微点交流论坛 - 主动防御 - 我整理的一些关于“自学习型”主动防御软件（或称为AI-HIPS）的设想。

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 我整理的一些关于“自学习型”主动防御软件（或称为AI-HIPS）的设想。

1/2

Alpha_Boy
中级用户

积分 235
发帖 225
注册 2008-5-17

#1 我整理的一些关于“自学习型”主动防御软件（或称为AI-HIPS）的设想。

我整理的一些关于“自学习型”主动防御软件（或称为AI-HIPS）的设想。

一、首先，我们来看看江民公司提出的模糊反木马软件的设想。

该设想的描述大致如下，当用户手工捕获一个木马程序的进程时，他不需要将该进程的程序文件（.exe、.dll之类）提交给杀毒软件公司，

而只需要利用模糊反木马工具的分析程序（在一个类似Word的文件“打开”界面中进行操作），“打开”该进程，

那个分析工具就能自动从其中提取中一个“临时”性的恶意程序代码，并将该代码添加到一个“临时”性的恶意程序代码库……

而后，该模糊反木马工具就会在只加载该“临时”病毒库的情况下，对用户的系统进行扫描（可只扫描关键位置，也可全盘扫描），

找出具有该类恶意代码的其它文件——进而快速查杀此类木马（可能会存在误杀）。

这样，用户就能在杀毒软件公司对他提交的木马样本作出反应（分析程序，提取恶意代码样本，加入病毒库，并提供升级文件供用户下载）之前，就先一步查杀他的电脑中的木马了。

［一种临时型的，由用户DIY出来的专杀工具？该模糊反木马工具是否可以理解为一种专杀工具“自动”编写机呢？］

当然，该技术还不是很成熟，江民公司还是推荐用户们在发现可疑程序时，除了用该工具进行模糊查杀外，最好也上报一份样本给江民公司。
------

二、其次，是某大学计算机系的大学生对现在国外的各种智能型HIPS的评论：

他认为，现在的智能型HIPS只是内建了多套恶意程序“操作”判定库。

比如在智能型HIPS中把下面这套操作定义为恶意行为：

a、在系统盘中创建可执行程序；

b、向系统注册表中添加调用该可执行程序的开机自启动键值；

c、在此过程中不弹出任何用户界面；

d、自动关闭系统中的某些带有“杀毒软件”标题的窗口。

那么该智能型HIPS在监测到某程序在执行这一“套”操作时，就会将其“判定”为恶意“行为”——进而，拦截并暂时停止该程序的部分操作，使该程序的原始设计意图无法达成（避免用户的数据被破坏，或者系统中被植入有“活”性，会在开机时自动运行的木马），

并向用户发出警告，以征询用户的意见并采取相应的行动，一般有以下3种：

1、彻底终止该程序的运行；

2、将该程序添加到信任列表中，以后均忽略该程序的所有操作；

3、忽略该程序在本次运行中的所有操作（以便于某些高级用户在虚拟机或影子系统中分析该程序的运行结果）。

［我国的“微点”主动防御软件比一般的智能型HIPS更进一步添加了“可疑或有害程序隔离备份”，“对可疑程序所做的操作进行逆向还原（该功能的效果尚未达到100%）”等等选项及相应的功能。］

他提出，不论是国外的智能型HIPS，还是我国的“微点”，其实都是匹配式HIPS。

它们都存在一个问题，就是其附带的那套恶意操作（或称之为“恶意行为”）判定库，依然需要其出品公司的“人类”工程师们来进行维护（针对新型的恶意程序编写新的行为判定库，并向用户们发放新的升级文件），

因此，它们还是有可能存在对最新型的恶意程序无法及时反应的缺陷。

他提出的解决办法是，建立一套更复杂的规则，让“智能”型HIPS软件能自主判断用户的系统是否被“损坏”——通过一套拟神经网络系统，以及多个探测及判断结点（这个已经超过了我的知识范围，我完全看不懂了），

让“智能”型HIPS可以在一套能够反复还原的虚拟机中，不断地进行“攻防演练”中，进而自动编写恶意行为判定库，然后进行自我升级——从而部分降低，甚至完全摆脱对人类工程师的依赖，达成独立对抗恶意程序的最终目的。

