ThreaTSensa a DeepGuard i Artemis
#1
Wyjaśnienie dla tych, którzy myślą, że są najmądrzejsi, a jeszcze się uczą Smile

ESET

Technologia ThreatSense™ łączy w sobie metody wykrywania wirusów oparte o systematycznie aktualizowane bazy sygnatur wrogich programów z unikalną metodą zaawansowanej analizy heurystycznej (zwaną także ochroną aktywną), zdolną do wykrywania nowych, nieznanych jeszcze zagrożeń. Dzięki takiemu połączeniu technologia ta wyjątkowo skutecznie chroni przed wszelkimi typami zagrożeń.

F-Secure

F-Secure is the first anti-virus vendor in the world to release a real-time protection network for consumers that enables global protection within 60 seconds from the first confirmation of a new threat. This is based on F-Secure DeepGuard 2.0, a technology that uses "in-the-cloud" computing to provide instant protection against new threats. F-Secure DeepGuard 2.0 is also available for corporate environments in an easily managed client solution F-Secure Client Security 8.
For detailed information, subscribe to DeepGuard 2.0 whitepaper.

DeepGuard 2.0 - a quick overview

F-Secure DeepGuard 2.0 incorporates a feature called Network Lookups to enable instant protection against emerging threats.
How does it work?

1. F-Secure DeepGuard 2.0 detects when a Windows application is launched.
2. The new Network Lookup feature asks the "cloud" about the application.
3. The "cloud" answers instantly within a fraction of a second!
4. DeepGuard 2.0 takes the appropriate action based on the cloud''s answer: Good applications are allowed and bad applications are blocked.

What do we mean by "in-the-cloud" technology?

The F-Secure Real-time Protection Network exists on the Internet or "in-the-cloud". Our servers are positioned around the globe and are always ready to provide instant answers to Network Lookups from DeepGuard 2.0. When a new potential threat appears, the first computers that encounter it anywhere in the world will instantly inform our automated security labs. For confirmed threats we are able to add complete protection in 60 seconds. After this, all computers with this technology query the network, and are instantly protected. This shortcuts the hours it typically takes to send out database updates.

Artemis

W jaki sposób ma temu zaradzić McAfee Artemis? Wykrywanie szkodliwego oprogramowania bazowało dotychczas na sygnaturach przechowywanych na chronionych komputerach. Takie podejście wymagało uaktualniania baz sygnatur na każdym komputerze w miarę, jak pojawiają się nowe wirusy - powodowało to nieuniknione opóźnienie pomiędzy rozpoznaniem zagrożenia a zabezpieczeniem wszystkich komputerów.

Artemis umożliwia niemal natychmiastową reakcję na nowe zagrożenia, dla których sygnatury nie zostały jeszcze udostępnione. Wykrycie podejrzanego pliku na komputerze wyposażonym w oprogramowanie McAfee, skutkuje nawiązaniem połączenia z serwerami producenta, które w czasie rzeczywistym sprawdzają, czy plik stanowi zagrożenie bezpieczeństwa, czy też nie.

Operacja zajmuje co najwyżej parę sekund, pozostając praktycznie niezauważalna dla użytkownika. Serwery Artemis wykorzystują zarówno wiedzę pracujących w firmie ekspertów, dane z komputerów-pułapek (honeypot), jak i rejestrowanych na bieżąco zgłoszeń z dziesiątków milionów systemów chronionych przez oprogramowanie McAfee.
Odpowiedz
#2
DeepGuard określany również jak HIPS – Host Intrusion Prevention System działa poprzez wykonywanie serii analiz aplikacji działających w systemie Windows, które są uruchamiane w celu nie tylko sprawdzenia, jak wyglądają, ale co bardziej istotne, w jaki sposób się zachowują. Analiza behawioralna systemu DeepGuard składa się z dwóch głównych komponentów. Są to:

– Silnik Gemini – mechanizm heurystyczny wykonujący statyczne sprawdzenie pliku. Poszukuje cech powszechnych pośród aplikacji złośliwych. Np. czy plik jest spakowany, nie ma odpowiedniego podpisu cyfrowego itd. Pegasus – wirtualne środowisko (SandBox1).

– Pegasus uruchamia plik wewnątrz tego środowiska i analizuje jego działanie bez niebezpieczeństwa dla normalnego środowiska Windows.

