AI摘要:本文探讨了企业安全解决方案的主流方向,包括机器学习模型+EDR、Crowdstrike、DeepInstinct、Checkpoint等新兴厂商方案,以及Bitdefender、奇虎360、Kaspersky、Dr.web、Comodo等传统厂商方案。同时,对Bitdefender和Kaspersky的主防技术进行了详细分析。

水一篇(逃

目前企业安全解决方案的主流方向(个人观点,不喜勿喷:( )

  • 1.以SentinelOne,Elastic厂商为代表的机学模型+EDR的组合拳方向
  • 2.既然都提到NGAV,不得不说一下最近比较火的Crowdstrike,以有ATT&CK详细技战法报毒EDR为代表的方向(可以归入1的方向)
  • 3.以存粹的机器学习模型的DeepInstinct,正是因为存粹导致误报较高需要云端降低误报
  • 4.以checkpoint为代表的OEM别家引擎(kaspersky,sophos)+自家机学+沙盒分析的方向

以上都是新兴的安全厂商代表,接下来是目前我认为的传统安全厂商代表:

  • 5.以Bitdefender为代表的基于传统特征库+启发式分析+主防机学打分制+EDR的方向
  • 6.以奇虎360等国内厂商为代表的依赖自动上传未知文件+启发+手动HIPS(个人感觉很手动)+EDR的方向
  • 7.俄罗斯著名厂商kaspersky启发(不明显,入库的也报HEUR,明显混淆概念)+云+主防+极致的回滚策略的方向+EDR
  • 8.以超级传统完全依赖特征码+脱壳的老式重武器的Dr.web(现在甚至爆砍脱壳)的方向(汗)
  • 9.以comodo为代表的自动无脑入沙+废柴EDR(手动狗头)的方向

PS:(传统安全解决方案的两大主防)

  • Bitdefender
    Bitdefender的主防(ATC&ATD较为特殊,在传统安全厂商中较为特殊,也是我认为传统安全厂商较为特殊的存在,)
    一般传统防毒都是依据"规则触发",即使加入了云AI,也只是"更加复杂的规则触发",也就是恶意病毒在实施某一个关键行为时会被防毒阻止。
    这么做的坏处就是,你得先有"规则",才能谈得上防护。所以对于0day攻击、变种极快的勒索攻击、木马攻击的应对力是不足的,即使有复杂的行为防护、也终究难逃被绕过的命运,就算病毒码跑到你系统里溜了一圈、只要不触发条件就没事。

而Bitdefender的ATC主防是"评分式"防护,它不去判断病毒造成的结果,而是去评价它的行为,这个程序改了我的注册表?我不知道目的是什么,但先调降它的安全评级、访问我的系统文件?再调降,直到程序风险阀值超过基准后直接被ATC主防击杀。
ATC对未知病毒的防御能力非常强悍、在勒索病毒防御测试中,只有BD在病毒还未开始加密前就被拦截,其他防毒都是在加密过程中触发了规则而被阻止。
当然这个ATC主防也不是无敌的,首先它的算法以及模型非常复杂,你怎么知道这个行为该不该扣分、扣多少分,扣几分才击杀?
一般规则式主防如同过关、每一道关卡都得留纪录过门禁,一旦出现问题、因为知道这东西之前做过什么、所以可以回滚资料

ATC主防的做法是直接直接派个人举枪跟着你(
触发阀值就直接枪杀,但因为没有纪录、所以资料无法回滚,这也是ATC主防的一个致命弱点,这也是Bitdefender勒索缓解的回滚与ATD的"枪杀式"清除冲突到现在为止都无法解决的根本原因,由于ATD评分在bitdefender的权重很高,经常导致ATD抢人头的情况发生,在Magniber中经常出现执行后,ATD枪杀导致勒索缓解失效导致文件丢失,而如果关闭ATD,勒索缓解发挥作用后,文件反而没丢失的尴尬场面
这样就有个坏处,如果不能在病毒真正造成破坏之前就,将它击毙,那么最终还是会造成损失。

