Bitdefender比特梵德的ATC机制

岚Azure

从网上看的。
比特梵德，它的一身精随在于ATC主防，关于这个主防的能力，基本上可以这样说，如果有ATC拦不住的东西，其他防毒也别想防住。

一般防毒都是依据"规则触发"，即使加入了云AI，也只是"更加复杂的规则触发"，也就是恶意病毒在实施某一个关键行为时会被防毒阻止。

这么做的坏处就是，你得先有"规则"，才能谈得上防护。所以对于0day攻击、变种极快的勒索攻击、木马攻击的应对力是不足的，即使有复杂的行为防护、也终究难逃被绕过的命运，就算病毒码跑到你系统里溜了一圈、只要不触发条件就没事。

而BD的ATC主防是"评分式"防护，它不去判断病毒造成的结果，而是去评价它的行为，这个程序改了我的注册表?我不知道目的是什么，但先调降它的安全评级、访问我的系统文件?再调降，直到程序风险阀值超过基准后直接被ATC主防击杀。

ATC对未知病毒的防御能力非常强悍、在勒索病毒防御测试中，只有BD在病毒还未开始加密前就被拦截，其他防毒都是在加密过程中触发了规则而被阻止。

当然这个ATC主防也不是无敌的，首先它的算法非常复杂，你怎么知道这个行为该不该扣分、扣多少分，扣几分才击杀?

一般规则式主防如同过关、每一道关卡都得留纪录过门禁，一旦出现问题、因为知道这东西之前做过什么、所以可以回滚资料

ATC主防的做法是直接直接派个人举枪跟着你、
触发阀值就直接枪杀，但因为没有纪录、所以资料无法回滚。

这样就有个坏处，如果不能在病毒真正造成破坏之前就，将它击毙，那么最终还是会造成损失。

ATP_synthase

卡巴的SW机制也差不多吧，等等BD的ATD不能回滚吗？？？

一般规则式主防如同过关、每一道关卡都得留纪录过门禁，一旦出现问题、因为知道这东西之前做过什么、所以可以回滚资料

ATC主防的做法是直接直接派个人举枪跟着你、
触发阀值就直接枪杀，但因为没有纪录、所以资料无法回滚。

温馨小屋

ATP_synthase 发表于 2020-4-2 10:13
卡巴的SW机制也差不多吧，等等BD的ATD不能回滚吗？？？

这文章说的是古时候的ATC，和ATD不一样，ATD的回滚和卡巴也不一样，ATD的回滚只能删除文件，而卡巴可以还原被加密的文件，而且ATD的衍生物删除策略不如卡巴细致，经常错删或者漏删东西，如果有资料被加密的话ATD是没办法的，这可能就与打分制有关。

BD用久了就能深刻的理解到什么是打分制了，大概半年前，我的流量监控插件，选项里打开开机启动，关闭之后再打开一次，就杀了，明显的分数到阈值了，当然现在已经修复了，但是用卡巴基本从来不会见到这种情况，所以ATD查杀率确实高，但总感觉怪怪的

kim545

BD有自己的回滚的你们没看到勒索回滚么，但是那个真的触发的不多不知道怎么回事

企稳向好

ATP_synthase 发表于 2020-4-2 10:13
卡巴的SW机制也差不多吧，等等BD的ATD不能回滚吗？？？

按我的理解，这两个还是有些差别的
卡巴的机制是这样的：

The built-in BSS module decides whether a program is malicious or not. The module
compares each program’s real-life behavior with models of typical malware behavior. The
module analyzes program behavior and issues verdicts in real time. Kaspersky Lab’s security
solutions also provide so-called heuristic BSS-based detections which indicate that a
program’s behavior is similar to, but may not necessarily be, that of malware. In addition to
using standard detection methods, System Watcher can identify potentially malicious actions.

比较程序行为和恶意软件行为模型是否相似，从而判别是否是恶意软件。
ATD（实际从ATC就开始了）是对程序行为进行了评分，根据预设的阈值确定是否拦截。它不需要和某种确定的恶意软件行为比较，但同样的，由于需要训练模型，它也难以迅速覆盖检测模型之外的离散样本（因而常常入库了事）——而卡巴的机制理论上可以通过更新BSS实现对特定行为样本的检测。

TimelessTT

企稳向好 发表于 2020-4-2 13:43
按我的理解，这两个还是有些差别的
卡巴的机制是这样的：
比较程序行为和恶意软件行为模型是否相似，从 ...

请问可以提供下原文的出处嘛
万分感谢！

pal家族

TimelessTT 发表于 2020-4-2 18:59
请问可以提供下原文的出处嘛
万分感谢！

https://www.kaspersky.com/enterp ... or-based-protection
https://media.kaspersky.com/pdf/ ... tem_Watcher_ENG.pdf

TimelessTT

pal家族 发表于 2020-4-2 19:11
https://www.kaspersky.com/enterprise-security/wiki-section/products/behavior-based-protection
htt ...

谢谢！！！

欧阳宣

时代在变 别人那里听来的道听途说最好还是自己先甄别