卡巴斯基的恶意行为判识系统

B100D1E55

Miostartos 发表于 2020-4-26 22:31
看了下，质量好高啊。
不过这到底算诺顿的还是赛门铁克的呢

应该是symantec和norton分拆前的统一部门吧。我一直很好奇他们data science部门最后去了哪边……

B100D1E55

雨落丶枫守 发表于 2020-4-26 12:23
这其实就是论坛水分帖子泛滥的问题，B大的文章太专业，一般人看不懂   只能追求一些肤浅的数据了
...

这个真心不算太专业，我只是搬运罢了，不过以后考虑说得更简单一点

Miostartos

B100D1E55 发表于 2020-4-26 22:39
应该是symantec和norton分拆前的统一部门吧。我一直很好奇他们data science部门最后去了哪边……

从博通对Symantec的操作来看。
我非常怀疑不要说data science，搞不好整个研发部门其实都在Norton lifelock这边。

欧阳宣

雨落丶枫守 发表于 2020-4-26 12:23
这其实就是论坛水分帖子泛滥的问题，B大的文章太专业，一般人看不懂   只能追求一些肤浅的数据了
...

我真的觉得与其要求别人把你看不懂的东西揉碎成你看得懂的，难道不是自己去提高知识水平才是符合常理的做法吗

高中生遇到大学课本是不会让别人把课本编得更简单的

ELOHIM

B100D1E55 发表于 2020-4-26 22:31
本质是写没错，问题是如何把勒索的写和其他的写区分开。比如有的勒索是读--加密--写，有的是读--写--删除 ...

非常感谢B神解答！
我认真的点了链接，但是维基百科国内打不开。。。。。

pal家族

是否可以认为卡巴主防不再是行为匹配而是转向特殊的打分制？
或者说还有什么更好的概括方法

Jerry.Lin

pal家族 发表于 2020-4-26 20:19
是否可以认为卡巴主防不再是行为匹配而是转向特殊的打分制？
或者说还有什么更好的概括方法

(我觉得）可以说都有，因为有可能一个特定的行为特征（比如说漏洞利用, UAC bypass 这种明显是恶意软件才会干的事）打分就可能一下子突破阈值触发回滚；也就是行为匹配，不过最后结果反映在超不超阈值上

不过感觉这种单调递增的也有缺陷……就是所谓的拦截点靠后，有时候木马都已经窃取信息上传到CC了才触发回滚，也没毛用……

pal家族

Jerry.Lin 发表于 2020-4-27 11:33
(我觉得）可以说都有，因为有可能一个特定的行为特征（比如说漏洞利用, UAC bypass 这种明显是恶意软件才 ...

你不要过来呀
再过来我就
报警啦！

pal家族

Jerry.Lin 发表于 2020-4-27 11:33
(我觉得）可以说都有，因为有可能一个特定的行为特征（比如说漏洞利用, UAC bypass 这种明显是恶意软件才 ...

不过特征库里倒是还是陈列着行为特征，还有具体的数目。
令人头大

3c89

B100D1E55 发表于 2020-4-26 22:37
嗯，其实我个人觉得安全领域某些东西跟芯片领域有点像，都属于深藏不露类型，除了竞争因素外这也和技术细 ...

诺顿以前也有过类似资料出来共享
   但把最核心的还是没卡巴斯基之类那么慷慨透明

毕竟要留一手  不然教会老虎上树对自己就是威胁

   卡巴斯基的透明可以说是它很自信就算把核心秘密摆在对手面前，对手也不一定学得会……
  毛子的暴力美学(误杀率超高)  其他人学去了  就是死路一条…… 毛子在任何事情上思路都很激进   所以没多少厂商敢学