欢迎各饭友进来讨论对BitDefender比特梵德B-HAVE技术与ATC机制和ATD主防的理解

pyic

请各位饭友结合自己的理解讨论BitDefender比特梵德B-HAVE技术与ATC机制和ATD主防的相互关系，是新旧技术的更新迭代还是技术研发的保留和进一步拓展




附相关技术介绍：

（一）

B-HAVE, Behavioral Heuristic Analyzer in Virtual Environments）- 在计算机内生成虚拟环境，模拟软件运行并识别是否存在恶意插件，将病毒与您的操作系统完全隔离。


B-HAVE (在虚拟环境中行为启发式分析器）包含了许多不同的技术来主动地检测恶意软件。
B-HAVE是以下的基础
*基于行为的启发
*通用检测方法
*对于VB脚本的虚拟机
*对于BAT/CMD脚本的虚拟机
*VB脚本模拟器
*对于可执行文件（PE, MZ, COM, SYS, Boot Images）的虚拟机
相对于传统的防御体系，B-HAVE技术也扮演着一个“力量增强者”的角色。举个例子，运行在虚拟环境中的文件（像OLE组件 释放的可执行文件等等）会被其他的方式所过滤，可能甚至是通过一种循环的方法来检测（他们会被返回到虚拟环境中进行“第二次选择”或者被送到更经典的启发式过滤器中）
除了基于内容的启发（现在已经被我们的竞争者广泛使用的技术）之外，B-HAVE使用基于行为的启发，能够极大地降低误报率并且能够提高对于新的恶意软件的检测率。


（二）

‌BitDefender的ATC机制（高级威胁控制）是一种主动防御技术，旨在通过实时监控和防御未知或新型威胁，保护用户设备免受恶意软件的攻击。‌

BitDefender的ATC机制通过以下几个关键功能来实现其防御效果：

‌实时监控‌：ATC机制能够实时监控系统的活动和进程，对任何异常行为进行即时分析和响应。这有助于在恶意软件执行破坏性操作之前识别并阻止它们。

‌未知威胁检测‌：ATC机制能够识别和防御未知威胁，这是通过其强大的行为分析技术实现的，该技术能够分析程序的行为模式，从而判断其是否为恶意软件。

‌主动防御‌：ATC机制提供主动防御，通过阻止恶意软件的执行或操作，减少感染风险。这包括对潜在威胁的即时响应和隔离，防止它们对系统造成损害。

‌与云技术的结合‌：BitDefender的ATC机制还利用云技术，通过与云安全网络的实时交互，获取最新的威胁情报和防护更新，从而提供更加全面的保护。

‌回滚功能‌：在2019版中，BitDefender增加了回滚功能，这是一种额外的安全层，能够在恶意软件突破其他防御措施后，通过回滚系统到安全状态来恢复系统。

通过这些功能，BitDefender的ATC机制提供了一个多层次、全方位的防御体系，旨在保护用户免受各种网络威胁的侵害‌

（三）

‌BitDefender ATD‌（深度威胁识别）是一种基于UEBA（用户及实体行为分析）和AI（人工智能）技术的下一代SIEM（安全信息和事件管理）产品。它集成了深度威胁识别技术、先进的算法和机器学习，能够智能分析和检测边缘安全网络上的任意流量，及时发现安全威胁，并采取相应的防御措施。此外，BitDefender ATD还可以采集防火墙、IDP（入侵防御系统）、DLP（数据泄露防护）、WAF（Web应用防火墙）、主机安全等各个组件的日志，识别深层次的威胁并建立深度关联，检测数据全生命周期面临的内外网深度安全威胁。通过可视化运营管理平台实现管理和溯源，有效管理各类多云场景下的安全问题。

