Комментарии 31
А чем эта «репутационная технология» отличается от сигнатур?
Сигнатур ный метод — это когда программа, просматривая файл, обращается к словарю с известными вирусами
При работе репутационной технологии система не сканирует файл по словарю сигнатур, а обращается к базе данных файлов.
Если объяснять на том же примере — нам не нужен список признаков мошенничества, по которому мы будем проверять сомнительную контору. У нас просто есть база данных с репутацией компаний, мы быстренько смотрим туда и делаем выводы
При работе репутационной технологии система не сканирует файл по словарю сигнатур, а обращается к базе данных файлов.
Если объяснять на том же примере — нам не нужен список признаков мошенничества, по которому мы будем проверять сомнительную контору. У нас просто есть база данных с репутацией компаний, мы быстренько смотрим туда и делаем выводы
По вашим описаниям просто размер сигнатуры равен размеру файла.
И примеры у вас как-то не очень подходящие.
И примеры у вас как-то не очень подходящие.
Размер не имеет значения. Имеет значение то, что файл не надо сканировать, а надо, грубо говоря, сопоставить его хеш с базой данных. Тесты показали, что это дает очень существенную экономию ресурсов.
Вы так пишите, как будто хэш вычислять не надо.
Для сигнатур брали куски файлов, а у вас — хэш всего файла.
Вот я и интересуюсь что нового? кроме разного объёма данных.
Для сигнатур брали куски файлов, а у вас — хэш всего файла.
Вот я и интересуюсь что нового? кроме разного объёма данных.
Используемая технология — нечто вроде хэш-функции, но не совсем. Еще разница в том, что база сигнатур стоит на вашей локальной системе и пользует ваши ресурсы, а база файлов — на нашей системе в облаке.
Т.е. новизна в том что «вирусная база» не локально а в облаке?
Так бы сразу и написали бы. Это же вполне достойный шаг по эволюционной лесенке.
Только как быть безинтернетным инсталяциям?
Так бы сразу и написали бы. Это же вполне достойный шаг по эволюционной лесенке.
Только как быть безинтернетным инсталяциям?
Сигнатурная база в облаке — это уже не новость. У нас есть облачные антивирусы, которые примерно так работают. Но когда в облаке именно база репутации файлов — это выводит степень производительности и надежности на новый уровень
Для безинтернетных инсталляций остаются поведенческий анализ, эвристика и сигнатуры. Они же используются, если репутация файла неоднозначна
Для безинтернетных инсталляций остаются поведенческий анализ, эвристика и сигнатуры. Они же используются, если репутация файла неоднозначна
Миллоны не могут ошибаться.
Но каковы механизмы понижения репутации, что нужно сделать с файлом, чтобы он попал в блек-лист, как проверяется что данный файл с плохой репутацией, ведь ориентироваться на имя — бесполезно, нужен хеш, а поиск по такому хранилищу хешей — нетривиальная задача.
Одним словом — больше технических подробностей, думаю я не один горю желанием получить несколько советов от тех, кто манипулирует такими объемами.
Но каковы механизмы понижения репутации, что нужно сделать с файлом, чтобы он попал в блек-лист, как проверяется что данный файл с плохой репутацией, ведь ориентироваться на имя — бесполезно, нужен хеш, а поиск по такому хранилищу хешей — нетривиальная задача.
Одним словом — больше технических подробностей, думаю я не один горю желанием получить несколько советов от тех, кто манипулирует такими объемами.
Ну точно не по имени файла! Все карты раскрывать пока не стану, но там помимо хеша еще есть зацепки.
Как вы верно заметили, это нетривиальная задача! Но у нас есть облачная инфраструктура, масштабы которой позволяют реализовать все эти процессы. Информация о файлах собирается разная — как долго он существует, где находится и т.п., анализируются связи между пользователями, файлами и веб-сайтами со всей историей.
Как вы верно заметили, это нетривиальная задача! Но у нас есть облачная инфраструктура, масштабы которой позволяют реализовать все эти процессы. Информация о файлах собирается разная — как долго он существует, где находится и т.п., анализируются связи между пользователями, файлами и веб-сайтами со всей историей.
НЛО прилетело и опубликовало эту надпись здесь
Выглядит, конечно круто. Но как система отличает файлы? По хэшу?
Там есть свои хитрости, это наше ноу-хау. Похожая технология уже много лет работает в наших системах архивирования и резервного копирования. Она является частью процесса дедупликации — чтобы не хранить лишнее, система идентифицирует одинаковые файлы. Эту технологию мы совершенствуем уже много лет, конкуренты пока не могут угнаться, посему исходный код на Хабре нам выкладывать не велено…
KSN?
НЛО прилетело и опубликовало эту надпись здесь
В серии тестов PassMark Software, SEP12 (бета-версия) провел сканирование быстрее остальных тестируемых решений — в 2 раза быстрее среднего показателя. Кроме того, затратил на 57% меньше оперативной памяти, чем все участники теста в среднем.
