每一个程序都可以追根溯源。
如果发现未知的程序，DeepGuard 会将其作为可疑程序对待 —— 任何的违规行为都会被阻止以保护用户的信息和财产安全。

5.4 我们的客户受益

所以，这些问题不断的扩大。但是每一个问题的针对性的回答有利于解答上一个问题。“是否已知”帮助我们来决定是否可信。“这个程序值得信任吗”帮助我们来决定它是否会被定义为威胁。如果确定威胁的话，会被我们阻止。每一层新技术的使用使得图片更加清晰，我们的顾客更加安全。







创造是开启成功之门的钥匙
对于我们而言，创造是开启成功之门的钥匙，因此，在DeepGuard 2.0中，F-Secure再一次成为了第一个将网络查询功能这一新技术引入市场的公司。
在此之前，F-secure是第一个发明BlackLight Rookit扫描器的公司，发明了世界上第一款在Windows系统上的实时扫描器，发明了企业网络中第一款中央控制的杀毒软件。

关于F-Secure公司
F-Secure保护我们的客户免受免受来自互联网和移动网络中的电脑病毒和其他威胁的影响。屡获殊荣的F-Secure安全解决方案可以在全球超过170家网络供应商和移动运营合作伙伴处订购，这使得F-Secure成为了该市场中的国际领跑者。F-Secure的解决方案也可以在全球数以千计的分销商手中已授权产品的形式购买。F-Secure公司致力于成为最可靠的安全软件供应商，帮助电脑和智能手机的用户获得简单安全的互联网生活。本公司被独立证明的拥有比我们主要竞争对手更快的应对新威胁的响应速度保证了这一点。F-Secure公司成立于1988年，总部位于芬兰并于1999年在赫尔辛基OMX Nordic证券交易所上市。本公司始终是电脑安全领域成长最快的上市公司之一。最新的关于实时病毒威胁的新闻可以在F-Secure数据安全实验室博客上看到：http://www.f-secure.com/weblog/。

F-Secure 公司
PL 24 00181 赫尔辛基，芬兰
电话：+358 9 2520 0700
传真：+358 9 2520 5001
www.f-secure.com

蓝核

占楼备用

狴犴睚眦

前来支持
理科生只能看看

青春虎

前排插入，支持

蓝核

狴犴睚眦 发表于 2013-6-27 21:18
前来支持
理科生只能看看

文科生也够呛……我明天才能去看和修订这玩意……

ccddeee

前来支持

12973

好吧,趋势科技报危险网站了...又拉黑