DeepGuard 2.0 NHIPS –Network HIPS, może być traktowany jako 3. silnik dla HIPS ( DeepGuard pierwszej generacji). Gdy działa (niezbędne jest połączenie sieciowe) sprawdza przed Pegasusem i Gemini. Jeśli NHIPS daje wynik pozytywny lub negatywny, pozostałe silniki już nie skanują aplikacji. Technologia DeepGuard 2.0 zwalcza nowe i nieznane jeszcze złośliwe aplikacje. W ramach aktywnej ochrony wysyła zapytania dotyczące nieznanych aplikacji przez sieć do serwerów analizujących sytuację w internecie w czasie rzeczywistym.
DeepGuard 2.0 zmniejsza czas reakcji na podejrzane aplikacje do zaledwie kilku sekund. Rozpoznaje błyskawicznie zarówno bezpieczne jak i szkodliwe oprogramowanie. Eliminuje w ten sposób zjawisko False Positive (fałszywe alarmy, kiedy prawidłowy program wykrywany jest jako złośliwy) i ogranicza konieczność podejmowania decyzji przez użytkownika. Unikalna, działająca w czasie rzeczywistym sieć sprawdza reputację plików wykonywalnych i blokuje je lub pozwala na ich uruchomienie. Dzięki tej technologii użytkownicy produktów F-Secure są zabezpieczeni już w 60 sekund od pierwszego potwierdzenia nowego zagrożenia.

i jeszcze dorzucę pande

Kolektywna Inteligencja
Maksymalna ochrna z minimalnym wykorzystaniem zasobów komputera

Kolektywna Inteligencja funkcjonuje jako baza danych online działająca w czasie rzeczywistym, w której przechowywana jest większość plików sygnatur. Dzięki temu punkty końcowe są obciążone jedynie ich niewielką częścią. Każdy użytkownik bierze udział w walce z nowym złośliwym oprogramowaniem, przesyłając na serwery Panda Security dane statystyczne na temat występowania zagrożeń. Takie podejście wpływa na zmniejszenie wykorzystania przepustowości przez poszczególne komputery oraz zapewnia szybszą i pełniejszą ochronę.
Podstawy Kolektywnej Inteligencji
Gromadzenie danych pochodzących od społeczności internetowej. System centralnie gromadzi i przechowuje próbki zachowań programów, fragmenty plików oraz nowe próbki złośliwego oprogramowania. Dane te pochodzą od użytkowników Pandy, a także od innych organizacji. Tak duża zdolność gromadzenia informacji zapewnia większą widoczność oraz pełną wykrywalność technik wykorzystywanych przez nowe złośliwe programy, jak również punktów dystrybucyjnych.
Automatyczne przetwarzanie danych. System automatycznie analizuje i klasyfikuje tysiące nowych próbek otrzymywanych każdego dnia. W tym celu system ekspercki zestawia dane otrzymane od społeczności internetowej z obszerną bazą informacji na temat złośliwych programów laboratorium PandaLabs. System automatycznie wydaje opinie (złośliwe czy nieszkodliwe oprogramowanie) na temat nowo otrzymanych plików przez społeczność, dzięki czemu ochrona użytkowników działa szybciej i skuteczniej. Ponadto stale aktualizowana baza ponad 10 milionów plików, które nie wymagają skanowania, usprawnia i przyspiesza proces skanowania, redukując ilość potrzebnych zasobów do minimum.
Udostępnianie informacji i rozwiązania. Wiedza na temat zagrożeń jest przekazywana użytkownikom w postaci usług www lub poprzez aktualizacje plików sygnatur albo zapytania w czasie rzeczywistym do serwera.

Koncepcja Kolektywnej Inteligencji umożliwia wykrywanie dużo większej liczby złośliwych programów niż ma to miejsce w przypadku systemów manualnych, z których korzysta część laboratoriów. Kolektywna Inteligencja potrafi identyfikować również takie zagrożenia, które nie były dotąd znane. Połączenie Kolektywnej Inteligencji i technologii TruPrevent. Panda jest zdolna wykrywać najbardziej zaawansowane technologicznie złośliwe programy.
Odpowiedz
#3
Funkcja SONAR(Symantec Online Network for Advanced Response) identyfikuje nowe zagrożenia na podstawie sposobu działania aplikacji. Funkcja ta zapewnia szybszą reakcję niż tradycyjne techniki wykrywania zagrożeń przy użyciu sygnatur. Funkcja SONAR wykrywa destrukcyjny kod i chroni przed nim komputer, zanim definicje wirusów zostaną udostępnione na serwerze LiveUpdate.

