Волшебная формула или как увидеть угрозу

[eyeless_watcher]

Ну то есть зловреду достаточно не допустить отсылки образца в облако и все — проанализировать его не получится?
Что делать на машинах, не подключенных к сети вообще, но в которые постоянно пихают какие попало флешки?

[Spewow]

Достаточно выпускать новые и новые версии вируса, что-бы продолжать заражать пользователей.
Например вал шифровальщиков не уменьшается, несмотря на волшебные формулы.
forum.kaspersky.com/lofiversion/index.php/f18.html

[pansa]

А шифровальщики что, им достаточно open и write :) Волшебные формулы пасуют и таки придется засучить рукова и анализировать, что конкретно процесс делает с данными. И то, что процесс этот, например, iexplorer.exe еще ой-ой-ой не говорит ни о чем, такая беда. Так что облако хорошо, но не все так просто.

[z-oleg]

То, что зловред не попадет в «облако», несомненно, плохо – так как системы ЛК не смогут проанализировать его, сформировать репутацию и сделать сигнатуры для детектирования. Но и особо страшного ничего не будет, так как кроме SR рейтинга в продукте есть целый ряд технологий, основанных на анализе поведения, причем как до запуска приложения (по результатам его эмуляции), так и после – по поведению в реальной системе. Эти технологии как раз и рассчитаны на указанную ситуацию, когда с одной стороны «облако» по какой-то причине недоступно, а с другой – есть реальные угрозы заражения. А уход в «облака» в случае с рейтингом опасности объясняется тем, что как показала практика вычисления различных «рейтингов угроз», весьма значительное количество легитимных программ написаны по принципу «после меня хоть потоп», и рейтинг их поведения зачастую выше рейтинга реального зловреда. Например, приложение сразу после запуска прописывает себя в автозапуск (причем иной раз весьма нестандартным образом), копирует какие-то файлы в системные папки, активно взаимодействует с запущенными процессами, пытается читать/писать диск напрямую, пишет в системные ветки реестра и обменивается с Интернет … естественно, суммарный рейтинг приложения получается очень высоким и продукт начинает на него ругаться. Можно конечно пытаться внести исключения для каждого такого приложения (что и делалось много раз), но это сравнительно медленно и в итоге исключений получается куда больше, чем самих правил. Плюс не всегда возможно сделать исключение без ущерба для детектирования зловредов. В случае «облака» корректировка производится мгновенно, уточнение вердикта может производиться многократно.

[ystr]

Если антивирус будет отсылать куда-то в волшебное облако все действия всех программ на моём компьютере то лично моя паранойя возопит и такой антивирус будет причислен к шпионским программам, в грубой форме вычищен с компьютера и заменён на другой, более дружелюбный к моей приватности.

Поймите, что вы выпускаете антивирус прежде всего для специалистов по безопасности — именно такие специалисты в дальнейшем рекомендуют тот или иной антивирус «простым» пользователям. А вот у таких специалистов по безопасности есть одна профессиональная болезнь — паранойя, тщательно тренируемая и натасканная подавать сигнал в правильном месте. Лично я отказываюсь рекомендовать пользователям антивирус с заранее заложенной возможностью трекинга всех действий всех программ.

[gleb_l]

Подобным алгоритмом можно отслеживать девиантов в реальном мире — попил пива из горла на улице — +10, потыкал в домофон — еще +10, пробрался внутрь и пописал — +50. Типичные паттерны поведения всякой шушары можно вычленить из логов видеонаблюдения. Если порог превышен — сопоставлять с треками подключения мобильников к сотам, делать и запоминать ассоциацию — паттерн-номер телефона. Затем статистикой в конце месяца брать лидеров по очкам, автоматически генерировать ориентировки, ловить на типичных маршрутах и деактивировать штрафовать за нарушение общественного порядка — можно даже роботами-полицейскими.

[gleb_l]

А если серьезно — байесовские сети доверия вы, часом, не используете? По идее, они должны хорошо моделировать ситуации с последовательностями событий разной степени подозрительности