卡巴斯基的恶意行为判识系统

显示全部楼层 · 发表于 2020-4-28 11:55:11

本帖最后由 B100D1E55 于 2020-4-28 11:57 编辑

pal家族发表于 2020-4-27 10:19
是否可以认为卡巴主防不再是行为匹配而是转向特殊的打分制？
或者说还有什么更好的概括方法

其实就图的构建那一步感觉有一点ESET DNA特征的感觉

好吧我乱说的，这个的确可以看作是一种特殊的打分制而ESET那个是匹配。卡巴这个因为参数包含在训练里面估计也可以做家族特征（原文特别强调很多类似技术的label空间是有限的，但卡巴的没有限制）。比如文中说的M+K特征，其中K是自动提取的高频参数令牌，但我估计可以额外拓展包含特定家族的特殊行为，报出详细毒名也就比较可行。也可以针对每一个家族都做一个对应的神经网络模型匹配提取的图特征，就变成行为匹配。

不过感觉卡巴现在真是太敏感了，官方autoit binary我末尾加个0就被UDS杀了也是很厉害…………

卡巴VHO/UDS的核心可能是这个：搜一下专利号CN 109684835 A 不过我还没细看

显示全部楼层 · 发表于 2020-4-29 08:56:12

本帖最后由 pal家族于 2020-4-29 09:00 编辑

B100D1E55 发表于 2020-4-28 11:55
其实就图的构建那一步感觉有一点ESET DNA特征的感觉

看不懂还是你来发帖科普吧
B大的实力，小菜啊、

可不是可以说
卡巴不是简单地给每个小行为打分，也不是单纯的匹配行为
而是从一串行为中通过自家的算法提取中某种类型的记录，在和特征库里的行为模型匹配，配上了再打分，到了阈值就报。。。

显示全部楼层 · 发表于 2020-4-29 14:35:44

支持大神！大神666！

显示全部楼层 · 发表于 2020-5-1 17:09:26

技术贴好评

显示全部楼层 · 发表于 2020-5-1 20:06:40

好棒，来学习学习

显示全部楼层 · 发表于 2020-5-3 11:12:32

检测机制的各种先进算法，才是真正的灵魂。

这些先进的算法，由于实际测试的样本量非常大。所以验证结果也非常可靠。

显示全部楼层 · 发表于 2020-5-4 23:47:59

诺顿还在用多年前的老机制。。。微软的WD杀伤力太大

显示全部楼层 · 发表于 2020-5-6 14:50:35

值得学习的好帖子。提出以下问题
如果存在无法捕捉到的行为，从根本上存在失效的风险。
图模式忽略了时间序列，存在信息失真。

显示全部楼层 · 发表于 2020-5-8 08:21:06

Miostartos 发表于 2020-4-25 11:58
这种时候就要打诺顿屁屁
机学误报感觉是完全没压过

Heur.AdvML.B

显示全部楼层 · 发表于 2020-5-8 23:15:57

专业好贴

[讨论] 卡巴斯基的恶意行为判识系统