  • Kaspersky
    了解的稍微多一点,因为我自己平常就在用
    首先根据官方的介绍

    内置 BSS 模块可判断程序是否恶意。该模块
将每个程序的实际行为与典型恶意软件行为模型进行比较。该
模块实时分析程序行为并做出判断。卡巴斯基实验室的安全
解决方案还提供所谓的基于 BSS 的启发式检测。
程序的行为与恶意软件相似,但不一定是恶意软件。除了
系统监视器还可以识别潜在的恶意行为。

    Kaspersky的PDM我个人认为更像是一种模型对比的技术,在检测到恶意行为时,可能会将ATT&CK行为模型进行对比,判断是否存在恶意行为。并且它会与云端威胁情报(卡巴斯基安全网络)进行联动。
    个人认为PDM与云联动的大致流程如下:
    个人执行程序触发本地PDM -----------> 自动上传到opentip(卡巴斯基的沙箱)
    -----> 鉴定出恶意行为 -----> 传回结果至卡巴斯基安全网络 ----> 之后的用户可能能够触发VHO警报(也有可能直接转UDS) ----> 经过一段时间转为UDS警报---->最终入库
    -----> 未鉴定出恶意行为 ---> 传回结果至卡巴斯基安全网络 -----> 可能会进一步分析(如人工分析) ----> 经过一段时间转为加白---->消除误报 (对于被PDM误报的用户可以手动上传opentip,如未检出恶意行为,将会自动加入白名单)

  • PS:
    1.HEUR(Heuristic module)启发式检测模块,卡巴斯基特征库中包含大量启发式特征,自2007年起,卡巴开发了涵盖这些启发式检测技术的独立检测模块,所有由该模块检测的对象报法中添加HEUR前缀。但卡巴斯基经常混淆概念,某些已入库的程序,依旧添加为HEUR.类型.家族.xxxx;一般启发会报Generic
    2.PDM(Proactive Defense Module)主动防御模块,即卡巴的主防(系统监控),由主防检测到的对象报法中添加PDM前缀。
    3.VHO(VisHash Offline)机器学习检测,VisHash特征,基于局部敏感哈希技术的机器学习检测,VisHash就是一种基于LSH的技术,一个VisHash可以通杀一批类似的恶意软件,具备一定的抗混淆能力。
    4.UDS(Urgent Detection System)紧急检测系统,卡巴的云检出报法,即常说的“云拉黑”。
    5.卡巴斯基安全网络(KSN)是卡巴斯基的一个基于云的知识库。它包含应用程序和网站的信誉信息
    根据介绍:

    卡巴斯基安全网络如何工作:
1.面临新威胁时,用户通过 KSN 将威胁信息自动发送至我们的病毒实验室
2.病毒实验室专家根据此数据,为每个文件、网站和应用程序指定信誉状态,信誉状态将返回至 KSN。
3.面临此威胁并加入 KSN 的下一位用户将立即获得保护。
参与KSN 的人数越多,对所有用户的云保护就越强大。

Kaspersky的系统监控我认为也是一个比较特殊的点,它能够根据软件的各个指标推放到不同的信任组,分为受信任,低限制,高限制,不信任4个限制组别,Kaspersky会对这4个组别设置不同的策略,对于进阶玩家,你也可以自定义规则对不同组别加以限制,并且还有一个启动组可以限制启动
附图:
1.png
2.png
3.png
4.png
5.png
根据Klava下一个文件里有着卡巴斯基病毒分类,威胁等级:

[mw_shl_code=css,true][Danger]

HIGH            =  0
MEDIUM          =  1
LOW             =  2
INFORMATIONAL   =  3

[Verdicts]

Undefined_H         =  0, HIGH
Viruses_and_Worms   =  1, HIGH
Trojan_programs     =  2, HIGH
Malicious_tools     =  3, MEDIUM
AdWare              =  4, MEDIUM
PornWare            =  5, MEDIUM
RiskWare            =  6, LOW
Undefined_M         =  7, MEDIUM
X-Files             = 20, INFORMATIONAL
SoftWare            = 21, INFORMATIONAL
UNDETECT            = 30

[Behaviour]

