有关360主动防御的问题，上次在国内大区很不满意的问题……………………标题要长

jefffire

晚风中的泪 发表于 2011-4-6 21:28
那么微点不就相当于智能HIPS？

可以这么理解，但不完全对。因为微点的规则并不是和HIPS规则一样，微点的“专家系统”是类似于一个评分系统一样的东西，对程序的行为进行权重评分，累计超过设定阀值后就报警。

晚风中的泪

jefffire 发表于 2011-4-6 21:31
可以这么理解，但不完全对。因为微点的规则并不是和HIPS规则一样，微点的“专家系统”是类似于一个评分系 ...

能不能解释下什么叫权重评分？

jefffire

晚风中的泪 发表于 2011-4-6 21:35
能不能解释下什么叫权重评分？

比如设定阀值为50分 ，大于等于50分就报警。
然后又预设行为A 10分、B 20分、C 30分、D  40分
比如某程序触发行为A和D，这样总分就达到了50，于是按设定就报警。

当然这只是最最简单的一个示意，真正的评分系统具有非常复杂的逻辑。

zouguan508

晚风中的泪 发表于 2011-4-6 20:44
前几天在国内大区发了个帖子，（http://bbs.kafan.cn/thread-945906-1-1.html），结果却令人大失所望，很多 ...

说说360和微点主防的区别，看看是否对你有帮助：

　　360的主防采用的是单步拦截法，即对某一程序的单步行为进行分析和判断，对于那些可能影响系统安全的行为，同时触发该行为的程序又不在可信名单之列，便会弹窗提示用户程序的行为，并由用户进行判断做出选择。
　　微点主防则采用的是多步拦截法，就是跟踪程序的多步行为，当一系列的行为的共同作用触发了微点内置的规则，便会报警，同时采取回退机制，废除刚才已经发生的行为，使系统环境回复到所有行为执行之前的状态。
　　比如“加驱”这一行为，如果是单步拦截，可能会马上挂起进程并提示用户，如果是多步拦截，可能会看其后续行为是否合法再决定是否和用户进行交互。
　　单步拦截的安全系数更高，但是同时如果黑白名单不是足够大的话，可能提示会比较频繁，和用户交互比较多，不方便用户操作。
　　多步拦截虽然显得更加智能化和人性化，但是对于规则和回滚机制要求非常高，比如一些模糊的行为很可能以擦边球的方式绕过了规则，当发现时已经导致了某些不可回滚的操作，进而造成了不可挽回的损失，所以多步拦截的安全性应该低于单步拦截。
　　这也是为什么360主防在卡饭测试中常常能100%了，因为太“敏感”了。
　　单论技术要求的话，微点主防更高，但是其对流氓样本不太感冒，而卡饭样本好多是这样的样本，所以呢微点的成绩就。。。。。。

晚风中的泪

回复 13楼 jefffire 的帖子

太谢谢你了，我明白了好多东西啊，羡慕乃的技术水平啊

萧剑

关注姐夫的科普……

晚风中的泪

回复 14楼 zouguan508 的帖子

真是谢谢，真希望卡饭多些你这样的技术回答啊

jefffire

zouguan508 发表于 2011-4-6 21:46
说说360和微点主防的区别，看看是否对你有帮助：
360的主防采用的是单步拦截法，即对某一程序的单步行为 ...

行为采集判定放置在云端其实最佳选择。即便发生不可逆操作也没损失。

zouguan508

jefffire 发表于 2011-4-6 21:55
行为采集判定放置在云端其实最佳选择。即便发生不可逆操作也没损失。

十分赞同姐夫的想法

dylgw

+1感谢姐夫科普顺便学习一下