Cylance v.s. ESET锁库测试（更新至11月??日）

显示全部楼层 · 发表于 2017-10-2 21:03:52

本帖最后由 B100D1E55 于 2017-10-2 21:04 编辑

wangkaka 发表于 2017-10-2 19:55
大佬，eset也有主防了？竟然有beh.a报毒

有的，本质上就是v10里面防勒索模块被触发后的报毒，为了压误报并不经常起作用
但是测试成绩不算在内，首先beh.a只针对勒索软件，其次，鉴定beh.a是否完美防御很困难（经常出现部分文件被加密的情况），我不想增加自己的工作量了

显示全部楼层 · 发表于 2017-10-3 18:56:11

eset不是也有机器学习杀吗，不过好像在总部分析加人工分析后再更新给客户端。

显示全部楼层 · 发表于 2017-10-3 23:30:47

今天有点惨
ps楼主的包下不下来，今天逛了下样本区红伞和ESET的引擎互补还不错，卡巴表现强势，最近有大包再观察观察
红伞现在真难用，扫描时间长界面还卡

显示全部楼层 · 发表于 2017-10-4 07:30:06

百度的慧眼那个好像是一种很激进的静态启发

目前看起来还是……有好有坏，我喜欢这类误杀哈哈哈

显示全部楼层 · 发表于 2017-10-4 10:11:21

本帖最后由 B100D1E55 于 2017-10-4 10:19 编辑

欧阳宣发表于 2017-10-4 07:30
百度的慧眼那个好像是一种很激进的静态启发

目前看起来还是……有好有坏，我喜欢这类误杀哈哈哈

如果用户能忍受的话倒也没问题，这种客观上有助于发现一些未知威胁。安全厂家越是百花齐放越好
但对我来说激进检测的骚扰多于实际作用

显示全部楼层 · 发表于 2017-10-4 10:12:23

bbs2811125 发表于 2017-10-3 23:30
今天有点惨
ps楼主的包下不下来，今天逛了下样本区红伞和ESET的引擎互补还不错，卡巴表现强势，最近有大包 ...

mega好像要使用一些方法……因为我没电话可以绑国产网盘而且速度很慢就偷懒了
ESET持续下滑很正常

显示全部楼层 · 发表于 2017-10-4 10:18:14

cloud01 发表于 2017-10-3 18:56
eset不是也有机器学习杀吗，不过好像在总部分析加人工分析后再更新给客户端。

ESET从头到脚都是机器学习吧，变种的报毒是威胁和机器学习模型高度吻合的时候（昨天的包还出现了久违的new heur），僵尸网络防护也是基于机器学习的，防勒索的beh.a肯定也是。只不过比起随便把binary扔进模型学习，ESET主打的是所谓的“DNA特征”，我猜是人工设计的特征集。ESET也有用yara，并且在github上公开了一部分：https://github.com/eset/malware-ioc

反正用户只是用训练好的检测模型罢了

显示全部楼层 · 发表于 2017-10-4 10:22:37

B100D1E55 发表于 2017-10-4 10:12
mega好像要使用一些方法……因为我没电话可以绑国产网盘而且速度很慢就偷懒了
ESET持续下滑很正常

好吧，那就不凑热闹了，我的红伞换到有apc的版本以后不知道为啥抽风提示无法连接网络

如果顺带变成无法更新的话就可以看看后面半个月的锁库效果了

显示全部楼层 · 发表于 2017-10-8 17:07:33

本帖最后由 PanzerVIIIMaus 于 2017-10-8 17:11 编辑

我随便画了俩图截止到1006测试

看起来能接受就行

貌似Cylance一直很稳定，不过结合最近的低敏测试看貌似衰减还是存在的，不过我不怎么会作图表也不怎么会看图表

显示全部楼层 · 发表于 2017-10-8 22:36:42

本帖最后由 B100D1E55 于 2017-10-8 22:40 编辑

PanzerVIIIMaus 发表于 2017-10-8 17:07
我随便画了俩图截止到1006测试
看起来能接受就行
貌似Cylance一直很稳定，不过结合最近的低 ...

很不错。

直觉上低敏也不会衰减，之所以近几天衰减可能是因为里面的PUA数量略微上涨。Cylance虽然很多情况下检出不靠谱，但是对PUA和恶意程序的打分还是有区分度的，一般PUA的评分都不会太高
其实可以再加一个ESET纯扫描的结果，那个衰减更快

[杀软评测] Cylance v.s. ESET锁库测试（更新至11月??日）

评分