动态启发逃逸大法

B100D1E55

灭灭之痕 发表于 2017-2-5 11:25
多谢您的介绍，感觉这个方案好熟悉啊，之前看红伞一篇文章的时候（文章名称是《Speeding up k-means via  ...

avira这个博客挺有意思的，多谢推荐。
我也不是做ML出身的，这里只是我个人的见解：大致读了一下红伞那篇，感觉k-means和SVM（QVM的算法基础）最大区别在于k-means是unsupervised learning出clustering的方法，而SVM是基于supervised learning计算decision plane。简单来说SVM是边界判识（而不是类似kNN那种计算和已有数据点的距离和个数来判识到底应该在哪个cluster里），离边界太近的可能会做特殊处理。这个边界是机器学习出来的而不是人工规定的。误报和检出取决于学习出来的边界的位置，而这个位置又取决于训练集和实际算法的处理。我相信云端QVM肯定是行为和文件特征结合的，不然效果应该不会很好，当然具体操作细节只有他们知道了。其实还有厂商用决策树、贝叶斯来做，这些年说不定已经开始用流行的DNN了，但这些我都没详细了解过（阅读之路漫漫

B100D1E55

灭灭之痕 发表于 2017-2-5 12:03
其实个人感觉阿尔法狗真正超出人类智力的核心不是别的，就是速度，速度足够快了，再笨的搜索也能找到可能 ...

哈哈，其实以病毒检测打比方的话，我觉得人类下围棋是类似杀软的简易虚拟机+启发规则，而alphago则是实机搜索+更复杂的启发规则，孰优孰劣一目了然

B100D1E55

灭灭之痕 发表于 2017-2-5 11:56
倒不是说分析能力不足，而是仿真能否加速的问题。就好比我一个病毒就是要运行一天才能其作用，假定特征码 ...

其实这里还有一个问题：一些分析是单线程的，多核带来的性能提升很小，而现今单线程速度也很难继续提升，这个瓶颈几乎没法克服。
此外正如你所说，病毒耍流氓拖时间就算是虚拟机也很麻烦。其实现在有一些行为分析沙盘已经针对这种拖时间进行了针对性检测（毕竟一个程序一旦有类似sleep的行为就很可疑了），但终归这个漏洞想堵住还是没那么容易的。

jmekoda1

柯林 发表于 2017-2-5 11:12
严格白名单判定就解决了：你是白名单吗？是非常肯定的白名单吗？是有大厂信誉的白名单吗？三大条件缺一， ...

sandboxie  当仁不让

jefffire

B100D1E55 发表于 2017-2-5 10:06
我觉得进一步发掘本地启发已经非常不实惠了……至于云端问题，反制措施肯定是有的吧。目前我也就看到一些 ...

是的边际效用已经低的不能再低了。

伪装也没啥用啊。比如说，访问过挂马网站的ＩＰ都记录在库，木马运行后获取本地ＩＰ，提交远程ＣＣ，不匹配则不执行。

柯林

灭灭之痕 发表于 2017-2-5 12:03
其实个人感觉阿尔法狗真正超出人类智力的核心不是别的，就是速度，速度足够快了，再笨的搜索也能找到可能 ...

不是速度，是逻辑分析推算能力，人脑永远比不过超级计算机。
你对逻辑智能的理解还停留在搜索“棋谱”的原始阶段。阿法尔狗二代的胜利，不是靠棋谱，而是自我学习与进化——自己跟自己下，一天玩几万局，从中掌握制胜之道，这才是它的亮点。
应用到病毒分析，再牛的程序，也不过是逻辑关系而已，对其分析定性，正是计算机的强项而不是人脑的。现在木有，只是说明写自动分析进化程序的程序员弱爆了，而不是证明超算带来的人工智能弱。

柯林

jmekoda1 发表于 2017-2-5 14:22
sandboxie  当仁不让

不需要沙盘，直接实机运行即可。
最好的环境是实机，不是模拟。

灭灭之痕

柯林 发表于 2017-2-5 16:43
不是速度，是逻辑分析推算能力，人脑永远比不过超级计算机。
你对逻辑智能的理解还停留在搜索“棋谱”的 ...

可是本质还是速度啊。阿尔法狗再进化基础很多也是上个世纪就提出来的构想，但是为什么那时候实现不了，还是硬件跟不上，实在太慢了。我一直都认为阿尔法狗的思维自由度是不如人类的，人类不能理解，只是因为我们实在跟不上速度。
你觉得阿尔法狗的那套东西放在几年前的电脑上，还能下得过人类吗？所谓的人工智能，只是在高速条件下对于人脑的低层次模仿（有限的黑箱），还未真正达到“超越人脑”的状态。围棋的计算量相比其他棋类大太多了，所以直到现在才攻克。
你也说了，我们比不上计算机的，是逻辑推算能力，为什么比不上？因为我们实在太慢了……论计算，ENIAC估计都不输人类吧？自我学习和进化，这是人类最牛逼的能力，但是没有证据证明阿尔法狗在这点上超过人类，就是因为本质上阿尔法狗只是在模仿人类（还模仿不彻底）。而且那些所谓的"自我进化"，本质上也是人类一个个代码敲进去的，自由度可想而知……否则，为什么阿尔法狗不会想着一直输而一定要一直赢呢（某些坑爹游戏玩家最喜欢就是卖卖卖）？

灭灭之痕

B100D1E55 发表于 2017-2-5 12:04
avira这个博客挺有意思的，多谢推荐。
我也不是做ML出身的，这里只是我个人的见解：大致读了一 ...

不知道您还有没有了解一些这样的技术博客，求推荐求共享啊，想多接触一些相关的技术……

B100D1E55

灭灭之痕 发表于 2017-2-5 21:20
不知道您还有没有了解一些这样的技术博客，求推荐求共享啊，想多接触一些相关的技术……

海外厂家有http://www.welivesecurity.com，https://www.optiv.com/resources/blog/
国内几大：http://blogs.360.cn，http://xlab.tencent.com/en/，http://keenlab.tencent.com/zh/index.html
英语苦手的话360有很多翻译稿（不得不点个赞）：http://bobao.360.cn
其他：http://www.phrack.org，http://scarybeastsecurity.blogspot.com
论坛：bleepingcomputer，fuckav(被ESET拉黑了哈哈)
……
其实还有很多，有条件也可以去数据库搜论文，有时候会有意想不到的收获