|
|
本帖最后由 sysdiag.sys 于 2025-7-13 00:18 编辑
① 自定义查杀与全盘查杀需求 ver3.0
7.0大版本第二代高级启发式引擎 希望支持在线虚拟沙盒(轻量云)分析模式 和 纯离线深度启发式分析+威胁链关联 双模式。
该设计确保7.0大版本和大多数国外杀毒软件理念一致,仅在用户需要手动查杀时使用云分析,主动防御及HIPS防御还是基于离线检测架构,不卡exe
(1)当前6.0初代高级启发式引擎依赖简单字符串匹配(如$后接4字符以上即报毒),暴露规则泛化能力不足;火绒6.0虽具备HVM和SVM,但未与ADV扫描联动,导致静态误判无法通过动态验证修正。其核心问题在于6.0高级启发式引擎建模逻辑缺陷、策略单一性及缺乏用户自适应机制、云辅助手段
(2)如图1,离线机学深度检测模式支持Signature-less Detection技术,是第二代高级启发式引擎的核心安全能力的体现,最终判定不依赖传统病毒特征库的静态匹配,而是通过虚拟沙盒行为分析、启发式规则(机学库)和威胁链关联等动态手段识别恶意软件
(3)如图1,高级启发式扫描第二代添加云沙箱的功能,可将最终判定为恶意的样本实时上传到服务器端大规模学习参数验证,返回立即解除误报的最终结果,大幅降低误报率
(4)虚拟沙箱高级启发模式——行为动态监控(ADV和HVM、SVM联动):第二代高级启发式扫描新的打分特性:对敏感操作(如修改注册表、注入其他进程、加密文件、隐藏自身文件、记录键盘输入或截屏等窃密动作等)赋予不同权值;当累积权值超过预设阈值时,即判定为恶意程序
(5)虚拟沙箱高级启发模式——威胁链关联分析(网络流量+HIPS+内存威胁):通过分析恶意行为的关联性,识别威胁链条。比如一个进程修改注册表启动项 → 注入浏览器进程 → 发起风险网络请求,多个关联行为(恶意行为监控、内存保护、Web扫描、HIPS触犯)组合会被判定为恶意软件家族
(6)虚拟沙箱高级启发模式——反强加壳: 加壳或代码混淆会改变文件二进制特征,使百万千万级特征库未必生效。高级启发式引擎对最终行为的打分,不受代码形态影响
(7)虚拟沙箱高级启发模式——机学数据累积:通过行为实时监控、威胁链关联和云协同,解决了火绒6.0上一代高级启发式扫描该报毒不报毒、不该报毒的漏报一大堆的问题;新一代高级启发式尤其擅长对抗溯源 蠕虫、勒索软件和PUP,但其误报率需通过阈值优化平衡,在复杂威胁环境下,与火绒传统特征库技术、用户机学数据累积的结合,可提供更全面的高级启发式查杀体验
(8)虚拟沙箱高级启发模式——威胁级别分级技术+流式更新:对静态传统特征码扫描阶段中 低分险未知样本自动触发轻量级沙箱(5秒内行为快照),仅监控关键行为(注册表篡改、文件加密)。虚拟沙箱的高级启发式签名库单独具备流式更新,对全网突发威胁(如未知0day漏洞利用),通过RIT(随机增量更新)机制半小时内先行覆盖80%全网终端,替代传统日更模式,突出火绒EDR运营体系
(9)虚拟沙箱高级启发模式——企业版:高级启发式扫描在中心端本地完成,不提供云模式,允许对全网终端查杀并仅记录,采取深度分析威胁后自动排除误报部分,后续持续应用
② 文件实时监控、恶意行为监控、内存防护 回溯信息需求
7.0大版本火绒日志部分希望支持攻击防御时间戳深度回溯,回溯信息显示恶意软件被拦截之前的攻击行为详细信息。
③ Web扫描需求
第二代高级启发式引擎应当不再局限于文件,针对网络层的流量也能支持扫描,可高效监控网络流量中的恶意模式,7.0大版本Web扫描可勾选 启用高级启发式扫描,对存在风险的网络流量使用AI审计技术扩展增强检测 如图2 具体建议细节如下
(1)通过文件实时监控收集离线分析数据,对未知且潜在有风险的程序主动搜寻其潜伏的流量威胁
(2)利用卷积神经网络检测技术识别Web流量中的0day漏洞利用载荷(如 Log4j 攻击链),实现针对性深度Web扫描监控
(3)通过过往流量记录审计信息,基于该框架建模,打造属于本地终端缓存的流量威胁模型检测算法,实现病毒流量查杀之外的扩展高级流量威胁识别
(4)基于亿级火绒威胁情报系统的网络威胁事件机器训练+本地适应验证内容,减少AI网络流量分析中不确定性幻觉风险
(5)基于轻度机器学习分析流量去向结构,识别横向移动、数据外泄等隐蔽攻击,减少对签名库的依赖
(6)整合过去火绒威胁情报系统历史攻击数据,时间线回溯匹配+相似性检索匹配,综合对网络流量信誉度打分,分数达到下限阈值将查杀
④ 文件实时监控三挡扫描模式: 7.0大版本的文件实时监控——增量病毒库方案与增强扩展检测 如图3
你们曾经对“人工智能安全”抱着谨慎的态度,认为这类技术本质上是基于统计学算法的机器建模,结果模糊且不可阐述,可能导致误报。然而,人工智能被用于对抗人工智能造成的网络威胁早就烂大街了,菜就用笨办法
(1)基础扫描模式(Basic),火绒祖传秘方,默认勾选,中高的威胁文件检测能力,极低的用户日常环境误报率,绝大多数人(99%)够用
(2)专业扫描模式(Pro),通过下载增量签名库,略微减低引擎熵值分析阈值,小幅占用一定磁盘空间(100MB以内),显著提升混淆代码样本检测能力,除了灰色样本外误报基本无抬高趋势,属于在火绒现有的查杀模式下量变换部分质变,但不牺牲低占用 低误报的体验。
(3)专业增强扫描模式(Pro Max),文件执行时的行为持续加强启发,建模数据来自经典签名库+增强签名库,该监控强度是动态的,将小幅增加占用。对可疑文件的执行关联其进程树监测其API调用序列,略微激进的内存注入、脚本混淆、C2通信检测;风险行为特征匹配对扩展签名库都无法认出的文件大幅加强识别。
专业增强扫描模式已包含专业扫描模式的增量签名库,引擎熵值分析进一步降低,可能产生执行时轻微误报,但远低于6.0的高级启发式引擎。 讲人话就是在文件执行时适度启发式分析
⑤ 关于“旧版本安装包不再允许覆盖降级安装新版本”的扩展建议
后续7.0大版本使用同等版本的安装包覆盖,检测到火绒版本一致,则支持仅本次离线更新病毒库 暂不覆盖安装。 覆盖安装容易导致右键管理里面的设定全复原
⑥ 计算机安全情况自适应AI
7.0大版本首次安装,主界面智能推荐提示可提醒立即执行一次常规全盘查杀,让机器学习架构对本地计算机文件系统、注册表安全情况有一个初步学习分析,后续随用户使用计算机的安全情况逐步学习,机器学习个性化安全数据纯保存在本地且不被用户体验计划上报
网络流量数据闲时审计并生成分析数据
|
|
收藏
