【完整病毒定义仅160M】SAPE发力，传统定义结构大幅度优化

显示全部楼层 · 发表于 2016-7-23 22:16:36

本帖最后由尘梦幽然于 2016-7-23 23:02 编辑

https://www.symantec.com/securit ... /detail.jsp?gid=n95

细心的朋友们是否已经发现了呢：赛门铁克完整病毒定义库经过了大幅度结构性优化，现已缩减至160M

而目前搭载全新SDS引擎的Norton Security 22.7版本的SDS本地库，体积仅为50M

那么，这一切是如何发生的呢？

像这样↑（创建许多启发式特征，替换旧特征）

像这样↑（对固有的旧特征进行全面调整，优化检测能力）

近一个多月的时间里一次一次更新，一批一批地转换特征，最终实现病毒定义跨越性的优化。

而这一切，很大程度上要归功于赛门铁克全新的SAPE（Static Attribute Protection Engine）技术。

Static Attribute Protection Engine (SAPE) is a file similarity clustering system that uses machine learning to automatically discover, verify, and create classifiers to detect large numbers of suspicious files. The classifiers generated by SAPE technology identify malicious files by looking for common combinations of indicators found in each new file that are consistent with indicators found in clusters created from over a billion previously discovered threats and legitimate files. Thus, a threat with no known signature—but that shares similarity in size, structure, or machine language instructions with existing threat clusters—may be detected without any known signature. SAPE uses machine learning to build these clusters automatically, using hundreds of attributes, to detect attacker-polymorphic malicious files, with a very low false positive rate.

Google机器翻译

静态属性保护引擎（SAPE）是使用机器学习的自动发现，核实，并建立分类检测大量的可疑文件的文件相似性聚类系统。通过SAPE技术生成的分类识别恶意文件通过查找与来自超过十亿创建集群中的指标相一致的每一个新的文件中找到的指标常见的组合以前发现的威胁和合法的文件。因此，没有公知的签名但股在大小，结构，或与现有的威胁机器语言指令相似性的威胁集群 - 可以没有任何已知的签字进行检测。 SAPE使用机器学习来自动生成这些集群，利用数百个属性，来检测攻击者多态的恶意文件，以非常低的误报率。

也就是说，赛门铁克经过多年的研发，已实现通过机器学习技术，大批量提取较低误报的启发式特征。

传统特征查杀面窄，数量大，体积大，对于引擎优化不够好的厂商而言将对系统性能产生较大影响。而一条启发特征，可以通杀成百上千有类似特征的病毒样本。赛门铁克现在已经能够用机器直接提取启发式特征，极大地缩小了病毒定义的体积，无疑是给扫描引擎插上了翅膀。

尽管用机器提取传统特征这种事情已经不稀奇，然而用机器提取启发特征还算是一件新鲜事。

病毒定义体积上的优化不仅将提升赛门铁克产品的检测能力，也将改善扫描引擎的性能。

显示全部楼层 · 发表于 2016-7-23 23:13:05

什么版本，来测每日精睿样本

显示全部楼层 · 发表于 2016-7-24 00:41:55

ysj963 发表于 2016-7-23 23:13
什么版本，来测每日精睿样本

你当前使用的最新版本即可。

显示全部楼层 · 发表于 2016-7-24 00:46:02

ysj963 发表于 2016-7-23 23:13
什么版本，来测每日精睿样本

建议你去用secureaplus，精睿查杀极高，迷惑性极强

显示全部楼层 · 发表于 2016-7-24 11:16:50

然而用机器提取启发特征还算是一件新鲜事。

。。。

显示全部楼层 · 发表于 2016-7-24 12:13:08

特征数量也从4kw降到了400w

显示全部楼层 · 发表于 2016-7-24 12:22:16

这个sape是shabi还是shapi还是shabi呢？
咱们在等它个把月就知道了

显示全部楼层 · 发表于 2016-7-25 12:31:39

一个的样本多改几次MD5就一定能过SPAE！而且在我这里SAPE启发报的很少，倒是另一个启发式报法更风骚！

显示全部楼层 · 发表于 2016-7-25 12:53:47

本帖最后由尘梦幽然于 2016-7-25 13:00 编辑

胖福发表于 2016-7-25 12:31
一个的样本多改几次MD5就一定能过SPAE！而且在我这里SAPE启发报的很少，倒是另一个启发式报法更风骚！

不写SAPE，不代表没有运用到相关的手段

就像现在Trojan.Gen.2还有这类通用检测的报法每天都在不断“修正”，某些通用报法下面包含了不知道多少特征。可能你觉得这个报法检测很牛，其实也不见得是它用了什么特别的技术。

显示全部楼层 · 发表于 2016-7-25 13:31:58

胖福发表于 2016-7-25 12:31
一个的样本多改几次MD5就一定能过SPAE！而且在我这里SAPE启发报的很少，倒是另一个启发式报法更风骚！

有时候正常的入库报法，改MD5以后，也有过的情况，所以还是需要继续等，也不知道啥时候能彻底不怕改MD5啊，只能继续等

[分享] 【完整病毒定义仅160M】SAPE发力，传统定义结构大幅度优化

本帖子中包含更多资源

评分