（虚拟机＋系统损毁判定规则＋拟神经自我学习机制＝能自我升级的万能杀毒软件？《终结者》电影中的天网吗？那样反病毒软件的工程师们会不会失业啊？）

三、我的想法是，结合以上两种设想，设法创造出一种具有微弱自我升级能力的“自学习型”HIPS。

也就是，由用户将一个可疑程序提交给“自学习型”HIPS，然后该HIPS可以在其自带的一个微型虚拟机系统中，运行这个可疑程序，并分析出该程序的有害操作，

最后自动编写出一个临时的“恶意行为”判定库——在该HIPS的开发公司没有发布官方版的，针对该可疑程序的“恶意行为”判定库升级文件之前，

该HIPS可以在加载官方原版恶意行为库的同时，通过额外加载这个临时恶意行为库，来增强用户的电脑对该类“可疑”程序的防御能力。

［呵呵，也就是说，也许未来我们这些经常用“道”版软件的人再不用去下载杀毒软件的离线病毒库升级包，也不用去下载智能型“匹配式”HIPS的离线行为库升级包，

只要去卡饭之类的论坛下载一个最新流行病毒包，然后在Linux系统（为了以防万一）下开一个Windows系统虚拟机，让“自学习型”HIPS去和那些病毒打几“仗”，

之后就能自己傻瓜DIY出所需的升级包了，而且还能把这些升级包放到网络上，供其它的“自学习型”HIPS的“道”版用户们下载……

哈哈哈，我承认我是一个科幻小说中毒症的患者——估计，就算技术上允许的话，也没有那家公司会开发出这种会把自己“饿”死的反病毒工具吧？

真的大大降低了对人类工程师在技术维护方面的依赖，反病毒公司的人要怎样来说服它们的用户来按年付费呢？

或者，通过经营一个社区反馈系统（病毒样本交流论坛），做些广告什么的来盈利？

或者，由国家政府将所有的杀毒软件公司强制收购为国有产业，然后集中所有的技术力量去搞这个产品？]

……

[ Last edited by Alpha_Boy on 2008-8-23 at 20:16 ]

※ ※ ※ 本文纯属【Alpha_Boy】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-8-23 17:47

qq200878
中级用户

积分 456
发帖 452
注册 2007-11-17

#2

这是不可能的，这种技术出来的话肯定不会最先用在杀软上的。

※ ※ ※ 本文纯属【qq200878】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-8-23 18:22

ballpointpen
中级用户

积分 436
发帖 434
注册 2006-6-20

#3

美丽的梦想。

※ ※ ※ 本文纯属【ballpointpen】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-8-23 23:41

snhao
银牌会员

积分 1791
发帖 1782
注册 2007-6-12

#4

太遥远了

※ ※ ※ 本文纯属【snhao】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-8-25 17:21

基拉大和
新手上路

积分 10
发帖 10
注册 2008-8-27

#5

难以实现······

※ ※ ※ 本文纯属【基拉大和】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-8-27 15:42

洛阳学士
新手上路

积分 41
发帖 41
注册 2008-6-9

#6

你说的就是人工智能，我看微点又这个雏形，至少理念是朝这个方向去的。想法很好，是可以实现的，人的大脑就是结构复杂庞大但并没有什么灵魂之类的东西，所以在电脑技术发的的未来是可以有人工智能的。

※ ※ ※ 本文纯属【洛阳学士】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-8-30 00:23

killvxk
新手上路

积分 20
发帖 20
注册 2008-9-3

#7

我的毕业论文就是可怕的AI-HIPS的研究方面的。

※ ※ ※ 本文纯属【killvxk】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-9-3 18:27

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

Quote:

Originally posted by killvxk at 2008-9-3 18:27:
我的毕业论文就是可怕的AI-HIPS的研究方面的。

分享下

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2008-9-3 18:43

killvxk
新手上路

积分 20
发帖 20
注册 2008-9-3

Quote:

Originally posted by 点饭的百度空间 at 2008-9-3 18:43:

分享下

学校那里据为己有了~

※ ※ ※ 本文纯属【killvxk】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-9-3 18:51

wanghaifen
注册用户

积分 158
发帖 158
注册 2007-10-31

#10

计算机在发展，人脑也在发展，等到计算机能达到目前的人脑状态，人脑又不知道发展到什么状态了，它怎么跟人比啊？

※ ※ ※ 本文纯属【wanghaifen】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-9-9 20:10

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号