微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 波莉代表普通用户炮轰现行安全软件,展望未来  

作者:
标题: 波莉代表普通用户炮轰现行安全软件,展望未来
polly5771
新手上路





积分 15
发帖 15
注册 2007-10-20
#1  波莉代表普通用户炮轰现行安全软件,展望未来

今天的安全软件,主要有杀软,防火墙,HIPS及辅助工具组成。它们在提高计算机安全水平上,起到了显著的作用。但对于我们这些专门玩安软的人来说,目前的安全软件尚难令人满意。其缺点如下:

1.        传统杀软识别率不足。基于特征码的传统杀软的弱点已经显现。到处流行的加壳和加花指令等简便易行的免杀手段日益普及,威胁到了传统杀软的识别能力。即使加入了启发式查杀的主动防御技术,有时仍难以识别一些变种,还会引起一定的误报误杀。
2.        包括HIPS在内的行为分析技术在对付新病毒方面有得天独厚的优势,对付各种免杀病毒效果较好。但基于单步行为分析的HIPS对用户的要求较为苛刻,普通用户难以掌握,还存在严重的误警。(咱们卡饭上的规则常常说菜鸟也能用,减少询问80%,即使这样也远远不够)类似微点的多步行为分析大大降低报警频率,但依然存在误报问题(特别在安装和卸载时)。究其原因,在于安装文件和病毒的行为极其类似。这些妨碍了行为分析软件的普及。
注意:不要以我们的水平衡量大多数人。我们屋好几个人的AVG被微点干掉了,HIPS根本不用说
3.        防火墙和杀毒模块相对独立,智能程度不高,有时用户不易判断。(比如,某某程序要访问某某IP的某端口,把人搞得一头雾水)
4.        一般用户最严重的问题是,当前HIPS和防火墙需要用户参与太多,容易形成“狼来了”效应,很多时候,只能给人以心理安慰而已。我了解的家人和朋友,对待防火墙和主动防御的唯一方法就是狂点允许。这个事实我们无法改变。

在普通用户眼里:安全软件就像一位保安,我们是老板。我花钱雇了你,你就老老实实地干活,坏人来了就打,好人来了别拦。拦不住坏人就不称职,收拾铺盖给我走人!误打好人影响了正常生意,我不狂暴才怪。每分钟请示一次让老板来判断该不该打?我先打你一顿算了。

接下来,说说我心目中的安软,一位称职的保安
未来的安软,以行为分析为核心,才能打破今天杀软追着病毒跑的窘境。在此基础上,扬长避短,加入外围模块,成为一个完整的安全系统,集监控,扫描,修复,网络控制于一体。

1.        白名单库,增加效率和减少误报的关键。特别是现在恶意软件数量已超过正常软件数量,在杀软中加入大量白名单是大势所趋。
2.        为了弥补行为分析无法消灭非活动病毒和残体的问题,并作为提高安全系数的有效手段,特征码+启发式构成行为分析前的一道防线,可有效消灭已知病毒。启发式查出的可疑对象无需交由用户判断,而应作为行为分析的一个参考项,提高该程序的威胁级别。
3.        对各种程序行为的分析应是安软的中心。其中应包括防火墙的网络行为分析。防火墙应与其他模块联动,自动允许信任程序,自动切断危险程序的网络连接。多步行为分析应建立在沙盘或影子系统的基础上,便于回滚。
经过该步分析,明显威胁直接报毒并回滚,杀毒,提取本地特征码,并发送到数据中心。
4.        仍有疑问的,提取其信息发送到安全社区,这时必须提示用户,并将其他人的判断提供给用户作为参考。

个人认为,这样可以同时降低漏报,误报以及用户参与的次数。将本地分析和社区统计信息结合,将智能分析和人脑分析结合,并降低了用户判断的难度。

我们同学看了之后说:这不就是微点+红伞+360么?并不是。我们需要的是一个整体,一套完整的解决方案,一个悄悄工作的员工。只有这样,安软才能真正的达到智能化,行为分析技术才能走进千家万户。

后记:我昨天先把此文发到卡饭,与大家讨论了相关问题。目前,微点在行为分析的道路上走得最远,比起传统HIPS,易用性有很大提高。希望微点继续努力,在技术上走在国际前列。

附件 1: 1.jpg (2008-2-28 19:57, 21.81 K,下载次数: 51)


※ ※ ※ 本文纯属【polly5771】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-2-28 19:57
查看资料  发短消息   编辑帖子
求其
新手上路





积分 5
发帖 5
注册 2008-1-28
#2  

高难度

※ ※ ※ 本文纯属【求其】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-2-28 22:30
查看资料  发送邮件  发短消息   编辑帖子
小小刀
高级用户

我要换头像!


积分 889
发帖 884
注册 2007-6-6
#3  

我看好微点的明天

※ ※ ※ 本文纯属【小小刀】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

我什么时候才能自定义头像。。。。。。
2008-2-29 11:04
查看资料  发短消息   编辑帖子
qihui
注册用户





积分 132
发帖 132
注册 2007-2-1
#4  

卡饭里这篇帖子很热哦,这里怎么这么冷哩~~~

※ ※ ※ 本文纯属【qihui】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-9 18:38
查看资料  发短消息   编辑帖子
everack
新手上路





积分 22
发帖 22
注册 2007-12-13
#5  

想法不错,不知道多久能做到这样的效果?

※ ※ ※ 本文纯属【everack】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-14 14:46
查看资料  发送邮件  发短消息   编辑帖子
LeeH2010
注册用户





积分 61
发帖 59
注册 2007-3-9
#6  

我相信未来一定能做到,要是微点早点上市也许能更快做到!

※ ※ ※ 本文纯属【LeeH2010】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-14 21:19
查看资料  发送邮件  发短消息   编辑帖子
qq2008444
银牌会员

职业潜水艇


积分 5373
发帖 5291
注册 2007-7-7
来自 兰·基亚斯 兰古拉王国
#7  

基于数字签名和信任程序的白名单。。。似乎容易被伪造

※ ※ ※ 本文纯属【qq2008444】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

迅雷不及掩耳盗铃,以不变应万变不离其宗,成事不足挂齿,此物最相思风雨中,一屋不扫何以扫天下无敌,东边日出西边雨一直下,举头望明月几时有,呆若木鸡毛当令箭,杀鸡焉用牛刀小试,锋芒毕露春光,围魏救赵宝奎,Very good bye,八格牙鲁冰花,一泻千里共婵娟……
2008-3-17 16:31
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号