ESET的一些内部测试数据

B100D1E55

这两天刚看到的，顺手分享一下：

这张图讲的是DNA侦测的有效性。上图深绿色是Emotet的全网检测量走势，而黄色的是靠着单条DNA特征（18年6月机器学习模型更新后）检出的Emotet的数量。可以看到DNA检测的高效性

新的云端样本自动处理管线图，其实和上次差不多，主要分三个部分：最顶上的是静态ML分析，中间的是仿真后DNA分析，用了6个传统分拣算法+一个deep learning模型，最底下的是沙盒内存分析，然后用LSH等手段进行已知威胁的相似性比对

接下来的两组数据相对有点意思，是他们实验室内部测试数据：
用18年10月的机器学习模型（上图那个）来侦测18年12月VT上的样本，下图是检测率对比：

NG1~6就是那些所谓next-gen产品，他们自然不会说哪家是哪家咯。我赌五毛几个NG的数据是纯扫描的，倘若如此就不是100%公平（毕竟ESET管线有跑沙箱）。不过还是能看出其实厂家之间的检测能力差距可以很悬殊，而这种差距往往不能被客户直观感受到

这张图是他们实验室内部测试的误报率。这图我是相信的，而且我觉得ESET端点误报也差不多是这个水准。NG6那个误报率……我大概知道是哪一家了 我个人一贯的看法是AVC/AVTEST那种误报测试没法区分开上图0.1%和2%那种误报率差距，顶多是区分一下0.1%和7%或者25%。但实际使用的时候0.1%和2%的差别能感受到，且越爱折腾的用户越能感受到。

没什么干货不过难得看到他们公开了内部的测试数据就贴一下咯
新增几张图：

关于ESET病毒实验室的人员构成

36%是侦测工程师，27%是软件工程师，17%是恶意程序分析师，13%是恶意程序研究员，剩下的7%是PR等人员

样本处理流程和大多大厂类似，大部分云收集的样本走自动处理管线，其中一小部分难以判定的样本则交给人工处理（即恶意程序分析师），如果恶意程序分析师鉴定文件为黑，则转交给侦测工程师创建新的定义并发布到客户端。

去年CyberMonday的时候Emotet曾经大幅爆发过一次，他们当时放出了不同防御层的侦测占比，其中Documents是云端防护系统的侦测，Trojan是高级内存扫描的检测，而Kryptik则是DNA扫描的检测。要说这张图传达了什么重要信息，那就是请还在用4.x之类版本的同学尽早升级吧


至于他们总部的viruslab长什么样，某网站上有个视频有条件的同学可以去围观：https://www.youtube.com/watch?v=PxJW6WZN3zs 应该还是布拉提斯拉发的那幢楼。里面接受采访的那个小哥就是经常在各种conf演讲的研究员之一

Jerry.Lin

我来猜猜

NG6 -> Cylance

tihs

看不懂，但是高大上。国内的安软企业也能这么努力就有希望了。
看好ESET未来。

Miostartos

191196846 发表于 2019-2-28 15:20
我来猜猜

NG6 -> Cylance

我同意。
不过我很好奇NG3是啥。哈哈哈。

xiaofeizei

主防啥时候能正式出来我比较关心这个

微雨燕双飞

NG1 2 4 感觉应该是大厂

85683213

ESET 也是纯扫描啊，哪有跑沙箱？

NG1: AVIRA
NG2: Avast
NG3: Microsoft
NG4: Bitdefender

...没办法猜了

不过他到底怎么测的...
这种最理想的是AVIRA这种纯扫描的杀毒

Trend Micro
Kaspersky
Symantec
Bitdefender

这种功能复杂的到底怎么测试？

generalbasic008

ESET的沙箱一直没感觉到,难道就是高启发的沙箱?NG1是哪家 ,还不错嘛?

B100D1E55

191196846 发表于 2019-2-28 15:20
我来猜猜

NG6 -> Cylance

嘿嘿Cylance误报的确可以算惊天地泣鬼神

B100D1E55

STCn1000 发表于 2019-2-28 15:33
我同意。
不过我很好奇NG3是啥。哈哈哈。

有那么一秒钟我在想NG3是不是sophos