Главная » Хабрахабр » Автодятлы, бестелесные малвары и никаких котиков: руководитель группы вирусных аналитиков «Лаборатории Касперского» — о том, как у них все устроено

Автодятлы, бестелесные малвары и никаких котиков: руководитель группы вирусных аналитиков «Лаборатории Касперского» — о том, как у них все устроено

— Сначала подозрительный объект анализируется «автодятлом». Если это исполняемый файл, то с большой вероятностью он уже проходил обработку ранее и по нему давно есть вердикт. В противном случае «автодятел» использует песочницу, поиск похожих файлов, анализ содержимого... И вот только если все наши инфраструктурные системы не смогут классифицировать объект, то подключается аналитик. Он определяет вредоносность объекта, если это зловред, то знание о зловредности нужно донести из «Антивирусной лаборатории» до продуктов. То есть «задетектить». Как правило, это тоже делает «автодятел», однако процесс дообучения матмодели или обобщение знаний о поведении занимает некоторое время. Чтобы пользователь сразу был защищен, антивирусный аналитик сам добавляет информацию в базы. А через какое-то время (как правило, несколько часов, зависит от метода детектирования) подтянется автодетект с различными продвинутыми слоями защиты.

Он выделяет главное вредоносное поведение из всего того, что делает «малвара». Еще вирусный аналитик определяет, к какому семейству причислить вредоноса. Дело в том, что быстрая и надежная рекорда, которую обычно создает сотрудник моей группы, детектирует один или несколько файлов семейства. Это обеспечивает порядок в нашей вирусной коллекции и впоследствии сильно помогает «автодятлу» обобщать знания автоматически. А те рекорды, которые создает «автодятел», способны детектировать все семейство, тысячи и более файлов.

Если тот интересовался еще чем-либо помимо подозрительного файла, ответ придется скорректировать. Ну а в конце аналитик убеждается, что сформированный автоматикой ответ действительно отвечает на вопросы пользователя.

Ведь именно мы даем первичные знания системам автообработки на базе машинного обучения. Выходит, все держится на нас. А ландшафт угроз меняется и, если защита не будет меняться, то со временем начнет деградировать.
Если бы мы перестали обрабатывать уникальные и особые случаи, то через какое-то время «автодятлу» было бы не на чем дообучать свои матмодели.


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

[Из песочницы] Haiku β1 — сделаем /b/ OS великой снова

Совсем недавно (почти 4 месяца назад) вышла новая Haiku (далее — просто BeOS, ибо проект гораздо удачнее ReactOS — настолько, что разница между Haiku и BeOS уже пренебрежимо мала). Да и недавно прочитанный киберпанк-роман Александра Чубарьяна давал понять, что BeOS ...

Минкомсвязи одобрило законопроект об изоляции рунета

Министерство цифрового развития, связи и массовых коммуникаций РФ поддержало законопроект №608767-7 об автономной работе рунета, внесённый в Госдуму 14 декабря 2018 года. Об этом сегодня сообщил замглавы Минкомсвязи Олег Иванов в ходе расширенного заседания комитета Госдумы по информационной политике, информационным технологиям ...