卡巴斯基的恶意行为判识系统

zhujr168

路过学习

K560987

看完后我觉得BEST就没想过压过内存，4G内存虚拟机空转内存占用都要75％，开个chrome秒上90%

3c89

我在想

    这些技术公开是不是给其他安全厂商提供一个最基本的参考和改进建议？？

  就相当于ARM提供一个技术方案公布给需要的厂商    然后某些厂商以此来参考和改进自己的芯片设计方案这样？

3c89

B100D1E55 发表于 2020-4-25 12:08
感觉诺顿从来都对自己的检测机制闭口不提……到目前为止我觉得比较透明的就是卡巴了，技术细节谈得最多。

ESET也公开过自己的某些技术方案

Nblock1

行为判断

B100D1E55

Miostartos 发表于 2020-4-25 12:10
分拆之后甚至连病毒信息都查不到了。
点报毒名弹出来的完全不明所以。

不过他们这个专栏还不错：https://medium.com/ai-ml-at-symantec

B100D1E55

欧阳宣 发表于 2020-4-26 02:19
看到这个俺第一反应就是GD的图类判别 哈哈GD有时候闷闷的还走得挺靠前

但从GDATA白皮书来看貌似是进程关系图（包含时间因素），不知道抗混淆能力有多强（比如顺序调换）

Miostartos

B100D1E55 发表于 2020-4-26 22:06
不过他们这个专栏还不错：https://medium.com/ai-ml-at-symantec

看了下，质量好高啊。
不过这到底算诺顿的还是赛门铁克的呢

B100D1E55

ELOHIM 发表于 2020-4-26 14:52
B神，勒索的本质就是写入文件没错吧。

把要保护的文件锁起来，取消所有用户的访问是不是就可以高枕无忧 ...

本质是写没错，问题是如何把勒索的写和其他的写区分开。比如有的勒索是读--加密--写，有的是读--写--删除原文件……这里面可以换着各种花样。要加入勒索独有的行为提高判识精度，比如短时间内篡改/删除大量文件，大量文件重命名，使用加密函数，删卷影……锁定全部文件的确是可以但是易用性就是屎，况且以进程为单位询问用户放行文件操作遇到注入型也没辙。

卡巴其实这里判断就包括了“大量文件”这个特征：每个文件读改写都提高一点点分数，当改动数量大之后可以分数就会累加到阈值之上。在修改非常见路径的时候（比如文章图里访问python文件）分数会进一步阶梯状抬升。说明机器学习不仅学习到了行为本身的可疑度，还进一步将不同权重分给了不同路径。这也给勒索如何绕过这类检测提供了一些线索，比如没事别加密没用的程序文件。之前不少勒索都还是简单的for循环遍历整个磁盘，现在的可能会做得更精细针对性更强。


我觉得大多软件设计性能上都是优化常见情况，中毒已经不算常见情况所以不怎么会有什么对应性能优化，那种情况下清毒比性能更重要。至于你说的CPU/内存/磁盘/网络资源调配，每个方面都有专门的调度算法，每个拎出来都是一门学问……一般要考虑的有：公平性/延迟/安全性……这里给了一些例子


最后，每次技术升级不一定是对之前设计的否定，也可能是一些改进和拓展。举个YY的可能性：卡巴的这个算法中去除了行为先后顺序关系改用行为集合，但是是否能引入一个新的维度把难以调换顺序的行为“打包”在一起考虑呢（包括一些顺序和时间域内的特征）。说不定加入这些特征之后检测精度能进一步提高。当然这个例子是我随便YY的。卡巴这个数据表示去除了时域上的信息，但行为关系打包已经靠图算法做到了，我个人觉得是一个很不错的广谱提取手段，只不过里面一定还有不精确的成分留给未来改进。

B100D1E55

3c89 发表于 2020-4-26 20:01
我在想

    这些技术公开是不是给其他安全厂商提供一个最基本的参考和改进建议？？

嗯，其实我个人觉得安全领域某些东西跟芯片领域有点像，都属于深藏不露类型，除了竞争因素外这也和技术细节披露太多有潜在被攻击风险有关。

硬件那种授权模式的话，BD引擎授权之类的难道不是吗哈哈。而且第三方也基本都在这个基础上加了自己的引擎/主防


至于ESET，技术细节披露算非常少的，这里重点是“细节”