微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 猜想微点的“主动防御”原理  

 16  1/2  1  2  > 
作者:
标题: 猜想微点的“主动防御”原理
zbzc
注册用户





积分 131
发帖 129
注册 2006-10-4
#1  猜想微点的“主动防御”原理

很多人把微点看作是智能的hips,本人不赞同。本人觉得,微点兼有hips,虚拟机技术,病毒码识别技术。由以下三步来实现病毒识别:
1.利用成熟的hips规则,做初步的识别。由嫌疑的程序,进入下一步。
2.动态仿真技术。可能就是虚拟机+仿专家分析识别病毒的成熟方法和规则。
3.列外的,不易通过规则识别的,就用病毒码识别法解决。
大家知道,hips很难实现智能化,智能化的hips查出率都很低,微点就通过2来补救,但有些病毒程序,很难通过行为识别,或者是个列很少,没有必要制定不成熟的规则而影响软件运行,就用3来解决。

※ ※ ※ 本文纯属【zbzc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-8-17 17:29
查看资料  发送邮件  发短消息   编辑帖子
HomeSGerMine
银牌会员

■■微点护卫队队长■■


积分 4888
发帖 4785
注册 2009-3-8
来自 哪里有微点,哪里就有我
#2  

LZ说的还是不对,微点不是hips的技术,是主动防御,和hips差很多的,全世界什么杀软敢不拦截驱动?就只有微点敢...hips敢吗?不敢。它会自己判断是不是病毒吗?不会。所以微点就是主动防御,没什么hips什么的,微点和其他现有的技术都不一样,这也为什么称之为主动防御,而不是智能hips了

※ ※ ※ 本文纯属【HomeSGerMine】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

东方之荣耀,  中华之微点!---Micropint
2009-8-17 17:50
查看资料  发送邮件  发短消息  QQ   编辑帖子
zbzc
注册用户





积分 131
发帖 129
注册 2006-10-4
#3  

LS认为什么是主动防御呢?hips是什么意思?

※ ※ ※ 本文纯属【zbzc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-8-17 20:40
查看资料  发送邮件  发短消息   编辑帖子
lsj301
银牌会员




积分 1388
发帖 1382
注册 2009-3-16
来自 甘肃兰州
#4  



  Quote:
Originally posted by zbzc at 2009-8-17 20:40:
LS认为什么是主动防御呢?hips是什么意思?

主动防御=智能专家系统+hips

※ ※ ※ 本文纯属【lsj301】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

我们一直在默默支持微点!
2009-8-17 20:54
查看资料  发送邮件  发短消息  QQ   编辑帖子
微点专家
版主

Weizi


积分 11554
发帖 11458
注册 2006-8-27
来自 贵阳
#5  

微点不是hips ,重复很多次说了

※ ※ ※ 本文纯属【微点专家】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

做个性的自己
2009-8-17 20:54
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
zbzc
注册用户





积分 131
发帖 129
注册 2006-10-4
#6  

请专家说说,微点是什么?

※ ※ ※ 本文纯属【zbzc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-8-18 11:08
查看资料  发送邮件  发短消息   编辑帖子
微点专家
版主

Weizi


积分 11554
发帖 11458
注册 2006-8-27
来自 贵阳
#7  



  Quote:
Originally posted by zbzc at 2009-8-18 11:08:
请专家说说,微点是什么?

微点主动防御软件是一套基于程序行为分析判断技术的全面系统安全防护软件。与传统杀毒软件相比,微点主动防御软件不仅保留了传统杀毒软件的特征码扫描技术,比如文件在被复制、传输、打开时,微点主动防御软件依据病毒特征码进行过滤,快速拦截已知病毒。但更重要的是微点主动防御软件通过程序行为分析判断技术,对病毒等有害程度行为自动监控、自动分析、判断、拦截,实现了对新病毒等有害程序的主动防御,有效解决了特征码扫描技术的滞后性。同时,微点主动防御软件嵌入防火墙、溢出攻击、漏洞扫描、系统分析等等安全功能,使得微点主动防御软件成为一套比较全面的系统安全防护软件。


微点主动防御软件和HIPS有着本质的不同

HIPS类软件针对各种潜在影响系统安全的API动作进行监控/报警,因此称之为API动作监控/拦截器较为准确。比如监控创建文件、安装全局钩子、创建远程线程、修改其它进程内存、创建/修改注册表项等API动作,不管运行的程序是病毒木马还是正常程序,只要程序执行了被监控的API动作,HIPS就会报警,这就造成了大量无效的报警信息,一般用户很难使用。

