Cylance v.s. ESET锁库测试（更新至11月??日）

iamLMH

B100D1E55 发表于 2017-10-11 23:37
两个月还能在60%我觉得算火星科技了。我估计最多1个月，如果往后成绩还在50%以上肯定是样本质量不好（太 ...

大神您好，有事请教，(′･_･`)小白现在要做毕设，电脑上装着学校统一给的modelsim，还有统一授权的cadence啥的，，之前用着kis+mabm的组合，主要是电脑环境太复杂，放在机房别人动不动就给你捅个u盘啥的，结果老是中一些小东西，什么捆绑主页.（mabm一般都是退出的，不然杀的厉害，经常组织局域网的出站进站）想请教下大神有没有好一点的选择呀，最好是能适应一段时间离线的，之前的cylance真的把我干怕了…eset不知对这种天朝特色的毒/流氓有用，如果是易语言的文件会不会直接当做代码执行谢谢了

bbs2811125

欧阳宣 发表于 2017-10-12 09:33
我是说如果APC连右键都不怎么出现说明这些样本都已经本地入库了

所以效率上应该是红伞好点

同样的样本红伞检测不出来卡巴能检测，能说明红伞效率好么？卡巴拉黑的效果样本区一看便知，还是要比红伞反应要快的，而且人工跟进的也很快

欧阳宣

bbs2811125 发表于 2017-10-12 15:58
同样的样本红伞检测不出来卡巴能检测，能说明红伞效率好么？卡巴拉黑的效果样本区一看便知，还是要比红伞 ...

我想表达的是如果UDS在扫描结果里大量存在的话，正说明这些特征还没来得及入库到本地，但是光说入库这件事红伞确实快如狗

跟检测率没什么关系。

毕竟VT上的红伞叫Avira(no cloud)，而卡巴是带了UDS的

cloud01

iamLMH 发表于 2017-10-12 16:01
拾人牙慧没错，但你得懂了再说出来，人家列出事实你怎么不用你的解释怼回去？你这就像那些上课附和老师的 ...

所以普通人都看见专家就跪，只管他们懂不懂技术，不管他们懂不懂这个问题，或者能不能解决实际问题。

bbs2811125

欧阳宣 发表于 2017-10-12 16:13
我想表达的是如果UDS在扫描结果里大量存在的话，正说明这些特征还没来得及入库到本地，但是光说入库这件 ...

我自己有测试的，看下来卡巴是快如狗红伞只能呵呵
加上avcenter那神一般的卡顿的问题我已经粉转黑，而且更新流量也大（虽然这也不算什么毛病），使用体验上红伞新版没有给我任何的好感。

欧阳宣

cloud01 发表于 2017-10-12 16:18
奇了怪了 ，你没看出哪个谁明显是针对吗？我没把事情说全，或者说我的确不是很懂，那我也是在表示怀疑， ...

“另外他也没说明 为什么 同样是机器学习，为什么一个在上升，一个在下滑。”

首先肯定是两个都在下滑，速度的差异上，这里试着根据自己的知识猜测一下：

为了保证同样的时间段内的高检测率，锁库的检测半衰期肯定是跟检测率的衰减速度成反比的，不然后果可想而知。所以两个都在下滑，只是cylance因为需要判断的是普适的文件特征，而非很多传统杀软去入库的恶意特征（无论启发与否），所以一旦模型，或者说判断的逻辑，形成后就能持续较长时间。

传统杀软，比如eset，入库的都是恶意特征，一旦混淆手段有变化就需要重新把有变化的部分比如新的混淆特征再入库，这样入库频率当然就高了起来，更别提红伞BD那种trojan.generic.xxxxxxx了，那种特征保持的时间是很短的。

锁库锁得来检测率还慢慢上升了？要么就是误报率也在上升，要么就是收集到的样本凑巧这样，对真实情况反映有限。如果一个固定检测模型的检测率会随时间上升，那岂不是回退到第一版就一劳永逸了？说话前有过过脑子么……

说你基础都不懂未必还委屈你了吗……

欧阳宣

bbs2811125 发表于 2017-10-12 16:27
我自己有测试的，看下来卡巴是快如狗红伞只能呵呵
加上avcenter那神一般的卡顿的问题我已经粉转黑，而且 ...

而且APC包含对红伞第一次知道的文件的分析判定，UDS应该是只包含拉黑吧

卡巴我可能是因为用得少，所以检测率上没觉得相比红伞优越多少。“HEUR/APC”报法对PE文件还是检测率值得相信的，毕竟APC是红伞现阶段最后一个关口了。

bbs2811125

欧阳宣 发表于 2017-10-12 16:33
而且APC包含对红伞第一次知道的文件的分析判定，UDS应该是只包含拉黑吧

卡巴我可能是因为用得少，所以 ...

两个应该都是判定后的拉黑，原理上应该是相近的。
红伞对我来说现在最大的问题就是avcenter这个附属品实在是累赘，如果能够去掉这个附件，使用倒是还可以的。
自从v10之后红伞扫描时的处理速度明显下降（当然也是优化了清理和修复流程），不过这个对于整个扫描流程而言影响倒不是致命的，毕竟更慢的也一抓一大把。

欧阳宣

bbs2811125 发表于 2017-10-12 16:43
两个应该都是判定后的拉黑，原理上应该是相近的。
红伞对我来说现在最大的问题就是avcenter这个附属品实 ...

那相当于全新文件也会被UDS扫描判定一次？我第一次听说

bbs2811125

欧阳宣 发表于 2017-10-12 16:48
那相当于全新文件也会被UDS扫描判定一次？我第一次听说

http://bbs.kafan.cn/thread-2045486-1-1.html这个贴子的内容应该是比较详细的说明了，所有的文件都会在KSN云中进行分析，如果已经自动分析出来那就会添加到UDS里。
KSN的工作机制包含了几个关键步骤，比如对用户计算机上的威胁的数据进行持续性的分析，包括分析威胁的地理分布情况。这些数据提供了保护好每一个终端（Endpoint）的对策。得益于服务器强大的计算分析能力，可以收集分析尝试感染的威胁的信息。
       判定一个程序是安全的需要综合考虑几个因素，包括供应商的数字签名，hash，对该资源的扫描，以及文件完整性。确认网站安全需要查看域名证书和网站内容。
       一旦一个程序或者网站被确认是合法安全的，会被添加到可信程序及网站列表里（白名单数据库）。如果一个程序或网站被定义为恶意，相关信息会被立即送到卡巴斯基紧急响应系统（UDS），所有用户安装的卡巴斯基都可以通过KSN，封锁这种威胁。
       创建上传文件的特征码到传统病毒数据库需要几小时，而使用KSN的用户，在每一次检测到的线上攻击后都会在几分钟内程序会收到处理此类威胁的措施。KSN既有特征码检测技术，也有启发保护，还带有完整的白名单以及应用程序控制，白名单会及时的更新。