一些有关real protect的信息

欧阳宣

转译自https://blogs.mcafee.com/mcafee-labs/overcoming-targeted-attacks-new-approach/，截取了后面的相关部分。

Real Protect: a new approach to detecting targeted attacks
Real Protect：检测针对性攻击的新途径

To address the challenge of targeted attacks, McAfee Labs has developed Real Protect, technology that takes a balanced approach to detecting sophisticated and zero-day malware. It is automatic, it reduces dependence on malware researchers to analyze malware and write signatures, it provides signatureless detection of zero-day malware, and it continues to detect “garden variety” malware with the same accuracy and performance that comes with antimalware scanners.
为了应对针对性攻击的新挑战，McAfee实验室研发了real protect，一种检测复杂和零日类威胁的相对平衡的技术。作为一项自动化的技术，它减少了病毒分析师对病毒进行分析和编写签名的依赖，提供了针对零日威胁的无需特征库的检测。并且相对传统的病毒扫描，它依然能在相同的资源消耗和精准度下检测大量的恶意软件。

Real Protect uses both static and dynamic program attributes to precisely characterize program behavior. Based on hundreds of static file attributes and several thousand dynamic feature attributes, Real Protect continuously learns multiple classification models from the hundreds of thousands of malicious and clean programs seen by Intel Security. Real Protect does not rely on any single machine-learning algorithm but uses an ensemble of algorithms from the supervised and unsupervised classes of machine learning.
real protect同时采用静态和动态的进程特征来精确分析程序的行为。基于数百个静态文件属性和数千个动态文件特征，real protect持续从Intel security所采集的几十万个黑白文件中完善其多层分类系统。real protect并不依赖单个机器学习算法，而是从许多或成熟或新锐的机器学习分支中选取一套组合。

Real Protect implements a cloud-assisted endpoint architecture. The endpoint runs a very lightweight endpoint sensor while the machine-learning classification activity runs in the cloud. Hosting machine-learning models in the cloud not only allows us to learn new emerging program behaviors and frequently update our machine-learning models, but it also enables us to track and monitor attempts by malware authors who repeatedly test new malware samples in an effort to bypass detection by Real Protect.
real protect采用一个以云为辅助的端点架构。每个端点运行着一个非常轻巧的探点，机器学习的分类过程则在云端进行。将机器学习过程放到云端不仅使我们可以了解不断变化的程序行为，同时频繁更新学习的模型，更使得我们可以检测并监视病毒作者频繁测试自己作品并试图躲避real protect检测的企图。

The Real Protect client traces the execution of programs and all side effects caused by them on the endpoint. Because malware typically downloads and executes several other programs, Real Protect records parent-child relationships by tracking every child and grandchild spawned in the system.
real protect端点跟踪程序的执行过程，以及它们在机器上运行所造成的影响。因为一个恶意软件往往会下载并执行多个其他程序，real protect会记录进程之间的层级关系，跟踪在系统中衍生每一个子程序以及再下一级的程序。

Real Protect also collaborates with antimalware scanners to improve classification. Once Real Protect makes a “conviction” decision, it both blocks the program and automatically “rolls back” the side effects caused by the malware. In addition, the antimalware scanner automatically “cleans” any complex parasitic virus infections detected in the system.
real protect也会同病毒扫描器协作来改进分类过程。一旦real protect作出了“有害的”的判定，它将阻挡程序，同时自动回滚恶意软件在系统中所造成的影响。此外病毒扫描器也会自动“清除”任何在系统中检测到的剩余复杂的寄生感染。

Real Protect is disruptive because it does not need to perform offline detonation of advanced malware in synthetic replication environments.
real protect 是颠覆性的，因为它不需要在复制出来的合成的系统环境中对恶意软件进行一次离线的启动。

那么可以确定的是这货会部署到常见的产品中了，末尾也确认了real protect不采用虚拟化技术。

aquablue

这个技术很类似主动防御功能，支持。

huyong770817

只是，何时才能应用？也省得我的杀毒加防火墙个人版本尘灰了

欧阳宣

huyong770817 发表于 2015-12-3 16:28
只是，何时才能应用？也省得我的杀毒加防火墙个人版本尘灰了

刚刚看了下，我的个人版的程序目录中已经加入了名为realprotect的文件夹，和一个日志文件，所以将这个主防类的组件融合进个人版的努力似乎已经开始了。

yaoogle007

欧阳宣 发表于 2015-12-3 16:30
刚刚看了下，我的个人版的程序目录中已经加入了名为realprotect的文件夹，和一个日志文件，所以将这个主 ...

就是不知道什么时候加入个人版

huyong770817

欧阳宣 发表于 2015-12-3 16:30
刚刚看了下，我的个人版的程序目录中已经加入了名为realprotect的文件夹，和一个日志文件，所以将这个主 ...

宣萱辛苦，这真是个好消息。一直特别钟爱咖啡，这次总算看到点主动防御的影子了，现在就装上我的个人版，咖啡用着舒服。

bbszy

欧阳宣 发表于 2015-12-3 16:30
刚刚看了下，我的个人版的程序目录中已经加入了名为realprotect的文件夹，和一个日志文件，所以将这个主 ...

空文件夹？

白露为霜

不会是单独的工具？！

欧阳宣

bbszy 发表于 2015-12-3 20:28
空文件夹？

里面就一个realprotect.log

欧阳宣

root1605 发表于 2015-12-3 22:36
不会是单独的工具？！

你有看文字么。。现在就是单独工具了，以后会整合到免费版av和个人版中