搜索
查看: 5118|回复: 9
收起左侧

[分享] BD的ATC打分机制

[复制链接]
B100D1E55
发表于 2017-2-7 14:14:33 | 显示全部楼层 |阅读模式
本帖最后由 B100D1E55 于 2017-2-7 14:19 编辑

虽然老早就看到15年BD批到的专利,但一直以为是云端沙盘用的,今天仔细读了一下才发现90%以上概率讲的是ATC的工作原理……这里粗略写一下权当抛砖引玉
BD专利书中表示ATC相较于传统杀软的区别在于
1)对跨进程行为很敏感,这体现在ATC会精确跟踪进程释放、复制等行为,子进程打分会影响父进程,反之亦然,克服了传统一些杀软仅对单进程打分的缺点(很多ransomware都喜欢释放子进程并让其进行加密,估计就是为了逃过单进程检测)
2)打分分类细。和某些杀软一进程一分数策略不同,ATC对每个进程都有多项打分,主要是精细控制、减小误报
3)不仅监控高危单步行为,也监控正常行为——这点多步主防都这么做吧

上图是ATC监控的每个对象的数据结构,主要包含了标识符,不同项目的打分,综合分数,掩码(控制一个行为和另一个行为的关联性),特殊标识(分类然后用于减少误报),此外还有一个列表记录进程关系(子进程、父进程ID等等)

监控对象的分数(C)会被输入到这个权重表中计算分数。表里包含了每个子项目的权重、扩散权重、初始化权重等等,还有一些例外控制也是用于除关联减少误报
关联改分的描述非常多,一个行为可能触发打分器多次运作以改变所有关联值。因此按里面的说法,打分器会循环运行直到分数收敛(性能大丈夫?)

其中扩散权重、初始化权重用于区分同一行为不同场合。例如当子进程展现某个恶意行为导致某项分数变化,这个变化会乘以扩散权重扩散到父进程/子进程当中去;初始化权重则是新建进程对应行为的权重,等等……

当然除了子项分数单独控制外,每一个项加减分的幅度也是单独控制的,扩散到其他进程、或者是不同行为关联改分的幅度也是单独控制的。最后这些分数会加起来,和用户选择的阈值进行比对。
你可以把这看成是一个较复杂的权重模型,然后这些权重系数会被定期更新为服务端机器学习出来的新版本,就是ATC的新病毒定义啦

专利号是US 2015/0101049

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
linzh + 1 版区有你更性感: )
popu111 + 1 都忘了人气+1这件事

查看全部评分

欧阳宣
发表于 2017-2-7 16:07:19 | 显示全部楼层
我翻到了对应的中国专利文档。

https://patentimages.storage.goo ... 41/CN105593870A.pdf

评分

参与人数 1人气 +1 收起 理由
popu111 + 1 自动人气+1

查看全部评分

popu111
发表于 2017-2-7 20:02:41 | 显示全部楼层
两位大大即将开启卡饭追寻杀软实现细节的新篇章——翻专利
aquablue
发表于 2017-2-7 21:06:02 | 显示全部楼层
都研究得太深了,佩服佩服。
B100D1E55
 楼主| 发表于 2017-2-7 21:37:59 | 显示全部楼层
欧阳宣 发表于 2017-2-7 16:07
我翻到了对应的中国专利文档。

https://patentimages.storage.googleapis.com/pdfs/1b70b3e8a28e14bf684 ...

手动人气+1
B100D1E55
 楼主| 发表于 2017-2-7 21:40:36 | 显示全部楼层
popu111 发表于 2017-2-7 20:02
两位大大即将开启卡饭追寻杀软实现细节的新篇章——翻专利

eset这种的只有包装盒专利
popu111
发表于 2017-2-7 21:47:15 | 显示全部楼层
B100D1E55 发表于 2017-2-7 21:40
eset这种的只有包装盒专利

。。。
linzh
发表于 2017-2-8 06:48:25 | 显示全部楼层
感谢楼主分析分享
B100D1E55
 楼主| 发表于 2017-2-8 11:34:39 | 显示全部楼层
linzh 发表于 2017-2-8 06:48
感谢楼主分析分享

至于为什么ATC杀ransomware这么给力,或者为什么一些ransomware能过ATC这个问题……前者大概是因为跨进程监控比较严密,后者我在想是不是因为权重值取决于当期训练样本,所以行为和主流ransomware相差很远的不一定超过阈值,而已入训练库的行为差不多就都被干掉了。毕竟从原理来看ATC和启发扫描的判定原理很相似
linzh
发表于 2017-2-9 07:07:10 | 显示全部楼层
B100D1E55 发表于 2017-2-8 11:34
至于为什么ATC杀ransomware这么给力,或者为什么一些ransomware能过ATC这个问题……前者大概是因为跨进程 ...

咳咳。。。不要说了,最近ATC不给力啊,连过三个最流行的cerber...开高都拦不住,给吊打啊
应该是还是要取决于当期训练样本的,cerber稍微改一下就怎么都拦不住了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 湘ICP备2021004765号-1 ) GMT+8, 2021-9-17 05:46 , Processed in 0.128021 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表