动态威胁防御引擎细节

B100D1E55

这两天ESET终于解禁EDTD的一些更细节的介绍，当然这种文档PR腔都很重，看看就罢

1. 云端动态威胁防御的沙盒技术

APT攻击需要一个基于行为检测手段。在企业防护中部署一个安全沙盒可以在实机执行前增加额外的一层安全防护。网络安全沙盒是一个隔离的测试环境，会运行可疑程序、观察其行为、并自动进行分析。这套沙盒系统包含了多种探针来检视包含活动代码的网络流并进行静态分析。此外这套沙盒系统也包含了一个虚拟执行环境对样本进行深度分析，同时进行基于行为的检测、内存检测、并通过机器学习模型进行推断。这相比于基于特征的匹配更加强大，因为沙盒可以拨开二进制数据表层看到更深层次的东西。由于沙箱观测到文件实际的行为，其鉴定结果相较于基于特征的匹配可信度更高。
沙盒内分析使用了ESET内部的多套静态和动态的分析工具、内存提取、解包、以及相似性匹配技术。它会综合评估样本的行为并使用信誉数据和威胁情报来增加检出的精确度。

样本分析的流程：
当一个样本被送至EDTD后，整个分析流程如下

1. 三套独立的机器学习模型（包括深度学习）将样本和数以百万计的已知威胁进行对比并计算相似性
2. 当样本在虚拟沙盒执行的时候，沙盒系统会模拟用户的行为来欺骗恶意样本（展现行为）并使用深度学习的神经网络来比对待测样本的行为和已知恶意样本的行为
3. 使用ESET最新的扫描引擎对样本进行解构并检视任何反常特征（注：比本地客户端扫描引擎强大不少）
4. 最终鉴定结果将根据前三点的结果进行综合打分并返回给用户

2. EDTD同ETI和LiveGrid的区别

1. 样本上传
EDTD：样本可以从端点自动上传，也可以从管理员中控端上传
ETI：只支持从ETI网页手动上传
LiveGrid：支持手动上传和自动上传

2. 分析结果
EDTD：完整的行为报告展示在管理员中控端
ETI：从ETI网站可以下载pdf/xml报告
LiveGrid：无相关

3. 分析结果类别
EDTD: 无害/可疑/高毒可疑/恶意
ETI: 黑/白
LiveGrid: 无

4. 给管理员提供的信息
EDTD: 检出结果和样本行为概括
ETI：非常详尽深入的行为报告
LiveGrid：无

5. 检测技术
EDTD：EDTD使用了多阶段检测，结合了尖端检测技术、行为分析和机器学习
ETI：使用LiveGrid信誉系统和全球超过1亿的探针来预测和预防威胁
LiveGrid：使用DNA行为模糊哈希和多种机器学习模型

6. 处理优先级
EDTD：高
ETI：高
LiveGrid：低

lzswwslz126

感谢翻译 个人版应该暂时是别想EDTD了吧

WhiteCruel

前排支持，但愿个人版后续能添置类似DTD的检测手段

对了B大，ESET 12有消息了吗？前几天忘了在哪个帖子看到有人讨论，有点感兴趣

kafan988

但愿个人版后续能添置类似DTD的检测手段

InnoriaAlter

有些期待后续的个人版会不会用上相关技术……

B100D1E55

lzswwslz126 发表于 2018-8-23 09:18
感谢翻译 个人版应该暂时是别想EDTD了吧

嗯个人版现阶段不可能有

B100D1E55

WhiteCruel 发表于 2018-8-23 09:30
前排支持，但愿个人版后续能添置类似DTD的检测手段

对了B大，ESET 12有消息了吗？前几天忘 ...

12的话我还没看到相关消息，因为我主要在企业版测试，所以消费者版区关注的比较少，可能驭龙消息更灵通一点

B100D1E55

InnoriaAlter 发表于 2018-8-23 10:44
有些期待后续的个人版会不会用上相关技术……

其实我觉得后台这些技术都是贯通的，但是沙盒分析的话估计优先处理EDTD和ETI的样本因为对云端算力要求非常高

大神F4

这个只能等吧，好像还没应用吧。

cloud01

其实个人用户到没必要强求这个功能 ，只不过是ESET的自动分析下放而已，本身ESET也在不断分析未知病毒，个人不怎么会下载到完全崭新的病毒文件。加点实用小工具倒是真的。