Страница 3 из 3 Первая 123
Показано с 41 по 44 из 44.

Kaspersky internet Security 2011: скриншоты, обсуждение и пр.

  1. #41
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3417
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    Поскольку я вижу непонимание, то расшифрую: меня печалит столь несущественное развитие HIPS - один-единственный шаг. Поэтому я говорю, что новая версия выглядит как пакет обновлений к предыдущей: я ожидал куда более масштабных изменений в Контроле приложений. И поэтому же я спрашиваю: это все? или есть еще что-то новое в этой подсистеме, что не вошло в обзор?
    "Это один маленький шаг для HIPS, один гигантский прыжок для продукта" (C)
    Я поясню, чтобы внести хоть чуть информации в 2 листа флуда ... вся соль вот в чем - любой современный HIPS состоит как минимум из двух компонент:
    • модуль мониторинга и блокировки поведения. Его задача - мониторить и блокировать, он должен отслеживать и уметь блокировать вызов всех функций и действий, которые могут причинить ущерб или какой-то вред системе или данным. Набор отслеживаемых действий естественно расширяется, но это именно расширение - революций тут особых не предвидится. Эта штука примерно общая у всех продуктов, так как собственно подходы к мониторингу примерно идентичны (какие-то реализации лучше, какие-то хуже - но суть у всех одна);
    • модуль логики и принятия решений. Его задача - принимать решения о том, что какому приложению разрешить, а что - запретить. Это самое важное и больное место всех HIPS и на основании логики работы этого модуля они и различаются - обычно выделяют классические, поведенческие и Sandbox - http://ru.wikipedia.org/wiki/HIPS
    Вот в модуле принятия решений и начинается все самое интересное - как реализовать логику принятия решений с минимальным участием пользователя ? Беда классического HIPS - он задолбает вопросами "приложение X хочет сделать Y - зарешить/запретить". Неверный ответ - и системе капут или программе каюк ... эту проблему отчасти уже удалось решить за счет эмулятора и патентованной системы вычисления SR рейтинга KIS, что позволяет оценить степень опасности приложения перед его запуском и исходя из этого автоматом принимать решения - что можно, а что нет.
    Следующий шаг - это экспертные HIPS. В KIS уже в принципе есть уже модуль PDM, и в 2010 все это отлично работает (я реально видел ситуации, когда KIS пропускает некого свежайшего зверя, тот запускается, начинает безобразить и тут-же прибивается и карантинится с диагнозом эвристики "PDM.*". В KIS 2011 это получило развитие - анализ поведения стал сложнее и умнее, хотя суть сохранилась - изучать всеми силами поведение семпла и если вдруг обнаружится, что он творит что-то опасное и характерное для зверей - блокировать его. Это невидимая для простого пользователя часть, но крайне важная ...
    Но вернемся к типам HIPS - есть еще Sandbox HIPS, в чистом виде почти бесполезные (как бы реклама не утверждала обратное), так как первая же ошибка пользователя в классификации того, доверять приложению или нет - и системе капут. Тем не менее в KIS отчасти это реализовано в виде того, что есть группа "сильные ограничения" HIPS и запуск в безопасной среде - которые развиваются и представлены в 2011. Но у них тот-же минус, что у аналогов типа Acronis или представителей Sandbox HIPS - пользователь должен заранее знать, что он не доверяет программе X и запустить его в безопасной среде ...
    Вот тут то мы подходим к главной идее - что все известные типы HIPS несовершенны, и в конечном итоге все упирается в проблемы правильных ответов о том, что можно и что нельзя или привильной классификации приложения (доверенное/недоверенное). Вот тут то и проявляется новизна 2011, пусть не сильно заметная невооруженным глазом:
    -новые эвристики для более качественного анализа поведения. Их плюс - они автономны, т.е. работают баз связи с Интернет и возможности спросить совета у "большого брата";
    -подключение KSN. Это очень важный момент, так как у ЛК есть огромные базы опыта и знаний, которые нереально поместить в базы, но вполне реально сделать доступными через KSN. Подкючение KSN в дополнение к имеющимся технологиям улучшит качество, причем значительно;
    Все это нацелено на решение главной задачи - "принять максимально грамотное решение при минимальном участии пользователя в автоматическом режиме, или дать максимум данных для принятия решения в интерактивном".
    Общий вывод - в HIPS есть значимые качественные изменения, я бы не сказал, что они незначительные...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #42
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3736
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Подкючение KSN в дополнение к имеющимся технологиям улучшит качество, причем значительно;
    Меня волнует вот такое, не только КИС, но и другие подобные продукты. Какова их эффективность без подключения к WWW? Базы то можно вручную обновить, но как быть с остальным?
    Left home for a few days and look what happens...

