查看: 1538|回复: 10
收起左侧

[讨论] 欢迎各饭友进来讨论对BitDefender比特梵德B-HAVE技术与ATC机制和ATD主防的理解

[复制链接]
pyic
发表于 2024-9-6 12:37:25 | 显示全部楼层 |阅读模式
本帖最后由 pyic 于 2024-9-6 21:57 编辑

请各位饭友结合自己的理解讨论BitDefender比特梵德B-HAVE技术与ATC机制和ATD主防的相互关系,是新旧技术的更新迭代还是技术研发的保留和进一步拓展




附相关技术介绍:

(一)

B-HAVE, Behavioral Heuristic Analyzer in Virtual Environments)- 在计算机内生成虚拟环境,模拟软件运行并识别是否存在恶意插件,将病毒与您的操作系统完全隔离。


B-HAVE (在虚拟环境中行为启发式分析器)包含了许多不同的技术来主动地检测恶意软件。
B-HAVE是以下的基础
*基于行为的启发
*通用检测方法
*对于VB脚本的虚拟机
*对于BAT/CMD脚本的虚拟机
*VB脚本模拟器
*对于可执行文件(PE, MZ, COM, SYS, Boot Images)的虚拟机
相对于传统的防御体系,B-HAVE技术也扮演着一个“力量增强者”的角色。举个例子,运行在虚拟环境中的文件(像OLE组件 释放的可执行文件等等)会被其他的方式所过滤,可能甚至是通过一种循环的方法来检测(他们会被返回到虚拟环境中进行“第二次选择”或者被送到更经典的启发式过滤器中)
除了基于内容的启发(现在已经被我们的竞争者广泛使用的技术)之外,B-HAVE使用基于行为的启发,能够极大地降低误报率并且能够提高对于新的恶意软件的检测率。


(二)

‌BitDefender的ATC机制(高级威胁控制)是一种主动防御技术,旨在通过实时监控和防御未知或新型威胁,保护用户设备免受恶意软件的攻击。‌

BitDefender的ATC机制通过以下几个关键功能来实现其防御效果:

‌实时监控‌:ATC机制能够实时监控系统的活动和进程,对任何异常行为进行即时分析和响应。这有助于在恶意软件执行破坏性操作之前识别并阻止它们。

‌未知威胁检测‌:ATC机制能够识别和防御未知威胁,这是通过其强大的行为分析技术实现的,该技术能够分析程序的行为模式,从而判断其是否为恶意软件。

‌主动防御‌:ATC机制提供主动防御,通过阻止恶意软件的执行或操作,减少感染风险。这包括对潜在威胁的即时响应和隔离,防止它们对系统造成损害。

‌与云技术的结合‌:BitDefender的ATC机制还利用云技术,通过与云安全网络的实时交互,获取最新的威胁情报和防护更新,从而提供更加全面的保护。

‌回滚功能‌:在2019版中,BitDefender增加了回滚功能,这是一种额外的安全层,能够在恶意软件突破其他防御措施后,通过回滚系统到安全状态来恢复系统。

通过这些功能,BitDefender的ATC机制提供了一个多层次、全方位的防御体系,旨在保护用户免受各种网络威胁的侵害‌

(三)

‌BitDefender ATD‌(深度威胁识别)是一种基于UEBA(用户及实体行为分析)和AI(人工智能)技术的下一代SIEM(安全信息和事件管理)产品。它集成了深度威胁识别技术、先进的算法和机器学习,能够智能分析和检测边缘安全网络上的任意流量,及时发现安全威胁,并采取相应的防御措施。此外,BitDefender ATD还可以采集防火墙、IDP(入侵防御系统)、DLP(数据泄露防护)、WAF(Web应用防火墙)、主机安全等各个组件的日志,识别深层次的威胁并建立深度关联,检测数据全生命周期面临的内外网深度安全威胁。通过可视化运营管理平台实现管理和溯源,有效管理各类多云场景下的安全问题。

BitDefender ATD的产品优势包括创新SIEM理念,提供全面的安全防护。它能够实现实时数据采集、汇总分析,即时定位关键威胁事件。通过安全设备联动,有效识别深度威胁与未知威胁,防护更全面。此外,它还可以识别高频和低频爬虫、CC攻击、主机失陷、数据泄露、非法提权等各类问题。该产品可适配公有云、私有云、混合云等多云场景,对全球异构资源和网络环境进行深度威胁分析和联动处理。BitDefender ATD采用分布式旁路部署模式,对线上业务不产生任何影响,同时在私有云和混合云场景下,不改变原架构与业务流量流向,可快速实现弹性扩容,突破带宽与性能瓶颈。此外,它还支持自定义数据模型,通过无监督、半监督学习引擎,根据自定义模型自动识别异常行为和正常行为,实现威胁识别的精准性。

