查看: 6798|回复: 48
收起左侧

[讨论] 各家杀软的云+样本处理系统

  [复制链接]
B100D1E55
发表于 2017-10-19 14:07:24 | 显示全部楼层 |阅读模式
随便搜了一下各家的样本处理(自动机)系统,然后这里贴一下简介和参考资料。当然大多都是宣传资料,buzz word很多,其实这些算法大厂都在用,但具体怎么用才是区分检测率的关键。貌似没法传图所以纯文字描述。没认真归纳纯当抛砖引玉,后面几家我偷懒了,欢迎各家铁粉补充

Avast——基于GPU集群运算的Medusa系统



客户端做特征提取,GPU集群做样本分拣,部分样本转人工鉴定,剩余的快速制作特征通过Evo-gen发布
上传的文件指纹包括使用的数据结构、hash、PE结构等,似乎是column store。GPU用来做快速kNN查询和自动特征提取,其中自动特征提取使用随机算法从固定的特征集中产生一个小的子集,这个子集需要保证覆盖尽可能多的恶意样本并不产生误报。GPU使得样本生成时间缩短到3秒(CPU需要超过60秒的时间)。单个cluster使用4个Xeon+4片GTX Titan(2015年)。总体而言GPU加速最高达到了22倍
参考:http://on-demand.gputechconf.com ... 612-Peter-Kovac.pdf

Avira——APC,你懂的
基本就是“云端秒速鉴定”,从客户端检测可疑样本上传,然后进行快速自动鉴定。从描述来看云端主要做code disassembly(减少对客户机的性能影响),但kNN那些分拣肯定也有。从我个人测试情况来看这个上传行为可以稳定触发(感觉Avira云端投资不少),基本上从小网站下载冷僻exe就会提示自动上传。当然Avira技术博客里面也提到其他一些手段,例如mi-guan,人工渗透敌方阵营据说每分钟处理1300万更新。

Avira实验室自动处理用到了Cuckoo Sandbox来跑行为,当然signature是他们自己写的。据说一小时大概跑200个样本(这个数字比较合理)Cuckoo自从用了Zer0m0n后稳定性比早期hook要好不少,不知道Avira现在是否还在用

参考:https://blog.avira.com/virus-hunters-catch-bad-guys-part-1/ (还有2和3)
          https://blog.avira.com/cuckoo-sandbox-vs-reality-2/
          https://avira.github.io/dsblog/2 ... ing-up-k-means.html
          https://patents.google.com/paten ... 1/en?assignee=avira
          https://patents.google.com/patent/US8725672B2/en?assignee=avira

BitDefender——多种算法混合的机器学习引擎
混合使用多种机器学习算法(Perceptrons, Neural Networks, Centroids, Binary Decision Tree and Deep Learning……)和投票算法。其中一些算法用于侦测特定类别的恶意家族,另一些专门用来压误报。使用神经网络分拣黑白URL,并且进一步侦测黑客生成新域名的规律。对于PDF文件分拣,使用tokenization来辅助分拣以减少人工分析工作量。顺带一提,BD的专利好多……

https://businessinsights.bitdefe ... rning-apt-detection
https://patents.google.com/paten ... =bitdefender&page=4
https://patents.google.com/paten ... =bitdefender&page=1
https://patents.google.com/paten ... =bitdefender&page=1
https://patents.google.com/paten ... =bitdefender&page=1

Comodo——Valkyrie
自动化静/动态分析+人工分析的系统。也用了各种机器学习算法

参考:
https://enterprise.comodo.com/valkyrie/index.php?track=8980

ESET——Augur+LiveGrid
ESET的自动管线之前已经写过介绍了,也是一个混合各种算法+投票的系统。ESET将自家特征集称为DNA特征(又细分为两类,一类是func call特征,另一类是元数据)。然后LiveGrid可以监控疫情爆发情况,端点有一定持续性检测+上传样本的能力。

参考:https://www.welivesecurity.com/2 ... ng-eset-road-augur/

Kaspersky——Astraea
客户端对系统状态进行持续性分析,其中触发端点警报的阈值基于数百种特征加权计算,权重随时间会被分析人员调整。通过KSN可以分析疫情分布和传播情况,应对新威胁的响应时间为40秒,而加上主动防御可以达到无时差。此外Astraea还被用来减少误报,一旦发现新增特征出发了误报(例如触发了白名单内文件报毒),会快速响应修正特征。据称Astraea部署后就没有再发生重大误杀事故。我觉得坛子里有人比我更了解卡巴这些技术……

参考:https://eugene.kaspersky.com/201 ... ntroducing-astraea/

Mcafee——Artemis ?
N/A

Microsoft——Azure Cloud
主要亮点是持续异常侦测

https://www.microsoft.com/itshow ... nd-machine-learning

Sophos——?

Symantec——Cynic
https://www.symantec.com/connect ... n-threat-protection

TrendMicro——?
http://blog.trendmicro.com/machi ... against-ransomware/

评分

参与人数 5人气 +5 收起 理由
sunnyjianna + 1 版区有你更精彩: )
送信Y + 1 感谢解答: )
到处闲逛 + 1 很给力!
Johnkay.Young + 1 版区有你更精彩: )
驭龙 + 1 版区有你更精彩: )

查看全部评分

iamLMH
发表于 2017-10-19 14:19:08 来自手机 | 显示全部楼层
bd那一段咋眼一看很炫酷的感觉…(_`)
abcxzr5
发表于 2017-10-19 14:51:45 来自手机 | 显示全部楼层
还有某VM某VM向量机向量鸡
cloud01
头像被屏蔽
发表于 2017-10-19 14:59:02 | 显示全部楼层
不知道谁家算法更高级。
righac
发表于 2017-10-19 15:12:51 | 显示全部楼层
BD威武
桑德尔
头像被屏蔽
发表于 2017-10-19 15:13:22 | 显示全部楼层
这个“更高级”是“碾压”的意思么?要是有碾压众生的算法,为啥还有厂商用别的算法呢
橡果公爵
发表于 2017-10-19 16:10:10 | 显示全部楼层
有云的杀软可能都有自己的一套。比如西班牙的panda。
pal家族
发表于 2017-10-19 17:14:34 | 显示全部楼层
卡巴的技术还是太少公布了。
没意思
tihs
发表于 2017-10-19 17:19:02 | 显示全部楼层
膜拜一下卡巴和BD
BrianG045
发表于 2017-10-19 21:13:15 | 显示全部楼层
看着都觉得好高级的样子,对比一下我们国内的数字和企鹅,感觉国外的很多好高大上,特别是BD,简直是神了!!!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 16:59 , Processed in 0.122690 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表