  4. #43
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1843
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    подключение KSN. Это очень важный момент, так как у ЛК есть огромные базы опыта и знаний, которые нереально поместить в базы, но вполне реально сделать доступными через KSN. Подкючение KSN в дополнение к имеющимся технологиям улучшит качество, причем значительно
    Лично я пока отношусь к таким технологиям с некоторым недоверием. Вы видели в Коллегиальном разделе снимок информационного окна одного из упоминавшихся в этой теме продуктов? Там написано:

    keygen.exe

    • Много пользователей
      Тысячи пользователей в сообществе использовали этот файл
    • Достаточное
      Файл был выпущен более 31 дня назад
    • Хороший
      Есть указания на то, что этот файл заслуживает доверия
    Не будет ли таких же недоразумений в новой версии KIS? Коллективный разум, простите за тавтологию, не всегда так разумен, как хотелось бы.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  5. #44
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3417
    Цитата Сообщение от ALEX(XX) Посмотреть сообщение
    Меня волнует вот такое, не только КИС, но и другие подобные продукты. Какова их эффективность без подключения к WWW? Базы то можно вручную обновить, но как быть с остальным?
    Вот тут то и проявляется отличие KIS (и не только 2011) от других продуктов. Дело в том, что в KIS большое внимание уделено принятию решения именно на уровне продукта, автономно. Причем принятие решения многоконтурное - перед запуском работает эмулятор, у него базы HEUR детекта - за злобное поведение он может сразу задетектить. Если не задетектил - далее идет SR рейтингомер - тот может подсказать HIPS-у ограничить поведение подозрительного. Когда процесс запустится - начнут работать поведенческие эвристики и они могут дать PDM.* детет по совокупности. Плюс есть база чистых и проверка цифровых подписей - и все это находится в продукте и его базах, и работает автономно. Но эффективность всего этого не идеальная - бывают ложняки, детект неизвестных зверей менее 100%... вот тут-то в действие и вступает KSN - в случае, когда по процессу нельзя принять однозначного решения легитимный/злобный. Опять же в логике условно есть два уровня:
    1. Может оказаться так, что по данному семплу принято однозначное решение (он признан зверем, или чистым, или известно, что скажем можно запустить - но стоит ограничить). Тогда это решение устраняет неопределенность. Типовой пример - некий легитимный файл получает высокий SR - но в KSN есть данные, что он чистый - и эти данные "перевесят" локальный вердикт
    2. В KSN нет однозначного решения - тогда в работу вступает статистика, по аналогии с тем, как это сдеоано в других продуктах, идея у всех репутационных подходов примерно общая:
    - установить, как много раз запускался семпл, и что из этого вышло ?
    - как давно известен семпл ?
    - доверяли ли семплу запускавшие его пользователи ?
    - прочие данные - география запускавших семпл файлов, частота запусков во времени и т.п.
    Далее все просто - если семпл известен давно, запускали его тысячи человек, они ему доверяли и ничего страшного не случилось - то в принципе семплу можно доверять. Если это непонятно что, появилось только-то - то стоит десять раз подумать, а доверять ли этому семплу. Это конечно не панацея - но лучше иметь данные для размышления, чем не иметь их.
    KSN интересен еще и тем, что данные в него могут поставлять разные анализаторы - которые как-то могут оценить опасность семпла и сформировать его "репутацию"

    Добавлено через 2 минуты

    Цитата Сообщение от NickGolovko Посмотреть сообщение
    Не будет ли таких же недоразумений в новой версии KIS? Коллективный разум, простите за тавтологию, не всегда так разумен, как хотелось бы.
    Эта штука применяется как крайняя мера - когда решение отдается на откуп человеку. И на мой взгляд куда лучше видеть некие дополнительнеы данные по семплу, чем принимать решение на уровне "запускается gluck.exe - разрешить или заблокировать ?"
    Последний раз редактировалось Зайцев Олег; 22.04.2010 в 09:09. Причина: Добавлено

Страница 3 из 3 Первая 123

Похожие темы

  1. unable to install kaspersky internet security 2011
    От tenzin topchen в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 10.05.2012, 20:27
  2. Не запускается Kaspersky Internet Security 2011
    От Gluk в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 18.05.2011, 12:18
  3. Kaspersky Internet Security 2011 Настройка
    От Grebaniy_troyan в разделе Антивирусы
    Ответов: 2
    Последнее сообщение: 03.03.2011, 08:14
  4. Не ставися Kaspersky Internet Security 2011
    От tehnik34 в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 02.02.2011, 12:55
  5. Не удается установить Kaspersky Internet Security 2011
    От yerlan в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 01.11.2010, 09:20

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01330 seconds with 16 queries