Sonar został zaprojektowany w celu ułatwienia wykrywania nieznanych zagrożeń i ataków poprzez monitorowanie aplikacji w czasie rzeczywistym, z wykorzystaniem algorytmów oceny setek atrybutów dla pojedynczego procesu.
Jeśli zostanie wykryte podejrzane działanie, Sonar będzie kontynuować dezynfekcję, bez interwencji użytkownika.Jednakże, użytkownik może przywrócić z kwarantanny wszelkie pliki, procesy lub wpisy do rejestru.


Technologia ThreatSense™

ThreatSense™ łączy wiele sposobów wykrywania wirusów w jednym silniku. Klasyczna analiza z użyciem aktualizowanej co godzinę bazy sygnatur wykrywa znane zagrożenia. Tzw. heurystyka pasywna pozwala na wykrycie nowych odmian znanych wirusów. Unikalna, opracowana przez ESET metoda zaawansowanej (aktywnej) heurystyki analizuje podejrzane fragmenty kodu uruchamiając plik na wirtualnej maszynie PC (w oddzielonym zabezpieczonym środowisku), dzięki czemu może sprawdzić działanie programu, nie narażając systemu operacyjnego naszego komputera na niebezpieczeństwo. Pozwala to na sprawdzenie również kodu zaszyfrowanego, wewnętrzne spakowanego i polimorficznego (gdzie kod zmienia się przy każdej replikacji). Kod jest następnie analizowany pod kątem podejrzanego zachowania (jak np. nawiązywanie połączeń SMTP, modyfikacja rejestru, modyfikacja zbiorów systemowych). W ten sposób wykrywane są nowe, nieznane dotąd zagrożenia. Połączenie tak wielu metod wykrywania w jednym silniku ThreatSense™ pozwala na osiągnięcie bardzo wysokiej wykrywalności. NOD32 obok znanych już wirusów wykrywa również nowe, jeszcze nieznane zagrożenia, nawet przed aktualizacją bazy sygnatur

Porównując ThreatSense i Sonar zauważyłem pewną różnicę, która polega na tym, że technologia Esetu działa bardziej heurystycznie, traktując nieznane zagrożenie jak konkretny wirus. Sonar natomiast działa bardziej proaktywnie. Nie klasyfikuje konkretnego zagrożenia tylko analizując podejrzane zachowanie eliminuje plik exe.
Atutem ThreatSense jest bardziej skuteczne usuwanie infekcji przy skuteczności około 90% wg. Esetu (dotyczy nowych i nieznanych wirusów). Sonar Nortona usuwa wirusy nie tak dokładnie ale jego reagowanie na każde zagrożenie wydaje się być perfekcyjne.
Odpowiedz
#4
Jurek napisał(a):Porównując ThreatSense i Sonar zauważyłem pewną różnicę, która polega na tym, że technologia Esetu działa bardziej heurystycznie, traktując nieznane zagrożenie jak konkretny wirus. Sonar natomiast działa bardziej proaktywnie. Nie klasyfikuje konkretnego zagrożenia tylko analizując podejrzane zachowanie eliminuje plik exe.
Atutem ThreatSense jest bardziej skuteczne usuwanie infekcji przy skuteczności około 90% wg. Esetu (dotyczy nowych i nieznanych wirusów). Sonar Nortona usuwa wirusy nie tak dokładnie ale jego reagowanie na każde zagrożenie wydaje się być perfekcyjne.


Różnica jest kolosalna! DeepGuard korzysta z bazy serwerów F-Secure. ThreatSense z własnego "rozumu". To tak, jakbyś miał znaleźć rozwiązanie albo metodą analizy (we własnej czaszce), albo korzystając z doświadczeniai pomocy innych ( z którymi jesteś połączony). Zupełnie inna filozofia działania!
Odpowiedz
#5
Sonar działa też bez problemu na niepodłączonym do neta kompie tak że też korzysta z własnego rozumu tak samo DeepGuard
Odpowiedz
#6
Sory! Pisząc o Sonarze myślałem o DeepGuard i Artemisie! Już poprawiam!
Odpowiedz
#7
Aleście ku.... namieszali Smile
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości