AI摘要:** 下一代防病毒软件(NGAV)利用人工智能、行为检测和机器学习算法,超越传统杀毒软件依赖病毒签名库的局限性,有效识别和预防已知及未知威胁。NGAV通过行为分析、异常检测和云信誉共享等技术,提供更全面、高效的端点保护,应对日益复杂的网络威胁。

随着网络威胁的不断演变,传统杀毒软件依赖于病毒签名库进行检测的方式越来越难以应对现代复杂的恶意软件威胁。NGAV(Next-Generation Antivirus,下一代防病毒软件)应运而生。

一、NGAV 的核心概念
下一代防病毒软件 (NGAV) 结合使用人工智能、行为检测、机器学习算法和漏洞利用缓解功能,因此可以预测并立即预防已知和未知的威胁。NGAV并且消除了维护软件、管理基础设施和更新签名数据库的负担。非依赖病毒库的威胁检测 传统杀毒软件依靠病毒签名库来识别恶意软件,这意味着它们只能检测已知的威胁。如果病毒签名库没有及时更新,即使现在的传统防病毒解决方案存在行为防护,也极其容易被白加黑,盗用数字签名等各种混淆方式逃脱检测。而NGAV通过机器学习算法识别未知的威胁,完全不依赖这些签名库,而是根据行为模式,和系统活动来检测威胁。

NGAV 是端点保护的下一步,它使用无签名方法提供比传统 AV 更完整、更有效的端点安全性。传统 AV 使用与特定类型的恶意软件关联的称为签名的字符串来检测和防止类似类型的进一步攻击。随着老练的攻击者找到了绕过传统 AV 防御的方法,例如利用使用宏、脚本引擎、内存中、执行等的无文件攻击来发起攻击,这种方法已经过时了。而NGAV 消除了这些缺点,因为集成了更复杂的预防方法(例如机器学习、行为检测和人工智能),消除了对签名来检测恶意活动的依赖。

NGAV 可以抵御未知威胁和已知威胁,随着攻击者对无文件攻击及其白加黑类型病毒的使用增加,这一点变得越来越重要。NGAV 使这两种类型的威胁都能近乎实时地暴露出来,并且在帮助组织以比过去更快的速度阻止这些威胁方面要有效得多。

机器学习驱动的威胁识别 机器学习技术使NGAV能够从大量的正常和异常数据中学习,并识别出潜在的威胁。NGAV使用监督学习和无监督学习模型,通过分析文件、网络流量、进程行为等数据,自动识别恶意行为模式。这种方法能够有效应对零日攻击、变种病毒以及高级持续性威胁(APT)。

二、NGAV 的核心技术与功能
行为分析
NGAV通过监控应用程序和系统的行为,识别异常活动。例如,如果某个进程尝试篡改系统文件、加密用户数据或进行未经授权的网络连接,NGAV会将其标记为可疑,并采取相应措施。这种基于行为的检测方式使得NGAV能够发现那些未被标记为已知威胁的恶意软件。

异常检测
NGAV的异常检测技术依赖于机器学习模型来识别正常行为与异常行为之间的差异。通过构建系统和网络活动的基线,NGAV可以在异常活动发生时及时发现,并采取措施阻止潜在的攻击。

云信誉共享
尽管不依赖于病毒特征码,NGAV仍然可以通过云端威胁情报平台共享信息。通过收集和分析来自全球的威胁数据,NGAV能够学习和适应新的攻击模式,也可以用来防止本地机器学习误杀正常文件。

自动化响应
NGAV不仅能够检测威胁,还可以自动响应。通过实时隔离受感染的文件或进程、阻断可疑的网络活动,NGAV确保系统的安全性。这种自动化的响应减少了人工干预的需求,使得防护更加高效。

三、NGAV 的优势
应对未知威胁 NGAV通过机器学习算法识别和阻止未知威胁,而不只依赖于已知的病毒签名。这使得NGAV在面对零日攻击和变种病毒时表现更加·出色。

性能优化
传统杀毒软件往往由于频繁的病毒库更新和扫描任务对系统性能产生负面影响。NGAV通过轻量级的机器学习模型,且无需在本地内存加载特征库,降低了对系统资源的占用,提升了整体性能。现有的NGAV厂商基本为半年一更

持续学习与适应
NGAV的机器学习模型可以不断学习新数据,并根据最新的威胁情报进行调整。这种持续的学习能力使得NGAV在面对新的攻击手段时,始终保持高效的防护能力。

四、NGAV 的挑战
模型偏差
NGAV的查杀率极度依赖本地的机器学习模型,机器学习模型的训练依赖于数据质量和数量,可能会因为数据偏差而导致检测效果不佳。因此,NGAV的开发和维护需要严格的数据治理和模型优化。

复杂性与成本
机器学习技术的实施和维护需要高昂的训练成本和专业的技术人员。这对于NGAV厂商而言,如何开发一款好的机器学习模型以及持续更新可能是一项不小的挑战。

误报较高
由于NGAV的检测方法基于行为和零信任机器学习分析,即使一个软件为正常软件,也可能会因为触发规则或者机器学习的阈值导致误杀,与众多传统杀毒软件不同的是,真正的原教旨NGAV完全不依赖特征库,完全依赖于机器学习,传统防病毒解决方案依赖于云信誉来提高查杀率,而NGAV厂商依靠云信誉来降低误报

现在有许多传统解决方案也自称为NGAV,我来总结一下我现在认为真正的NGAV厂商吧
1.轻巧且误报控制优秀的,控制台日志较为复杂,但也十分详细的Crowdstrike Falcon Pro
2.EDR监视与回滚能力超群,但EPP比较拉跨,面对勒索软件所向披靡的SentinelOne Singularity Complete
3.原来是做企业级搜索,静态ML狂杀各种Backdoor,提供开源版(唯一一个能白嫖的,好评doge)和收费版的Elastic Defend
3.将自己称之为是凌驾于NGAV之上的NGNGAV,查杀率和误报率都极高,十分依赖于云端减少误报的DeepInstinct

结语
就我的个人观点而言,我认为NGAV+EDR(XDR)是未来防病毒解决方案的最佳解,NGAV可以进可能的预防病毒的入侵,而EDR则可以在NGAV防御失败时,灾后修复系统,手动回滚感染文件,随着最近的白加黑病毒愈发猖獗,传统防病毒解决方案在白加黑面前软弱无力doge,基于零信任和深度机器学习驱动的下一代防病毒解决方案可以有效解决这一点

--------本文为BushSEC的独立观点,能力有限,如有错误,欢迎指正,原创文章,未经允许,禁止转载----------

最后修改:2024 年 10 月 24 日
© 禁止转载
如果觉得我的文章对你有用,请随意赞赏