微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 一个延伸规则库的想法  

作者:
标题: 一个延伸规则库的想法
dsl5
高级用户




积分 578
发帖 520
注册 2007-6-16
来自 广州
#1  一个延伸规则库的想法

主动防御是以规律性进行防御,但是我们不要忘了规律性是在随机性的基础上总结出来的,规则是死的,人是活的,主动防御不是最终的解决办法,随着斗法升级,依靠规则库的主动防御难免陷入和特征库一样的尴尬境地。。。。

本帖主要是想听听大家的建议,如何能更加有效地走在木马前头?

其实有个想法不过不知道是否可行,假设一个恶意程序有6个动作:A、B、C、D、E、F,这6个动作微点都可以有效跟踪记录,根据其中的B、C、D微点将其拦截删除了,那么B、C、D就是一串规则,作者如果探到这条规则,那么他就会修改,去掉B或C或D,又或者使用其他手法打乱或绕过,这个时候绕过主动防御就变为可行!

但是如果加入规则库自动延伸功能呢?这个其实是特征库的自动提取给的启示,不过假如规则库自动延伸变为现实将无比强大!A、B、C、D、E、F根据其中的B、C、D拦截删除后,提取A、B、C或C、D、E或B、C、F或A、E、F等等,甚至如果想精细防止误报可以全提取A、B、C、D、E、F作为一条新的延伸规则,那么就算作者探到原来的规则,他想绕过也就难了很多。当然这样就不排除出现一些用户可以拦截一些用户不能的情况。

下面的朋友欢迎继续。。。。

※ ※ ※ 本文纯属【dsl5】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

该点饭点了叉烧饭
2008-3-1 15:13
查看资料  发送邮件  发短消息   编辑帖子
hellen
中级用户





积分 262
发帖 262
注册 2008-2-18
#2  

有道理,不过我不太懂微点的规则原理!

※ ※ ※ 本文纯属【hellen】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-1 15:36
查看资料  发送邮件  发短消息   编辑帖子
046569
版主

第五城市市长


积分 190
发帖 196
注册 2007-8-13
#3  

楼主的想法不错。不过恐怕会出现大量误报,这就是主动防御的尴尬之处。
假设一个木马通过如下方式传播,释放驱动文件(a),加载驱动(b),调用IE下载木马(c),运行木马(d)四个步骤,微点根据这四个步骤判断,假设牧马者发现了这一规则,于是修改C动作。比如调用TFTP下载。这时按照楼主的想法进行规则拓展,行为判断规则就成了a、b和d(这里D为运行一个文件)。很多安全工具都有这样的动作,于是误报出现。
据我猜测,微点的报警还和父子进程有关,这个需要进一步的测试才能确定。
看了这么久论坛的帖子,终于有人愿意动脑子质疑了,很好。

※ ※ ※ 本文纯属【046569】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-5 23:28
查看资料  访问主页  发短消息   编辑帖子
kihong
新手上路




积分 13
发帖 13
注册 2008-1-10
#4  

其实微点应该是将重点锁在病毒发作上,这样不管病毒作者怎样伪装,除非他不让病毒发作,否则微点还是可以拦截到的。

※ ※ ※ 本文纯属【kihong】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-9 17:12
查看资料  发送邮件  发短消息   编辑帖子
046569
版主

第五城市市长


积分 190
发帖 196
注册 2007-8-13
#5  



  Quote:
Originally posted by kihong at 2008-3-9 17:12:
其实微点应该是将重点锁在病毒发作上,这样不管病毒作者怎样伪装,除非他不让病毒发作,否则微点还是可以拦截到的。

微点只是一个软件,它不具有像人一样的高智商。楼上的想法虽好,但是根本无法实现。我们现在只能尽可能的增加它的识别率,不过这随之而来的是安装包开始变得臃肿。

※ ※ ※ 本文纯属【046569】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-10 19:21
查看资料  访问主页  发短消息   编辑帖子
tomjohnjoan
注册用户





积分 141
发帖 141
注册 2007-1-8
#6  

在这个网络世界,安全软件要面对的敌人实在太多了!

※ ※ ※ 本文纯属【tomjohnjoan】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-11 09:10
查看资料  发送邮件  发短消息   编辑帖子
mysh
新手上路





积分 13
发帖 13
注册 2007-12-17
#7  



  Quote:
Originally posted by 046569 at 2008-3-10 19:21:

微点只是一个软件,它不具有像人一样的高智商。楼上的想法虽好,但是根本无法实现。我们现在只能尽可能的增加它的识别率,不过这随之而来的是安装包开始变得臃肿。

至少几年内不会像特征值识别软件一样臃肿。

※ ※ ※ 本文纯属【mysh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-12 13:14
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号