Trojan-ArcBomb          = 100, Trojan_programs
Backdoor                = 101, Trojan_programs
Trojan                  = 102, Trojan_programs
Trojan-Clicker          = 104, Trojan_programs
Trojan-Downloader       = 105, Trojan_programs
Trojan-Dropper          = 106, Trojan_programs
Trojan-Notifier         = 108, Trojan_programs
Trojan-Proxy            = 109, Trojan_programs
Trojan-PSW              = 110, Trojan_programs
Trojan-Spy              = 111, Trojan_programs
Trojan-DDoS             = 113, Trojan_programs
Trojan-IM               = 114, Trojan_programs
Rootkit                 = 115, Trojan_programs
Trojan-SMS              = 116, Trojan_programs
Trojan-Mailfinder       = 312, Trojan_programs
Trojan-Ransom           = 117, Trojan_programs
Trojan-GameThief        = 118, Trojan_programs
Trojan-Banker           = 119, Trojan_programs
Trojan-FakeAV           = 121, Trojan_programs
Packed                  = 120, Trojan_programs
Exploit                 = 302, Trojan_programs

VHO:Trojan                  = 102, Trojan_programs           

Email-Worm              = 200, Viruses_and_Worms
IM-Worm                 = 201, Viruses_and_Worms
IRC-Worm                = 202, Viruses_and_Worms
Net-Worm                = 203, Viruses_and_Worms
P2P-Worm                = 204, Viruses_and_Worms
Worm                    = 205, Viruses_and_Worms
Virus                   = 206, Viruses_and_Worms

VHO:Worm                    = 205, Viruses_and_Worms

EICAR-Test-File         = 206, Viruses_and_Worms

Constructor             = 300, Malicious_tools
DoS                     = 301, Malicious_tools
Flooder                 = 304, Malicious_tools
HackTool                = 305, Malicious_tools
Hoax                    = 306, Malicious_tools
Spoofer                 = 313, Malicious_tools
VirTool                 = 314, Malicious_tools
Email-Flooder           = 315, Malicious_tools
IM-Flooder              = 316, Malicious_tools
SMS-Flooder             = 317, Malicious_tools

VHO:Hoax                    = 306, Malicious_tools

HEUR:Backdoor           = 101, Trojan_programs
HEUR:Exploit            = 302, Trojan_programs
HEUR:Packed             = 120, Trojan_programs
HEUR:Trojan-Clicker     = 104, Trojan_programs
HEUR:Trojan-Downloader  = 105, Trojan_programs
HEUR:Trojan-Dropper     = 106, Trojan_programs
HEUR:Trojan-Notifier    = 108, Trojan_programs
HEUR:Trojan-Proxy       = 109, Trojan_programs
HEUR:Trojan-PSW         = 110, Trojan_programs
HEUR:Trojan-Spy         = 111, Trojan_programs
HEUR:Trojan-DDoS        = 113, Trojan_programs
HEUR:Trojan-IM          = 114, Trojan_programs
HEUR:Trojan-SMS         = 116, Trojan_programs
HEUR:Trojan-Mailfinder  = 312, Trojan_programs
HEUR:Trojan-Ransom      = 117, Trojan_programs
HEUR:Trojan-GameThief   = 118, Trojan_programs
HEUR:Trojan-Banker      = 119, Trojan_programs
HEUR:Trojan-FakeAV      = 121, Trojan_programs
HEUR:Trojan             = 102, Trojan_programs
HEUR:Virus              = 206, Viruses_and_Worms
HEUR:Worm               = 205, Viruses_and_Worms
HEUR:Email-Worm         = 200, Viruses_and_Worms
HEUR:Hoax               = 306, Malicious_tools
HEUR:AdWare             = 400, AdWare

MEM:Backdoor            = 101, Trojan_programs
MEM:Trojan              = 102, Trojan_programs
MEM:Trojan-Clicker      = 104, Trojan_programs
MEM:Trojan-Proxy        = 109, Trojan_programs
MEM:Trojan-PSW          = 110, Trojan_programs
MEM:Rootkit             = 115, Trojan_programs
MEM:KL-TEST-ROOTKIT     = 115, Trojan_programs
MEM:Virus               = 206, Viruses_and_Worms

