收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 视听工具箱
123456下一页
返回列表 发新帖
楼主: ATP_synthase
 收起左侧

[可疑文件] 视听工具箱

[复制链接]
BeatTrojan
发表于 2018-8-21 14:48:28 | 显示全部楼层
学雷锋做人 发表于 2018-8-21 14:33
@www-tekeze
我大概明白你的意思了,首先这种单凭创建进程和文件不会产生误报的,还是得需要用更多样本 ...

1. 不是,我的意思是,正常的用户电脑上的程序不会只在C盘创建一个文件,也不会只创建一个进程,这样的程序对于正常用户也没有什么用,对吧?
相反的是大多数恶意程序恰恰会表现出这种行为.

2. 智量现在的主动防御确实不强,我们正在抓紧研发,感谢建议。
回复

举报

BeatTrojan
发表于 2018-8-21 14:50:01 | 显示全部楼层
学雷锋做人 发表于 2018-8-21 14:33
@www-tekeze
我大概明白你的意思了,首先这种单凭创建进程和文件不会产生误报的,还是得需要用更多样本 ...

另外智量在同类AI引擎里误报真不是最高的,我们做过相应测试, 当然和特征引擎的误报率相比肯定要高一些.
回复

举报

学雷锋做人
发表于 2018-8-21 14:53:22 | 显示全部楼层
BeatTrojan 发表于 2018-8-21 14:48
1. 不是,我的意思是,正常的用户电脑上的程序不会只在C盘创建一个文件,也不会只创建一个进程,这样的程 ...

1.由于缺少对这种类型的文件分析,所以智量目前的水平认为偏恶意程序了?

2.主防防御不是说不强,形同虚设,我试了一个小学生写的修改开机登录密码,全程没反应
回复

举报

学雷锋做人
发表于 2018-8-21 14:55:40 | 显示全部楼层
BeatTrojan 发表于 2018-8-21 14:50
另外智量在同类AI引擎里误报真不是最高的,我们做过相应测试, 当然和特征引擎的误报率相比肯定要高一些.

同类AI引擎都有哪些参赛者,或者说比智量误报还高的是哪家厂商?
回复

举报

BeatTrojan
发表于 2018-8-21 15:00:57 | 显示全部楼层
学雷锋做人 发表于 2018-8-21 14:53
1.由于缺少对这种类型的文件分析,所以智量目前的水平认为偏恶意程序了?

2.主防防御不是说不强,形同 ...

不是缺少对这种类型的文件分析,而是必要性的问题。你如果现在写个hello world扔到VT上去还是有AI引擎报的, 大多数厂商认为学习这种文件并不会给最终用户带来什么收益,反而会降低查杀率.

主动防御我们会持续加强.
回复

举报

BeatTrojan
发表于 2018-8-21 15:03:44 | 显示全部楼层
学雷锋做人 发表于 2018-8-21 14:55
同类AI引擎都有哪些参赛者,或者说比智量误报还高的是哪家厂商?

友商我们不方便评论, VT上的Cylance, CrowdStrike, Endgame, Sentinel One, Sophos ML,
MAX, Cybereason, Palo Alto Networks等都是,你可以自己测试应该能有直观的感受.
回复

举报

学雷锋做人
发表于 2018-8-21 15:04:52 | 显示全部楼层
BeatTrojan 发表于 2018-8-21 15:00
不是缺少对这种类型的文件分析,而是必要性的问题。你如果现在写个hello world扔到VT上去还是有AI引擎报 ...

你这么说就明白智量的原理策略了,前面那个说半天AI学习,说什么我误导学习,我也不知道他在说啥;首先对于你们采取的策略有一定道理的,但是不能完全靠这种策略做的引擎来做一款杀软吧?比如说加个特征引擎来减少智量整体的误报
回复

举报

Jerry.Lin
发表于 2018-8-21 15:11:30 | 显示全部楼层
BeatTrojan 发表于 2018-8-21 14:48
1. 不是,我的意思是,正常的用户电脑上的程序不会只在C盘创建一个文件,也不会只创建一个进程,这样的程 ...

可是这种C盘创建个文件,创建个进程,准确来说不能算是“恶意程序”,只能算“不符合常理/异常行为的程序”,那么将这类程序在你们的predictive model 也一同划分为恶意软件的范畴,我觉得还是过于激进了,而且训练方向有偏差的话可能会导致很大的误报(比如说一个行为不常见的白程序之类的),不知道ML对这块有没有更好的解决方法?
回复

举报

www-tekeze
发表于 2018-8-21 15:11:43 | 显示全部楼层
学雷锋做人 发表于 2018-8-21 14:33
@www-tekeze
我大概明白你的意思了,首先这种单凭创建进程和文件不会产生误报的,还是得需要用更多样本 ...

欢迎理性探讨!而不要带些讽刺、挖苦的字眼。。。

1. 我从未说过智量误报不高的话,一个我之前和其他饭友谈论智量问题时,我往往都会加上“误报略高”这句话,另外,前面几楼我不都说了,现阶段基于AI、ML的引擎,受算法、算力等限制,误报高是难于避免的,并非智量独此一家,因此也不要随便用“误报大王”去扣帽子。

2. 智量官人在上面提到了“现实世界”,我在前面提到工控领域、电脑大众用户,实际意思有相同的地方,衡量一款杀软误报到底高不高,那还是以系统文件、常用运用来看更符合实际,更能看出到底有无实用价值。。。而动作太单一的就没什么应用软件啊,就一个动作大众用户能去用? 白样本太少而黑样本却太多,还包括某些加强壳的,那造成大量误报也就成自然了,但这并不会影响到电脑大众用户,因此也就不能一棒子打死,彻底给否定。
回复

举报

www-tekeze
发表于 2018-8-21 15:18:27 | 显示全部楼层
191196846 发表于 2018-8-21 15:11
可是这种C盘创建个文件,创建个进程,准确来说不能算是“恶意程序”,只能算“不符合常理/异常行为的程序 ...

对这类想误报低,相信会牺牲查杀率,鱼与熊掌难以兼得。。。

而大量加白压误报,这条路也不适合智量这种小厂商去走。。
回复

举报

下一页 »
123456下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-25 12:00 , Processed in 0.109139 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表