Надеемся, что в после бета-тестирования и выхода официального релиза мы побьем собственный рекорд
Присоединяйтесь к тестированию!
Надеемся, что в после бета-тестирования и выхода официального релиза мы побьем собственный рекорд
Присоединяйтесь к тестированию!
Простите за оффто, человек на фото — Сергей А. Н.?
Не знаю имени актера, но это кадр из моего любимого ролика Bank of Nikolai www.youtube.com/watch?v=0o8XMlL8rqY
вирус, основанный на поиске коллизий хеша у файлов с высокой степенью доверительности?
(вирусописатель на своем компе ищет редкоизменяемые файлы, вычисляет для всех них хеш, после этого проверяет хеш после добавления своего вируса к файлу, смотрит совпадения до-после, выбирает совпадения и использует их)
В целом метод хорош для экономии времени, но только как дополнение к другому методу.
П.С. А вообще вы молодцы, что думаете нестандартными способами!
но я не мог не предложить вариант контратаки
(вирусописатель на своем компе ищет редкоизменяемые файлы, вычисляет для всех них хеш, после этого проверяет хеш после добавления своего вируса к файлу, смотрит совпадения до-после, выбирает совпадения и использует их)
В целом метод хорош для экономии времени, но только как дополнение к другому методу.
П.С. А вообще вы молодцы, что думаете нестандартными способами!
но я не мог не предложить вариант контратаки
В случае, описанном вами, у файла всё равно не будет хорошей кармы. Если он где-то начнет пакостить — его поймают и заминусуют.
Думаю, мы правильно делаем, что технологию идентификации до конца не разглашаем, меньше будет у людей желания тратить время на поиск способов обхода.
Вы совершенно правы, это используется исключительно как дополнение. В SEP12 работает гибридная технология с элементами сигнатурного, поведенческого и репутационного анализа. Практика показывает что на типовой системе 70% файлов можно не сканировать, а просто прогнать по базе Инсайта. И это уже очень большой плюс. Тем не менее около 30% файлов все равно приходится проверять более детально.
П.С. И Вам спасибо! Присоединяйтесь к тестированию!
Думаю, мы правильно делаем, что технологию идентификации до конца не разглашаем, меньше будет у людей желания тратить время на поиск способов обхода.
Вы совершенно правы, это используется исключительно как дополнение. В SEP12 работает гибридная технология с элементами сигнатурного, поведенческого и репутационного анализа. Практика показывает что на типовой системе 70% файлов можно не сканировать, а просто прогнать по базе Инсайта. И это уже очень большой плюс. Тем не менее около 30% файлов все равно приходится проверять более детально.
П.С. И Вам спасибо! Присоединяйтесь к тестированию!
И всё равно на 0-day семплах продукты, которые вы представляете, работают плохо. Как костыли черносписочным решениям не прикручивай, они так костылями и останутся.
Вы ссылаетесь на тест совсем другого продукта, в данном топике мы другие вещи обсуждаем
Кстати что за лаборатория Malware Research Group? Про себя пишут, что «was founded in January 2009 by Sveta Miladinov»…
Кстати что за лаборатория Malware Research Group? Про себя пишут, что «was founded in January 2009 by Sveta Miladinov»…
То есть, в продуктах линейки Norton нет репутационных технологий? Быть такого не может, лично видел соответствующие попапы на Norton AV 2011 Netbook Edition. Репутационные технологии действительно улучшают показатели детектирования и утилизации ресурсов. Только говорить обо всём этом в столь розовых тонах не стоит, поскольку кардинально решить проблему бизнеса на зловредном ПО не в состоянии. Blacklisting is dead.
MRG- одна из немногих организаций, у которой хотя бы есть публичный динамический тест на 0-day (дедлайн для семплов в 24 часа). AV-Test полностью закрыт потсемплам и методологии, AV-Comparatives Whole Product Test не декларирует 24-часовой дедлайн для семплов, VB100 вообще не имеет динамического теста (хотя Джон намеревался его делать еще год назад).
MRG- одна из немногих организаций, у которой хотя бы есть публичный динамический тест на 0-day (дедлайн для семплов в 24 часа). AV-Test полностью закрыт потсемплам и методологии, AV-Comparatives Whole Product Test не декларирует 24-часовой дедлайн для семплов, VB100 вообще не имеет динамического теста (хотя Джон намеревался его делать еще год назад).
Всё верно, но это не на 100% идентичные технологии. Norton — продукты для домашних пользователей, SEP — корпоративный продукт, технологии похожи, но не одинаковы. SEP12 — новый продукт с усовершенствованными технологиями.
Во всех тестах правильно указывать версию тестируемого продукта. Даже если разные версии используют одни и те же сигнатуры, то остальные технологии (репутационный анализ, эвристика, поведенческий анализ) могут работать по-разному
Во всех тестах правильно указывать версию тестируемого продукта. Даже если разные версии используют одни и те же сигнатуры, то остальные технологии (репутационный анализ, эвристика, поведенческий анализ) могут работать по-разному
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Сказ о расследовании дела компании X и вреде антивирусного сканирования