为了减少HIPS的报警信息,EQ等HIPS采用类似网络防火墙规则包的设置,每条规则仍然对应一个API动作,且规则间没有逻辑关系,仅对某些系统或程序的使用API的动作处理行为进行预先设置,当这些程序运行时,就按照已经预先设置的规则进行处理,减少了询问用户的频度。但在安装软件和驱动,甚至软件升级时,这种规则包有可能影响程序的正常工作,因此,这类HIPS可能会要求暂时关闭保护功能,待软件安装结束后再重新启用保护功能。我们必须注意到,用户安装新软件时常常会遇到病毒,很多恶意软件多采用捆绑的方法欺骗用户安装,因此即使是暂时关闭保护,也是很危险的。

微点主动防御软件和HIPS则有着本质的不同,微点不是根据简单的单一API动作进行报警,而是根据程序一系列API动作构成更有意义的行为,结合病毒行为知识库进行逻辑判断,综合分析这个程序是否是病毒。微点主动防御软件使用程序行为智能分析,实现对病毒的判断更准确,同时也基本杜绝了频繁报警给用户带来的困惑,因此更适合普通用户使用。例如微点主动防御软件不会因为程序只增加一个注册表run项(单一API动作)就报警。而HIPS因为只依据单一的API动作,因此只能报这个程序执行了某个可疑的API动作,询问用户是否允许程序执行这个动作,特别当一个正常程序被病毒捆绑时,用户可能会做出错误的判断。

微点主动防御软件不是HIPS,HIPS是依据简单的单一API动作进行报警;而微点主动防御软件是依据程序一系列API动作构成的有意义的行为,并结合病毒行为知识库进行的一套复杂的逻辑判断,准确判定程序是否是病毒,或者是正常程序。

※ ※ ※ 本文纯属【微点专家】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

做个性的自己
2009-8-18 13:38
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
zbzc
注册用户





积分 131
发帖 129
注册 2006-10-4
#8  

且不论hips的原意,我也知道微点和EQ等的不同,我是觉得,微点对病毒的检出,是分层次检出的。
    微点的核心技术是动态仿真技术,说白了,就是用程序来模仿专家分析判断病毒的技术。怎么模仿呢,首先要创造一个环境让病毒运行(动态),估计就类似虚拟机,另外就是识别,就需要规则。这个过程需要时间。在使用微点的过程中,我发现,只要微点图标中的小黄点转动变慢时,机器运行就受影响,出现报警时,甚至有停顿。这是否可说明,这个动态仿真过程是需要时间的。而通常情况下,机器运行是很流畅的,所以,我才觉得微点识别病毒是分层次的,我说的那三步,也可以叫1.简单识别,2.精确识别,3.辅助识别。而从方法上猜,我认为第一步就和EQ等差不多,我所以把“1“说成是:“利用成熟的hips规则,做初步的识别”。就是没有说微点和EQ等相同呀。

※ ※ ※ 本文纯属【zbzc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-8-18 18:05
查看资料  发送邮件  发短消息   编辑帖子
御剑临风.
禁止访问





积分 625
发帖 659
注册 2009-4-10
#9  

2楼表达的已经很清楚了,微点不是HIPS也不是所谓智能HIPS

比如谁敢不拦截驱动! 微点敢,HIPS只要一个创建文件都提示拦截了

还有很多号称有主动防御技术的软件

比如瑞星很多驱动拦截提示。 江民也有,卡巴也有

他们属于HIPS。就是把HIPS照搬回来有的应该加入白名单所有没提示

===================

微点即便这个程序不在白名单里(微点显示在其他)没识别,显然是

微点没有这个程序的白名单,但是微点依然没提示

但是如果程序有害,微点就会提示拦截

很显然使用的技术不同于HIPS。

HIPS没有病毒库 不区分程序好坏,统统提示拦截就是系统单一动作的监控器

微点是根据一系列动作才提示的

(应该可以说微点开发之初应该参考过HIPS)

而且可称道的是微点的误报很低! 查杀率可卡巴等齐名

足以证明微点的技术和能力

[ Last edited by 御剑临风. on 2009-8-18 at 19:10 ]

※ ※ ※ 本文纯属【御剑临风.】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-8-18 19:08
查看资料  发送邮件  发短消息   编辑帖子
御剑临风.
禁止访问





积分 625
发帖 659
注册 2009-4-10
#10  

微点公司承担的国家863“基于程序行为自主分析判断的实时防护技术”

http://blog.sina.com.cn/s/blog_5db224580100c6v0.html

【国家863计划】百科 【火炬计划】

http://baike.baidu.com/view/167543.htm

【火炬计划】百科

http://baike.baidu.com/view/145637.htm

这里要说明的是国家出资搞建设

微点承担的是国家863“基于程序行为自主分析判断的实时防护技术”

国家要拨款的。

微点至少获得国家1000万的研究经费!【不知道是不是更多?】

如果这项技术不成熟,国家怎么敢认可刘旭这个院士呢?所以,

除了微点的主动防御技术,其它软件的主动防御大家最好别用,那是在花自己的钱,

当别人的小白鼠。

※ ※ ※ 本文纯属【御剑临风.】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-8-18 19:13
查看资料  发送邮件  发短消息   编辑帖子
 16  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号