EESv7的动态威胁防御介绍

显示全部楼层 · 发表于 2018-8-17 13:06:53

本帖最后由 B100D1E55 于 2018-8-17 13:10 编辑

Karna 发表于 2018-8-17 12:39
忽然有个想法，会不会别的安软厂商买几个服务，然后作为自己云的鉴定手段 problem solved

这个思路不错……不过厂商鉴定的吞吐量很大，一两个样本借鉴一下或许还有可行性，有那个功夫还不如人肉分析了

前两天无聊搜东西的时候发现趋势的硬件沙盘，功耗800W，2U服务器，售价74000刀，日样本吞吐量45000个……如果真的沙盘跑样本，假定一个样本跑1分钟并分配一个物理核心，那么一天一个CPU核心也就是1440个样本，需要45000吞吐量需要32个核心。如果真如不少安全厂商所言一天新样本是百万级别来计算，那么需要的服务器数量可就……事实上我估计大部分样本都用比较便宜的检测手段先过滤掉了，毕竟没营养的居多

显示全部楼层 · 发表于 2018-8-17 14:59:32

B100D1E55 发表于 2018-8-17 13:06
这个思路不错……不过厂商鉴定的吞吐量很大，一两个样本借鉴一下或许还有可行性，有那个功夫还不如人肉分 ...

这样啊，如果像之前说的几分钟，可能还是要比人快吧，如果作为云鉴定的其中一环，不知道有没有可行性

是的，像你之前的那个帖子，我觉得卡巴的云可能有个已知特征匹配方法，简单的免杀很快就拉黑了。但是有的免杀的很好，像https://bbs.kafan.cn/thread-2130045-1-1.html 这个帖子的样本，我双击隔了一天半才拉黑。其它的云也应该相似吧

显示全部楼层 · 发表于 2018-8-17 18:31:13

谢谢受教了

显示全部楼层 · 发表于 2018-8-17 20:27:57

这不是我建议官方搞的沙盘行为分析给用户二度判断吗哈哈哈

显示全部楼层 · 发表于 2018-8-17 21:01:13

Karna 发表于 2018-8-17 14:59
这样啊，如果像之前说的几分钟，可能还是要比人快吧，如果作为云鉴定的其中一环，不知道有没有可 ...

简单的免杀往往客户端不报但云端大模型仍旧能准确报毒，这种对付起来成本不高。而那个帖子的样本估计是新货……

显示全部楼层 · 发表于 2018-8-17 21:03:08

cloud01 发表于 2018-8-17 20:27
这不是我建议官方搞的沙盘行为分析给用户二度判断吗哈哈哈

你是不是还提议加应用程序控制功能了

显示全部楼层 · 发表于 2018-8-17 21:15:27

B100D1E55 发表于 2018-8-17 21:03
你是不是还提议加应用程序控制功能了

这个恰恰是我反对的，只是可能我提的要求是HIPS自己写规则太麻烦，不如内置关键规则，搞的他们提应用程序设置了。。。

显示全部楼层 · 发表于 2018-8-17 21:50:12

感觉不错

显示全部楼层 · 发表于 2018-8-18 08:17:16

获益匪浅，感谢

显示全部楼层 · 发表于 2018-8-18 09:16:10

只有客户端而没有安装中控台的ESET企业版是否支持该功能呢，如果支持那么论坛企业版就血赚了，假如不支持效果应该和个人也差不多甚至没有个人版好吧。

[ESET] EESv7的动态威胁防御介绍