BitDefender ATD的功能包括全数据采集和分布式存储,利用无监督、半监督学习等算法精准识别异常行为,自我学习不断进化,威胁感知更加精准。它还支持安全编排自动化响应(SOAR),在事件触发时自动分析故障原因,并按预定逻辑进行多业务系统、多设备、多层级联动。通过用户及实体行为分析(UEBA),基于六元组模型定义行为,形成对用户及实体的行为分析。此外,它还提供可视化分析,通过自定义的数据看板、可配置的安全报表以及多维度的态势大屏展示,全方位展示用户环境的态势情况。全球威胁情报中心自动集成包含IP地址的网络情报信息,精准进行威胁溯源分析。

应用场景方面,BitDefender ATD能有效保障业务安全,通过深度威胁引擎发现和识别爬虫、刷单、撞库、低频攻击、团伙行为等风险。同时,它也能用于企业内网安全防护,采集并分析企业各组件日志和流量,监测用户及实体行为,告警异常风险,有效发现和防护数据泄露、网络扫描、木马病毒等攻击‌




DisaPDB
发表于 2024-9-6 18:00:03 | 显示全部楼层
B-HAVE是动启吧……

评分

参与人数 1人气 +1 收起 理由
Hibike + 1 懂你省略号的意思了

查看全部评分

Hibike
发表于 2024-9-6 18:01:08 | 显示全部楼层
B-HAVE是动态启发式,跟后两者至少是八竿子都打不着的
pyic
 楼主| 发表于 2024-9-6 18:11:27 | 显示全部楼层
Hibike 发表于 2024-9-6 18:01
B-HAVE是动态启发式,跟后两者至少是八竿子都打不着的

按照你的理解,B-HAVE技术是动态启发式,ATC机制是沙箱和云的结合体,ATD主防就是实机仿真状态下的虚拟机技术了,对吧?
Hibike
发表于 2024-9-6 18:13:11 | 显示全部楼层
pyic 发表于 2024-9-6 18:11
按照你的理解,B-HAVE技术是动态启发式,ATC机制是沙箱和云的结合体,ATD主防就是实际仿真状态下的虚拟机 ...

要不你还是搜搜卡饭之前的帖子吧。
目前你的论点不堪卒读
pyic
 楼主| 发表于 2024-9-6 19:06:56 | 显示全部楼层
本帖最后由 pyic 于 2024-9-10 22:43 编辑

Hibike 发表于 2024-9-6 18:13
要不你还是搜搜卡饭之前的帖子吧。
目前你的论点不堪卒读






Hibike 发表于 2024-9-6 18:20
https://bbs.kafan.cn/thread-2038268-1-1.html
https://bbs.kafan.cn/thread-2076079-1-1.html
https://bbs.kafan.cn/thread-2151987-1-1.html






大概看了一下你推荐给我的内容,介绍的十分全面,不过根据我个人粗浅的判断虚拟机启发式分析沙箱云监控探针(云鉴定)应该是B-HAVE技术ATC机制ATD主防的鼻祖(原始形态),也就是后者是前者技术发展的演进结果,这样表述你认同吗?
断簪
发表于 2024-9-6 20:45:31 | 显示全部楼层
B-HAVE和ATD是两条线
前者是动态启发,后者是主防;ATD最早叫AVC,后来改名ATC,再到现在的ATD

评分

参与人数 1经验 +5 收起 理由
白露为霜 + 5 感谢解答: )

查看全部评分

蒙特卡洛
发表于 2024-9-6 20:45:53 | 显示全部楼层
pyic 发表于 2024-9-6 19:06
Hibike 发表于 2024-9-6 18:13
要不你还是搜搜卡饭之前的帖子吧。
目前你的论点不堪卒读

你像是做语文理解题的 不能脱离实际 就比如拿虚拟机来说,只能说虚拟化的思想可能在BHAVE ATC之类地方有
camsonjame
发表于 2024-9-9 10:52:55 | 显示全部楼层
现在太长的帖子看不了,能不能有个太长不看版啊
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:03 , Processed in 0.130161 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表