发表于: 2014-10-18 19:53 | 显示全部 短消息 资料
字号: 1楼

改进v17新版的行为动作

重构的行为分析系统架构,细化分析粒度

为了全面提升行为分析系统能力,我们重新设计了行为分析系统架构。从之前的二维分析模式,提升为多维矩阵式架构。具体来说,2.0版本的行为分析以统一的视角、按照进程的物理关系(二维平面),结合进程行为来进行分析。而在2.5行为分析系统中,除进程的物理关系外,进程的行为也被用作关联进程关系的纽带之一(多维空间),从而实现了在更高维度上对进程关系和行为的组织和分析。通过这种方式,可以从逻辑上更准确地分析出进程的恶意行为并定位相关的进程。

或许从概念上来解释,可能会感觉比较抽象。我们可以以一个应用场景为例,比较直观地说明多维矩阵式架构所带来的提升:以往比如从运行RAR压缩包中运行发现风险行为,可能会连RAR进程一起视为风险进程,而新的行为分析架构下可以区分出RAR与真正的风险进程,这样使得分析结果更为精准。同理的还能区分通过下载器运行的风险进程等。

对于上面的例子,包括火绒2.0在内的传统多步行为分析系统,在解决类似问题时不可避免地需要引入知识库(本地或云白名单),而火绒2.5行为分析系统不需要此类知识库机制,可以完全从逻辑上解决此类问题。

用户系统信息:Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.137 Safari/537.36 LBBROWSER
君素雅达,必不致令我徒劳往返也