查看: 3256|回复: 31
收起左侧

[讨论] 一个异想天开的想法,大家看靠谱吗?

[复制链接]
wohaofan1200
发表于 2018-10-19 11:16:42 来自手机 | 显示全部楼层 |阅读模式
如果在云端搞一个多步的行为云人工智能引擎,利用黑文件对这个引擎进行行为判断训练,客户端自动对跑出来的可疑行为片段实时送云引擎分析,云引擎判断后对客户端进行反馈,对判毒文件针对性拦截和回滚,即能阻断恶意行为,又能彻底清除衍生文件,岂不对加密勒索强力克制了?QVM感觉是静态的人工智能引擎,训练之后比较混乱。@360主动防御
Jerry.Lin
发表于 2018-10-19 11:21:13 | 显示全部楼层
360已经有多步主防了,原理跟你说的差不多

多步主防的报法多为

Trojan.Generic

Or

XXXXXX.XXX/ Trojan.Generic  <具有木马特征的程序> /<与木马相似的程序>
欧阳宣
头像被屏蔽
发表于 2018-10-19 11:45:49 | 显示全部楼层
本帖最后由 欧阳宣 于 2018-10-19 11:47 编辑

gdata我记得是这么做的,对恶意行为的判断有云的参与。

360的云主防也是把行为特征上传云端鉴定之后再返回结果的。

既然是云主防那行为可能没法在客户端上跑。首先这很危险,勒索一跑估计就GG,其次对机子性能也是很大的拖慢。所以APC这类的行为都是在云端跑的,当然这个部分是在程序运行前,比如右键扫描上传未知文件分析时就已经开始了这个过程。
勒索恶心就恶心在整个过程回滚不了。加密过程要解密是近乎不可能的。所以那些先让程序在本地跑起来的方案或多或少都有翻车的时候。
360主动防御
发表于 2018-10-19 12:25:04 | 显示全部楼层
非常感谢提议!!!

我这边把您的建议同步给相关负责人员周知
柯林
发表于 2018-10-19 17:50:32 | 显示全部楼层
不是白名单最简单么?凡是不在白名单里的,先阻止了再说!用户要用,等云端分析模拟之后,再做决定!这样又怎么会中毒呢?

楼主说的这个,理论上可行,实际操作有麻烦——相当于要有个捕获部门,把每天新出现的可执行文件捕获进行分析,如何做到无一可漏,全部请去“喝茶”呢?
wohaofan1200
 楼主| 发表于 2018-10-19 18:29:58 | 显示全部楼层
本帖最后由 wohaofan1200 于 2018-10-19 18:45 编辑
柯林 发表于 2018-10-19 17:50
不是白名单最简单么?凡是不在白名单里的,先阻止了再说!用户要用,等云端分析模拟之后,再做决定!这样又 ...

云分析会卡壳的,看看卡巴的KSN就知道了,正在分析中的文件累积到了十几亿,如果分析得很顺利,这个正在分析的数字不会越来越大。说明好多文件云自动分析是搞不定的。行为人工智能云引擎不失为一种好的补救方法。
wohaofan1200
 楼主| 发表于 2018-10-19 18:40:52 | 显示全部楼层
本帖最后由 wohaofan1200 于 2018-10-19 18:42 编辑
欧阳宣 发表于 2018-10-19 11:45
gdata我记得是这么做的,对恶意行为的判断有云的参与。

360的云主防也是把行为特征上传云端鉴定之后再返 ...

个人觉得行为云的意义就在于弥补传统云,有普通用户就眼睁睁看着整盘的文件被加密没有办法,如果行为引擎能在加密一两个文件就自动拦截下来,损失将大大减小。毕竟360是大众杀软,傻瓜化非常必要。
另外占用方面,文件是用户本身就需要运行的,行为云本地只是记录和上传行为,然后拦截行为,占用应该可以很好控制。
Jerry.Lin
发表于 2018-10-19 19:06:05 | 显示全部楼层
360主动防御 发表于 2018-10-19 12:25
非常感谢提议!!!

我这边把您的建议同步给相关负责人员周知

问了你架构的事……怎么都不回我
欧阳宣
头像被屏蔽
发表于 2018-10-19 22:07:23 | 显示全部楼层
wohaofan1200 发表于 2018-10-19 18:40
个人觉得行为云的意义就在于弥补传统云,有普通用户就眼睁睁看着整盘的文件被加密没有办法,如果行为引擎 ...

判断批量加密行为后拦截这个很多主防都能做到了。甚至比如咖啡的RP

你觉得行为云和传统云有区别是因为传统云的行为分析不在本地跑么?其实很多传统云在返回判断结果时都是把行为在云端跑完的,APC和曾经的DS就是典型例子。行为特征也是特征,云一样能鉴别 所以不存在的。

杀软的机制不同对性能的影响不同 比如火绒就有因为在本地跑行为太久被抱怨卡EXE的情况 这个不是杀软的锅,因为技术路线基本确定了优缺点
柯林
发表于 2018-10-20 09:01:15 | 显示全部楼层
wohaofan1200 发表于 2018-10-19 18:29
云分析会卡壳的,看看卡巴的KSN就知道了,正在分析中的文件累积到了十几亿,如果分析得很顺利,这个正在 ...

其实都差不多吧,行为判定,也有问题,有些行为,病毒在用,正常程序也在用,并不是所有行为都非黑即白(对于环境所至的小动作超多的国产软件就更加难说了),准确界定一个程序行为“合法”与否是个巨大的挑战

如果只是考虑防勒索,最好的方法,对于360而言,可能还是强化文件保险箱,这个是最把稳的。另外一个就是强化沙箱——云端无法判定合法的程序,凡是下载到本地的,一律默认先在沙箱里自动跑一遍,无危害再放行,有疑问的弹窗吓唬用户(让他们等待云端裁决)。这样可能才是最高效的。

AI这热点感觉被国人玩烂了——如果IT行业真有AI,后果是极端可怕的——自学习编程超越,能够编出世界上最先进、最精密、毫无漏洞与破绽的程序(包括操作系统与应用软件),识别病毒也应该是小菜一碟。然而到目前为止,这种看似“诱人”的图景,依然存在幻想里,而不是现实中。所以楼主的提议,似乎还是过于高看AI了——在反病毒行业,这东西似乎只是个热点与噱头,充其量属于试验品,而不是成熟品,否则,病毒实验室将迎来巨大的裁员(一个AI足以担当数百万病毒分析师的工作,留两个维护人员就够了)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 03:53 , Processed in 0.111925 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表