BitDefender ATD的产品优势包括创新SIEM理念，提供全面的安全防护。它能够实现实时数据采集、汇总分析，即时定位关键威胁事件。通过安全设备联动，有效识别深度威胁与未知威胁，防护更全面。此外，它还可以识别高频和低频爬虫、CC攻击、主机失陷、数据泄露、非法提权等各类问题。该产品可适配公有云、私有云、混合云等多云场景，对全球异构资源和网络环境进行深度威胁分析和联动处理。BitDefender ATD采用分布式旁路部署模式，对线上业务不产生任何影响，同时在私有云和混合云场景下，不改变原架构与业务流量流向，可快速实现弹性扩容，突破带宽与性能瓶颈。此外，它还支持自定义数据模型，通过无监督、半监督学习引擎，根据自定义模型自动识别异常行为和正常行为，实现威胁识别的精准性。

BitDefender ATD的功能包括全数据采集和分布式存储，利用无监督、半监督学习等算法精准识别异常行为，自我学习不断进化，威胁感知更加精准。它还支持安全编排自动化响应（SOAR），在事件触发时自动分析故障原因，并按预定逻辑进行多业务系统、多设备、多层级联动。通过用户及实体行为分析（UEBA），基于六元组模型定义行为，形成对用户及实体的行为分析。此外，它还提供可视化分析，通过自定义的数据看板、可配置的安全报表以及多维度的态势大屏展示，全方位展示用户环境的态势情况。全球威胁情报中心自动集成包含IP地址的网络情报信息，精准进行威胁溯源分析。

应用场景方面，BitDefender ATD能有效保障业务安全，通过深度威胁引擎发现和识别爬虫、刷单、撞库、低频攻击、团伙行为等风险。同时，它也能用于企业内网安全防护，采集并分析企业各组件日志和流量，监测用户及实体行为，告警异常风险，有效发现和防护数据泄露、网络扫描、木马病毒等攻击‌

DisaPDB

B-HAVE是动启吧……

Hibike

B-HAVE是动态启发式，跟后两者至少是八竿子都打不着的

pyic

Hibike 发表于 2024-9-6 18:01
B-HAVE是动态启发式，跟后两者至少是八竿子都打不着的

按照你的理解，B-HAVE技术是动态启发式，ATC机制是沙箱和云的结合体，ATD主防就是实机仿真状态下的虚拟机技术了，对吧？

Hibike

pyic 发表于 2024-9-6 18:11
按照你的理解，B-HAVE技术是动态启发式，ATC机制是沙箱和云的结合体，ATD主防就是实际仿真状态下的虚拟机 ...

要不你还是搜搜卡饭之前的帖子吧。
目前你的论点不堪卒读

Hibike

https://bbs.kafan.cn/thread-2038268-1-1.html
https://bbs.kafan.cn/thread-2076079-1-1.html
https://bbs.kafan.cn/thread-2151987-1-1.html

pyic

Hibike 发表于 2024-9-6 18:13
要不你还是搜搜卡饭之前的帖子吧。
目前你的论点不堪卒读






Hibike 发表于 2024-9-6 18:20
https://bbs.kafan.cn/thread-2038268-1-1.html
https://bbs.kafan.cn/thread-2076079-1-1.html
https://bbs.kafan.cn/thread-2151987-1-1.html






大概看了一下你推荐给我的内容，介绍的十分全面，不过根据我个人粗浅的判断虚拟机、启发式分析、沙箱、云监控探针（云鉴定）应该是B-HAVE技术、ATC机制和ATD主防的鼻祖（原始形态），也就是后者是前者技术发展的演进结果，这样表述你认同吗？

断簪

B-HAVE和ATD是两条线
前者是动态启发，后者是主防；ATD最早叫AVC，后来改名ATC，再到现在的ATD

蒙特卡洛

pyic 发表于 2024-9-6 19:06
Hibike 发表于 2024-9-6 18:13
要不你还是搜搜卡饭之前的帖子吧。
目前你的论点不堪卒读

你像是做语文理解题的 不能脱离实际 就比如拿虚拟机来说，只能说虚拟化的思想可能在BHAVE ATC之类地方有

camsonjame

现在太长的帖子看不了，能不能有个太长不看版啊