not-a-virus:AdWare          = 400, AdWare
not-a-virus:Porn-Dialer     = 500, PornWare
not-a-virus:Porn-Downloader = 501, PornWare
not-a-virus:Porn-Tool       = 502, PornWare
not-a-virus:Client-IRC      = 601, RiskWare
not-a-virus:Dialer          = 602, RiskWare
not-a-virus:Downloader      = 603, RiskWare
not-a-virus:Monitor         = 604, RiskWare
not-a-virus:PSWTool         = 605, RiskWare
not-a-virus:RemoteAdmin     = 606, RiskWare
not-a-virus:Server-FTP      = 607, RiskWare
not-a-virus:Server-Proxy    = 608, RiskWare
not-a-virus:Server-Telnet   = 609, RiskWare
not-a-virus:Server-Web      = 610, RiskWare
not-a-virus:RiskTool        = 611, RiskWare
not-a-virus:NetTool         = 612, RiskWare
not-a-virus:Client-P2P      = 613, RiskWare
not-a-virus:Client-SMTP     = 614, RiskWare
not-a-virus:WebToolbar      = 615, RiskWare
not-a-virus:FraudTool       = 616, Undefined_H
not-a-virus:Hoax       = 306, Malicious_tools

not-a-virus:VHO:AdWare          = 400, AdWare
not-a-virus:VHO:Downloader      = 603, RiskWare
not-a-virus:VHO:Monitor         = 604, RiskWare
not-a-virus:VHO:PSWTool         = 605, RiskWare
not-a-virus:VHO:RemoteAdmin     = 606, RiskWare
not-a-virus:VHO:RiskTool        = 611, RiskWare
not-a-virus:VHO:WebToolbar      = 615, RiskWare
not-a-virus:VHO:FraudTool       = 616, Undefined_H
not-a-virus:VHO:Hoax       = 306, Malicious_tools


not-a-virus:HEUR:AdWare          = 400, AdWare
not-a-virus:HEUR:Porn-Dialer     = 500, PornWare
not-a-virus:HEUR:Porn-Downloader = 501, PornWare
not-a-virus:HEUR:Porn-Tool       = 502, PornWare
not-a-virus:HEUR:Client-IRC      = 601, RiskWare
not-a-virus:HEUR:Dialer          = 602, RiskWare
not-a-virus:HEUR:Downloader      = 603, RiskWare
not-a-virus:HEUR:Monitor         = 604, RiskWare
not-a-virus:HEUR:PSWTool         = 605, RiskWare
not-a-virus:HEUR:RemoteAdmin     = 606, RiskWare
not-a-virus:HEUR:Server-FTP      = 607, RiskWare
not-a-virus:HEUR:Server-Proxy    = 608, RiskWare
not-a-virus:HEUR:Server-Telnet   = 609, RiskWare
not-a-virus:HEUR:Server-Web      = 610, RiskWare
not-a-virus:HEUR:RiskTool        = 611, RiskWare
not-a-virus:HEUR:NetTool         = 612, RiskWare
not-a-virus:HEUR:Client-P2P      = 613, RiskWare
not-a-virus:HEUR:Client-SMTP     = 614, RiskWare
not-a-virus:HEUR:WebToolbar      = 615, RiskWare
not-a-virus:HEUR:FraudTool       = 616, Undefined_H
not-a-virus:HEUR:Hoax       = 306, Malicious_tools

not-a-virus:                = 600, Undefined_M

DEFAULT                     = 701, Undefined_H

[Categories]

not-a-virus:AdWare            = 1001
not-a-virus:HEUR:AdWare       = 1001
not-a-virus:VHO:AdWare        = 1001
not-a-virus:RemoteAdmin       = 1002
not-a-virus:HEUR:RemoteAdmin  = 1002
not-a-virus:VHO:RemoteAdmin   = 1002
not-a-virus:PSWTool           = 1003
not-a-virus:HEUR:PSWTool      = 1003
not-a-virus:VHO:PSWTool       = 1003
not-a-virus:Monitor           = 1004
not-a-virus:HEUR:Monitor      = 1004
not-a-virus:VHO:Monitor       = 1004

好了,这一篇就告一段落了,希望对大家有帮助,或觉得本文有错,请指正,谢谢!
提前祝各位新年快乐!

最后修改:2025 年 06 月 06 日
© 禁止转载
如果觉得我的文章对你有用,请随意赞赏