查看: 4234|回复: 14
收起左侧

[分享] 更快、更准!火绒2.5全新多维矩阵行为分析系统揭秘

[复制链接]
skycai
发表于 2014-6-19 15:44:01 | 显示全部楼层 |阅读模式
内容来自火绒论坛,有兴趣自己找。


各位亲爱的火绒用户:

大家好!自火绒安全2.5项目公布以来,一直有很多朋友在关心一个问题:“随着功能的增多,火绒是否不再重视改进主动防御以及病毒引擎这些安全软件核心技术?”

答案显然是否定的。

对火绒稍有了解的朋友,应该知道自火绒安全诞生以来,主动防御体系就是火绒安全最大的特点。而长久以来我们也一直在坚持以病毒查杀与主动防御为核心的开发路线,力图打造一款杀防一体的专业安全软件。

但是,像界面美化、功能增加变化,由于会直接体现在产品外观上,往往让大家觉得火绒的精力都放在了这些方面上。实际上并非如此,反而本次火绒2.5的改版,可以说最大的变化就在新的行为分析引擎方面,我们不仅重新设计了行为分析系统架构,而且重写了行为分析系统代码。

我们将火绒2.5新行为分析系统命名为火绒多维矩阵行为分析系统,下面我们就一起来这看下全新的行为分析系统有了哪些变化。

重构的行为分析系统架构,细化分析粒度

为了全面提升行为分析系统能力,我们重新设计了行为分析系统架构。从之前的二维分析模式,提升为多维矩阵式架构。具体来说,2.0版本的行为分析以统一的视角、按照进程的物理关系(二维平面),结合进程行为来进行分析。而在2.5行为分析系统中,除进程的物理关系外,进程的行为也被用作关联进程关系的纽带之一(多维空间),从而实现了在更高维度上对进程关系和行为的组织和分析。通过这种方式,可以从逻辑上更准确地分析出进程的恶意行为并定位相关的进程。

或许从概念上来解释,可能会感觉比较抽象。我们可以以一个应用场景为例,比较直观地说明多维矩阵式架构所带来的提升:以往比如从RAR压缩包中运行发现风险行为,可能会连RAR进程一起视为风险进程,而新的行为分析架构下可以区分出RAR与真正的风险进程,这样使得分析结果更为精准。同理的还能区分通过下载器运行的风险进程等。

对于上面的例子,包括火绒2.0在内的传统多步行为分析系统,在解决类似问题时不可避免地需要引入知识库(本地或云白名单),而火绒2.5行为分析系统不需要此类知识库机制,可以完全从逻辑上解决此类问题。

全新同步阻断式监控模式,大幅提升拦截有效率

除了对系统架构的调整,我们还优化了火绒多维矩阵行为分析系统的监控模式,从以往的异步分析模式改为同步阻断模式。以往的异步分析模式我们在监控到程序的多个动作后,到程序运行可能是最危险的动作之后,我们会进行阻断并回滚操作,而这时候可能最危险的动作已经运行。而新的同步阻断模式,可以在程序运行到最危险的动作同时就进行阻断并回滚操作,这样可以大幅提升行为分析系统拦截有效率,规避危险动作的侵害。

最直观的例子是,以往有锁屏行为的风险程序,虽然火绒能够发现这项风险,但是屏幕已经被锁定了,而新的行为分析系统可以在所屏幕被锁定之前阻断程序运行,并提示风险。

调整行为模式规则组织方式,规则更新效率更高

对行为分析体系有所了解的朋友应该知道,行为分析除了本身的分析能力之外,更要依靠行之有效的行为模式规则来判定程序的多步行为是否存在风险。

我们根据多年分析病毒样本积累的经验,重新调整了行为规则组织方式。这样能够大幅提升我们内部完善行为分析模式规则的效率。这样能够更敏捷的应对新行为模式的病毒程序,从而不断进化行为分析系统的查杀能力。

优化行为模式规则,减少误报几率

在调整了行为模式规则的阻止方式之后,我们重新优化了以往使用的行为模式规则,力图大幅减少行为分析误报几率。

细化动作监控粒度,支持更多动作发起者进程

我们还细化了对动作发起进程的监控粒度,增加了对CMD启动BAT、RUNDLL32启动DLL等宿主类程序的处理。这样的好处是能够更加精确的处理白加黑类攻击方式。

重写行为分析系统代码,大幅提升系统效率

最后除了上述的各种优化手段以外,我们重写了整个行为分析系统的代码。整合了以上各项变动的优势,精简分析系统代码,达到了大幅提升行为分析系统运行效率的目的,使得火绒2.5变得更为轻巧、高效。

诚挚邀请大家参与行为分析系统样本双击测试

从以上的介绍中,大家可以了解到我们在行为分析方面做出的努力,然而要全面发挥行为分析系统的威力,还需要大家来帮忙不断完善行为模式规则,所以在此也邀请大家参与样本双击测试。(参与方式稍后公布)

在您的帮助下,火绒每天都在进步,感谢您的支持。

2014年6月19日

火绒运营团队

252322131
发表于 2014-6-19 15:54:34 | 显示全部楼层
期待期待,今天星期四,明天星期五了,你们还有半天的时间就要出来见人了,不要紧张哈
airtech
发表于 2014-6-19 16:03:32 | 显示全部楼层
快拿安装包来
xzkid
发表于 2014-6-19 16:21:57 | 显示全部楼层
其实喜欢火绒的原因很简单,就是干净!!
chen.yuan
发表于 2014-6-19 16:40:14 来自手机 | 显示全部楼层
请问火绒2.5能自定义禁运吗?这个对我比较重要。
617902068
发表于 2014-6-19 17:09:56 来自手机 | 显示全部楼层
chen.yuan 发表于 2014-6-19 16:40
请问火绒2.5能自定义禁运吗?这个对我比较重要。

禁止某个程序运行吗?一直都有的~
jeijunnong
发表于 2014-6-19 17:28:25 | 显示全部楼层
名字挺牛B
多维矩阵行为分析系统
tianqikg1
发表于 2014-6-19 17:38:04 | 显示全部楼层
252322131 发表于 2014-6-19 15:54
期待期待,今天星期四,明天星期五了,你们还有半天的时间就要出来见人了,不要紧张哈

貌似还要登一两个星期,官方论坛上说的明天开始在官方q群测试http://bbs.huorong.cn/forum.php
jzh100
发表于 2014-6-19 17:53:18 | 显示全部楼层
火绒最近很火,有空试一把
哎呦喂de牛牛
发表于 2014-6-19 18:01:46 | 显示全部楼层
已下载,正在安装。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-30 07:39 , Processed in 0.128203 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表