BD的ATC打分机制

B100D1E55

虽然老早就看到15年BD批到的专利，但一直以为是云端沙盘用的，今天仔细读了一下才发现90%以上概率讲的是ATC的工作原理……这里粗略写一下权当抛砖引玉
BD专利书中表示ATC相较于传统杀软的区别在于
1）对跨进程行为很敏感，这体现在ATC会精确跟踪进程释放、复制等行为，子进程打分会影响父进程，反之亦然，克服了传统一些杀软仅对单进程打分的缺点（很多ransomware都喜欢释放子进程并让其进行加密，估计就是为了逃过单进程检测）
2）打分分类细。和某些杀软一进程一分数策略不同，ATC对每个进程都有多项打分，主要是精细控制、减小误报
3）不仅监控高危单步行为，也监控正常行为——这点多步主防都这么做吧

上图是ATC监控的每个对象的数据结构，主要包含了标识符，不同项目的打分，综合分数，掩码（控制一个行为和另一个行为的关联性），特殊标识（分类然后用于减少误报），此外还有一个列表记录进程关系（子进程、父进程ID等等）

监控对象的分数（C）会被输入到这个权重表中计算分数。表里包含了每个子项目的权重、扩散权重、初始化权重等等，还有一些例外控制也是用于除关联减少误报
关联改分的描述非常多，一个行为可能触发打分器多次运作以改变所有关联值。因此按里面的说法，打分器会循环运行直到分数收敛（性能大丈夫？）

其中扩散权重、初始化权重用于区分同一行为不同场合。例如当子进程展现某个恶意行为导致某项分数变化，这个变化会乘以扩散权重扩散到父进程/子进程当中去；初始化权重则是新建进程对应行为的权重，等等……

当然除了子项分数单独控制外，每一个项加减分的幅度也是单独控制的，扩散到其他进程、或者是不同行为关联改分的幅度也是单独控制的。最后这些分数会加起来，和用户选择的阈值进行比对。
你可以把这看成是一个较复杂的权重模型，然后这些权重系数会被定期更新为服务端机器学习出来的新版本，就是ATC的新病毒定义啦

专利号是US 2015/0101049

欧阳宣

我翻到了对应的中国专利文档。

https://patentimages.storage.goo ... 41/CN105593870A.pdf

popu111

两位大大即将开启卡饭追寻杀软实现细节的新篇章——翻专利

aquablue

都研究得太深了，佩服佩服。

B100D1E55

欧阳宣 发表于 2017-2-7 16:07
我翻到了对应的中国专利文档。

https://patentimages.storage.googleapis.com/pdfs/1b70b3e8a28e14bf684 ...

手动人气+1

B100D1E55

popu111 发表于 2017-2-7 20:02
两位大大即将开启卡饭追寻杀软实现细节的新篇章——翻专利

eset这种的只有包装盒专利

popu111

B100D1E55 发表于 2017-2-7 21:40
eset这种的只有包装盒专利

。。。

linzh

感谢楼主分析分享

B100D1E55

linzh 发表于 2017-2-8 06:48
感谢楼主分析分享

至于为什么ATC杀ransomware这么给力，或者为什么一些ransomware能过ATC这个问题……前者大概是因为跨进程监控比较严密，后者我在想是不是因为权重值取决于当期训练样本，所以行为和主流ransomware相差很远的不一定超过阈值，而已入训练库的行为差不多就都被干掉了。毕竟从原理来看ATC和启发扫描的判定原理很相似

linzh

B100D1E55 发表于 2017-2-8 11:34
至于为什么ATC杀ransomware这么给力，或者为什么一些ransomware能过ATC这个问题……前者大概是因为跨进程 ...

咳咳。。。不要说了，最近ATC不给力啊，连过三个最流行的cerber...开高都拦不住，给吊打啊
应该是还是要取决于当期训练样本的，cerber稍微改一下就怎么都拦不住了