楼主: B100D1E55
收起左侧

[交流探讨] 卡巴斯基的机器学习技术介绍

  [复制链接]
B100D1E55
 楼主| 发表于 2018-4-3 10:53:00 | 显示全部楼层
cloud01 发表于 2018-4-3 10:29
还是先做好快速拉黑比较好,实时行为监控也不好做 ,也不是万能武器,拦截点设置靠前误报高,靠后伤害高 ...

按ESET风格的确不太可能做检测+回滚,有也只会放到企业EDR方案里去。至于你说的其他方案想要实现估计都相当复杂了,希望不久的将来这个领域会像机器学习那样有一个技术上的突破
cloud01
头像被屏蔽
发表于 2018-4-3 11:19:09 | 显示全部楼层
B100D1E55 发表于 2018-4-3 10:53
按ESET风格的确不太可能做检测+回滚,有也只会放到企业EDR方案里去。至于你说的其他方案想要实现估计都相 ...

机器学习真的靠谱吗?似乎在狭窄的领域里面稍微实用点,杀毒是面对无数可能。我始终觉得机器学习必须给用户自己定级才能实现效果,不然真的很难平衡误报。
B100D1E55
 楼主| 发表于 2018-4-3 11:24:22 | 显示全部楼层
cloud01 发表于 2018-4-3 11:19
机器学习真的靠谱吗?似乎在狭窄的领域里面稍微实用点,杀毒是面对无数可能。我始终觉得机器学习必须给用 ...

机器学习对付棋牌等强规则且优化目标明确的问题很有效,但对于查毒这类更复杂的问题局限性很明显。现阶段而言算是自动化程度高、效果不错的方法,暂时也没有其他更好的方法了。一般产品给企业版的选项会更多一些
cloud01
头像被屏蔽
发表于 2018-4-3 11:35:03 | 显示全部楼层
B100D1E55 发表于 2018-4-3 11:24
机器学习对付棋牌等强规则且优化目标明确的问题很有效,但对于查毒这类更复杂的问题局限性很明显。现阶段 ...

你说的有道理,我现在反而觉着eset的J机器学习+人工分拣+高启发+AMS+防注入效果hips(非应用程序控制)倒是蛮好的。卡巴自动化是自动化了,但真不好设置。
B100D1E55
 楼主| 发表于 2018-4-3 11:49:44 | 显示全部楼层
本帖最后由 B100D1E55 于 2018-4-3 11:51 编辑
cloud01 发表于 2018-4-3 11:35
你说的有道理,我现在反而觉着eset的J机器学习+人工分拣+高启发+AMS+防注入效果hips(非应用程序控制)倒 ...

这种大产品其实默认设定都挺好的吧ESET我觉得一些东西给手动档主要是他们还没有满意的自动化行为防御,索性把一些监控弄成可选了,可能有些用户没法接受……其实粉丝中要强化行为防御的抱怨声也有不少,但都被官人以误报问题为由怼回去了。
其实他们说的也没错,自动化行为防御我个人使用时候多少都遇到过误报,更别提有的产品不成熟还导致更严重的翻车。已有程序版本迭代飞快,白文件增速更快,这种前提下为了误报考虑只能做成EDR的模式,即小规模爆发后收拾烂摊子
dd.png
卡巴这个kes的宣传图已经画得很明白了,大众用户算cheap money,也没有能力驾驭高级的技术,消费者方案能保护住大多人即可


cloud01
头像被屏蔽
发表于 2018-4-3 13:07:30 | 显示全部楼层
B100D1E55 发表于 2018-4-3 11:49
这种大产品其实默认设定都挺好的吧ESET我觉得一些东西给手动档主要是他们还没有满意的自动化行为防 ...

对的,卡巴和eset默认设置下都能达到较高的防护效果,已经不错了,eset没有主防也这么牛逼 ,更值得拥有,玩下HIPS也不难。看来目前技术也到瓶颈了,个人觉得接下来得靠规范软件行业了,比如软件分级,常规软件不得有高危动作,微软的内核隔离也挺好。
桑德尔
头像被屏蔽
发表于 2018-4-3 14:18:42 | 显示全部楼层
cloud01 发表于 2018-4-3 13:07
对的,卡巴和eset默认设置下都能达到较高的防护效果,已经不错了,eset没有主防也这么牛逼 ,更值得拥有 ...

我感觉ESET主要是强在了特征提取做的好而且半衰期极长,但是正如驭龙之前提到的ESET是标准的本地库,相当于在断网情况下可以给黑客无数次尝试免杀的机会,这样总能制作一个能过掉ESET扫描的变种,而ESET的高级内存扫描我的理解本质上也是扫描的加强版,依然可以本地断网测试,这样处理完的威胁在联网环境下ESET应该也是无抵抗能力的,这样不像卡巴联网状态下的主防和断网的主防不一样(好像是这样?我不确定,但是即使不是这样,卡巴的UDS拉黑速度也能很好处理漏掉的威胁),ESET的云响应太慢了,这样如果爆发了像wannacry的威胁,ESET的第一批受到攻击的用户肯定要比卡巴这些牺牲的多很多,什么时候ESET的云能有卡巴那种速度,那ESET没主防就没主防,漏掉的光速拉黑就好,另外虽然11.1.42.1版本在更新选项中默认开启更频繁检测更新,但是实际更新频率也没有变化,所以我感觉ESET如果别的东西暂时不考虑,把云的效果和病毒库发布的频率提上来应该也能好很多
cloud01
头像被屏蔽
发表于 2018-4-3 14:23:07 | 显示全部楼层
桑德尔 发表于 2018-4-3 14:18
我感觉ESET主要是强在了特征提取做的好而且半衰期极长,但是正如驭龙之前提到的ESET是标准的本地库,相当 ...

云杀加云主防 也挺好。本地HIPS留给我设置。现在做ESET免杀似乎也很难吧,还有个AMS,等于是要做一个新病毒。本地库用来测试免杀的确是个蛮坑的问题,一个在明一个在暗,而且还是有心对无心。似乎只有个人HIPS才能做到神鬼莫测。
wohaofan1200
发表于 2018-4-3 19:42:02 | 显示全部楼层
难怪卡巴无论查杀还是误报现在都表现得极其优异
cemiko 该用户已被删除
发表于 2018-4-3 21:27:21 | 显示全部楼层
本帖最后由 68221281 于 2018-5-26 02:01 编辑

knwfnkjqqfmapif
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:26 , Processed in 0.102674 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表