微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 请帮忙解释微点的“主动防御”原理  

 13  1/2  1  2  > 
作者:
标题: 请帮忙解释微点的“主动防御”原理
Grid
新手上路





积分 3
发帖 3
注册 2009-8-16
#1  请帮忙解释微点的“主动防御”原理

我对信息安全比较感兴趣,刚开始试用微点,被“主动防御”这个字眼所吸引,但对“主动防御”还是理解的不清楚。

在百度百科里搜“主动防御”,介绍微点的主动防御有以下体现:
1) 创立动态仿真反病毒专家系统;
2) 自动准确判定新病毒;
3) 程序行为监控并举;
4) 自动提取特征值实现多重防护;


对于新病毒(行为会与以往的不同),微点是通过何种措施发现的?是通过专家系统,罗列出大量的行为序列,来进行匹配的?
还是通过其他智能分析手段达到的?又是如何对未知行为做智能分析的?

请专家高手不吝赐教,谢谢

※ ※ ※ 本文纯属【Grid】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-8-16 20:41
查看资料  发送邮件  发短消息   编辑帖子
微点专家
版主

Weizi


积分 11554
发帖 11458
注册 2006-8-27
来自 贵阳
#2  

http://hi.baidu.com/lngu/blog/item/d3251cb59972b57a8ad4b26f.html

※ ※ ※ 本文纯属【微点专家】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

做个性的自己
2009-8-16 20:55
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
Grid
新手上路





积分 3
发帖 3
注册 2009-8-16
#3  

谢谢斑竹。看了介绍,学习了。


仍然有几个疑问:
“主动防御产品的核心标准,即必须以具备动态仿真反病毒专家系统为先决条件,以自动准确判定未知病毒为基本诉求,以程序行为监控并举为机制保障。”

1、动态仿真反病毒专家系统,里面应该是一个树状的行为序列集合吧?以前做过一点专家系统的东西,不知和您这个是否原理一样。
2、自动准确判定未知病毒,并提取其特征值,更新至本地特征值库(这个特征值库和专家系统的关系?)
3、如何做到自动判定未知病毒,您能帮忙解释一下原理么?

※ ※ ※ 本文纯属【Grid】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-8-16 21:40
查看资料  发送邮件  发短消息   编辑帖子
龙啸天下
禁止访问





积分 218
发帖 218
注册 2008-9-23
#4  

你直接打电话问刘旭吧! 微点老总~

微点公司承担的国家863“基于程序行为自主分析判断的实时防护技术”

http://blog.sina.com.cn/s/blog_5db224580100c6v0.html

【国家863计划】百科 【火炬计划】

http://baike.baidu.com/view/167543.htm

【火炬计划】百科

http://baike.baidu.com/view/145637.htm

这里要说明的是国家出资搞建设

微点承担的是国家863“基于程序行为自主分析判断的实时防护技术”

国家要拨款的。

微点至少获得国家1000万的研究经费!【不知道是不是更多?】

如果这项技术不成熟,国家怎么敢认可刘旭这个院士呢?所以,

除了微点的主动防御技术,其它软件的主动防御大家最好别用,那是在花自己的钱,

当别人的小白鼠。

※ ※ ※ 本文纯属【龙啸天下】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-8-17 01:16
查看资料  发送邮件  发短消息   编辑帖子
jaber
版主

使用与技巧区版主


积分 2861
发帖 2835
注册 2006-6-6
#5  

这是我个人的一些理解,也不知道对不对,大家一起讨论吧!

1、那个专家系统应该是在反病毒工程师日常分析病毒的方法上总结出来的一个检测系统,一个软件就代替了分析师,至于如何实现的那就不知道了。

2、微点主动防御软件在检测出未知病毒木马后,是会对这个文件提取一个未知特征码,如果再次遇到,未知特征就可以直接报出了。

3、借用官方的一点介绍:

通过对病毒行为规律分析、归纳、总结,并结合反病毒专家判定病毒的经验,提炼成病毒识别规则知识库,模拟专家发现新病毒的机理,通过分布在操作系统的众多探针,动态监视所运行程序调用各种应用程序编程接口(API)的动作,将程序的一系列动作通过逻辑关系分析组成有意义的行为,再综合应用病毒识别规则知识,实现自动判定病毒。

个人感觉就是对程序的每一个动作进行监控,然后对这些动作进行分析,符合判定的那么就可以报警提示用户了。

※ ※ ※ 本文纯属【jaber】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

XP2(原版未打补丁)
单独微点预升级

2009-8-17 07:59
查看资料  发送邮件  发短消息   编辑帖子
littlefritz
版主

微点帮帮团团长


积分 3505
发帖 3502
注册 2009-5-23
来自 微点帮帮团
#6  

我觉得用程序去检测程序显然是可以实现的。专家系统是怎么出来的呢?我个人推断,病毒分析是根据时间的发展看病毒到底有什么动作,专家系统就是对所有正在运行的程序作评估,达到特定值,就是病毒,达不到,就不是。所以有的我们常用的程序也会有后门之类,微点是通过白名单来改善正常的应用体验。并且,微点自动提取那些被认为是未知病毒的特征码,使未来在这种病毒运行之前就可防御。企业版还能通过局域网,向其他微点报告这些特征码,做到即使不升级也能发现,甚至预知病毒。如果关于微点对病毒的具体规则,这我也不知道,知道了也说不知道。

※ ※ ※ 本文纯属【littlefritz】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

2009-8-17 08:37
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
jackybaby
中级用户





积分 330
发帖 321
注册 2006-12-31
来自 sz
#7  

其实不论已知还是未知病毒木马,做的事差不多一样的,这就是当初熊猫烧香横行时,1000种特征码也防不住,而微点一个行为特征就搞定它。 病毒木马的行为注定和正常程序是不同的,为了伪装成正常程序,要有一系列动作,比如注入,挂钩子,读取别的程序内存,修改内核,私自调用浏览器等,这些都属高危动作,这一系列动作组合起来,他是什么东东就很清楚了。

※ ※ ※ 本文纯属【jackybaby】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

微点+组策略,不知毒滋味。
2009-8-17 10:56
查看资料  发送邮件  发短消息   编辑帖子
chinadyj
新手上路




积分 33
发帖 31
注册 2009-8-16
#8  

最不明白的就是動態仿真,究竟怎樣動態仿真???

※ ※ ※ 本文纯属【chinadyj】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-8-17 15:21
查看资料  发送邮件  发短消息  QQ   编辑帖子
littlefritz
版主

微点帮帮团团长


积分 3505
发帖 3502
注册 2009-5-23
来自 微点帮帮团
#9  



  Quote:
Originally posted by chinadyj at 2009-8-17 15:21:
最不明白的就是動態仿真,究竟怎樣動態仿真???

仿真就是模拟计算机反病毒工程师进行分析病毒的过程。分析师自己没有特征码,他们是看,这个病毒做了什么,怎么做的,有什么危害。然后来判断是不是病毒。最终总结出特征码,给杀毒软件提供更新版本,之后用户升级获得。那么微点软件模仿了这个过程,所以用户不用升级,就可防御来自明天的病毒。

※ ※ ※ 本文纯属【littlefritz】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

2009-8-17 17:48
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
lsj301
银牌会员




积分 1388
发帖 1382
注册 2009-3-16
来自 甘肃兰州
#10  

学习了!

※ ※ ※ 本文纯属【lsj301】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

我们一直在默默支持微点!
2009-8-17 20:39
查看资料  发送邮件  发短消息  QQ   编辑帖子
 13  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号