搜索
楼主: B100D1E55
收起左侧

[分享] Cylance小波分析检测技术

  [复制链接]
ELOHIM
发表于 2017-6-9 22:47:35 | 显示全部楼层
B100D1E55 发表于 2017-6-9 22:17
简单的来说是根据文件局部熵变化趋势来进行特征提取

这种分析方式适用于论述某个点或者大型文献类著作比较好吧?

因为我感觉这种方式需要很多实验才能出结果,
并且针对单一文件的结果,即使分析者本人也不一定能够给结果定性。
并且对于文件的具体行为,没有任何XX。
ericdj
发表于 2017-6-9 23:02:51 | 显示全部楼层
ELOHIM 发表于 2017-6-9 20:54
看不透彻。

通过概率来分析恶意与否的可能?


我觉得……可以这么理解吧。

无非分析的对象变成了文件熵(传统的是传感器出来的信号)
piouu
发表于 2017-6-9 23:13:01 | 显示全部楼层
一知半解,更多是看评论
ELOHIM
发表于 2017-6-10 00:07:36 | 显示全部楼层
ericdj 发表于 2017-6-9 23:02
我觉得……可以这么理解吧。

无非分析的对象变成了文件熵(传统的是传感器出来的信号)


大神出现了。
——————
如此验证方式,用在启发上面就有非常高的借鉴影响力了。

但是具体到这个文件有什么行为,对系统有什么作用,还是不够理想。
如果可以将HIPS和小波分析融合到一起就比较直观了。

我想说,单纯从文件熵上面分析,花费很多精力最终结果只是给文件的安全定性,XXX……



当然,用在著作啊,论文啊,文献里面就可以加分了。  
那些文章,喜欢通过很多很多实验来论证个问题,推敲,反复推敲,利用数学模型找规律。
然而不确定因素也非常多。

这种方式,个人认为是从头脑里面的懵懂思想或者灵感变成纸质材料的一个中间过程,一个实验场景。
不能做为决定性依据使用。
——————
说到底,在安全性要求比较高的环境里面开启高启发时可以采用这种方式。
欧阳宣
发表于 2017-6-10 03:47:18 | 显示全部楼层
ELOHIM 发表于 2017-6-10 00:07
大神出现了。
——————
如此验证方式,用在启发上面就有非常高的借鉴影响力了。

cylance检测文件从来不给报法,一律只看文件是否有恶意

所以……可能也懒得去管有些什么行为,对系统有什么影响。加上又没有主防,它的防御层说到底只有一层

其他比如invincea会有沙盘来回滚操作,但是cylance已经表示过对此的不屑了
kokokosini123
发表于 2017-6-10 05:29:23 | 显示全部楼层
本帖最后由 kokokosini123 于 2017-6-10 05:31 编辑
ericdj 发表于 2017-6-9 15:18
看到小波本宝宝就进来了
虽然本宝宝的方向并不是小波,但是这边的确还有人在做小波

请问这个小波分析是信号处理方向的吗?

B100D1E55
 楼主| 发表于 2017-6-10 10:38:50 | 显示全部楼层
ELOHIM 发表于 2017-6-9 22:47
这种分析方式适用于论述某个点或者大型文献类著作比较好吧?

因为我感觉这种方式需要很多实验才 ...

单一文件的结果?文中的模型都是基于真实世界收集的文件数据集进行训练的
文件行为必然是最重要的判断依据,但从其信号也可以从侧面获取有用的信息。基本上来说,收集的关联信息类型越全,模型好的话判断往往更精准。一些指标单跑是不行的,但作为辅助手段可能可以进一步提高已有检测结果(如最后一张图),这些常理上似乎说不通的技巧往往就变成了厂商的独门秘笈
ericdj
发表于 2017-6-10 11:04:06 | 显示全部楼层
ELOHIM 发表于 2017-6-10 00:07
大神出现了。
——————
如此验证方式,用在启发上面就有非常高的借鉴影响力了。


其实吧,感觉也可以考虑通过其他途径(比如贝叶斯那一套)分析文件的文件熵,给出该文件的恶意程度(百分比),或许会更加明显点。
亦或者,如果分析的速度足够快的话,可以考虑分析样本在运行过程中增删的所有文件的文件熵,综合判断




我就是瞎扯的
ericdj
发表于 2017-6-10 11:04:44 | 显示全部楼层
kokokosini123 发表于 2017-6-10 05:29
请问这个小波分析是信号处理方向的吗?

的确是的

同行???
ccsfuture
发表于 2017-6-10 11:39:05 | 显示全部楼层
柯林 发表于 2017-6-9 14:20
最需要阿尔法狗的思路---分身两个,一个扮演检测者,一个扮演病毒,。每天几百万亿次攻防演练,变身-识破、 ...

人家落子是两个模块综合判断的 这个才是需要学习的。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-12-13 07:22 , Processed in 0.042257 second(s), 4 queries , MemCached On.

快速回复 返回顶部 返回列表