一般的啟發式是以"規則啟發"來作為啟發式判斷的依據,而這種方法優點是規則設的好,很好抓威脅,但是隨之而來的是誤報(高低取決於規則優劣).

而之前曾和000110提起過,ESET ThreatSense技術事實上就是與威脅資料庫合而為一的"動態啟發".

這樣的做法優點是:
1.高啟發率.因為只要威脅特徵碼取的好,啟發式的判定就會相當精準,誤報率自然降低很多.

2.不用時常更新規則.透過每天的威脅資料庫更新,啟發式也跟著"更新",可以說是"活的啟發式".

3.降低威脅特徵碼數量.看過卡飯每天的掃描測試,就會發現ESET靠啟發式偵測數量很驚人,常常一佔就是8,9成.像是報:"a variant of"這類的,是屬於啟發式沒錯,但是只要一個威脅特徵碼,"a variant of"能報的就很多,沒有再入庫的需要.

或許有人會問,難道ESET就只靠威脅資料庫就能有71%啟發率,0誤報?這背後除了優秀的虛擬機外,當然也包括第一段所提的"規則啟發".

像是:"probably a variant of","New_PE"這類的屬於"規則啟發",也就是最原始的啟發式,這種的只要上報就會成為每天更新名單裡的(X)之一.之後就變成了"a variant of".

當然,還是有缺點:
1.要有高品質的威脅特徵碼.因此ESET入庫的時間非常緩慢,往往就是要好幾個禮拜甚至幾個月.但是隨之而來的卻是高偵測,低誤報的"a variant of",省去很多入庫的需要.

2.要有很多威脅特徵碼.這點就和第一點所提的一樣,由於入庫緩慢,ESET所能"動態啟發"的數量就比較少,需要靠"規則啟發"來支援.

在下敢說,ESET如果把所有"動態啟發"都改成"威脅特徵碼",數量會和Kaspersky的威脅特徵碼差不多.但是ESET靠"動態啟發",省去"很多"的威脅特徵碼.

目前市面上應該只有ESET有這樣的構想,說它是"究極啟發奧義",在下認為一點不超過.相信5月的測試出來,ESET又會再次提升啟發率了 .

[ 本帖最後由 integear 於 2008-5-28 18:39 編輯 ]

ESET啟發不錯...真的很會報未知...又低誤報率
但是入庫希望再快一點...雖然也知道他辦不太到
回報後最快一星期入庫...通常都要好幾個月才入
這樣偵測率很難維持一定水準...毒生產越來越快
人工擷取特徵碼...快追不太上毒的產生速度...有越拉越遠的感覺

庫和卡8較量已經沒意思了...卡8已經...

無疑ESET的啟發是很強，不過多強的啟發還是不足以應付

AV+HIPS 飄過~

ESET我認同大大的說法,病毒碼的品質的確很不錯
啟發也很穩定

PS 郭政勳大大的頭像改成F-Secure介紹片了

引用:

原帖由 andy 於 2008-5-28 20:20 發表
庫和卡8較量已經沒意思了...卡8已經...

無疑ESET的啟發是很強，不過多強的啟發還是不足以應付

感覺Kaspersky開始步上Panda的後塵 .

比較好奇ㄚ一和Bug的看法,其實他們之前都不怎麼看好ESET .

所以 目前 NOD 配 Threatfire + 自編規則
效果還不錯

入庫慢的部分 用HIPS來補足

[ 本帖最後由 JetLee 於 2008-5-28 21:46 編輯 ]

引用:

原帖由 integear 於 2008-5-28 21:38 發表


感覺Kaspersky開始步上Panda的後塵 .

後塵? 已經超越了Panda

引用:

原帖由 integear 於 2008-5-28 21:43 發表
比較好奇ㄚ一和Bug的看法,其實他們之前都不怎麼看好ESET .

可能是入庫和和分析看法...理念不看好吧!?

大部分都靠啟發,不就不能解毒了!!

另外將ESET的動態啟發特徵庫應該不等於卡車司機特徵庫
因為偵測率差距滿大的,可由AV-TEST和樣本區最新樣本包來看......

一語道破ESET目前的隱憂~過度的啟發式我認為不見得是好事
倘若真如此『像是報:"a variant of"這類的,是屬於啟發式沒錯,但是只要一個威脅特徵碼,"a variant of"能報的就很多,沒有再入庫的需要.』

那很簡單變種的感染檔案一定解不完全，如果分析員用沒有再入庫的需要來否定檔案有無分析必要再加上回報機制的問題∼我看一個感染virus的變種就足以搞死ESET的用戶了,在這前提又要考慮ESET的啟發式到底能不能偵測到變種又是個問題了

檔案修復不完全殘留的病毒碼AV自然不會再當VIRUS偵查,檔案大概又要另外處理了...何況是上百筆檔案

[ 本帖最後由 黑衣~魂 於 2008-5-28 23:43 編輯 ]

引用:

原帖由 無言啦 於 2008-5-28 22:14 發表
大部分都靠啟發,不就不能解毒了!!

另外將ESET的動態啟發特徵庫應該不等於卡車司機特徵庫
因為偵測率差距滿大的,可由AV-TEST和樣本區最新樣本包來看......

既然是啟發,應該就沒有要上報入庫才能偵測的問題
只要能啟發,感染之前就被啟發報了,而不會等到全部感染了才啟發
而且ESET引擎的修復能力本來就不好,報啟發還是報已知其實不重要

引用:

原帖由 黑衣~魂 於 2008-5-28 23:36 發表
一語道破ESET目前的隱憂~過度的啟發式我認為不見得是好事
倘若真如此『像是報:"a variant of"這類的,是屬於啟發式沒錯,但是只要一個威脅特徵碼,"a variant of"能報的就很多,沒有再入庫的需要.』

那很簡單變種的感 ...

通常大量感染的病毒,ESET就會先行解毒了 .

引用:

原帖由 無言啦 於 2008-5-28 22:14 發表
大部分都靠啟發,不就不能解毒了!!

另外將ESET的動態啟發特徵庫應該不等於卡車司機特徵庫
因為偵測率差距滿大的,可由AV-TEST和樣本區最新樣本包來看......

在下只說會接近,不是完全相等 .

Panda 的 TruPrevent Technology還是不錯的，除了比較卡外，就是有點水土不服

Eset对上报样本的处理速度依然很慢
效果不够理想，对大陆用户的重视程度不够
eset误报率与其他同类的av做比较，属于中等偏下的水平
误报比率控制的还算不错了

引用:

原帖由 integear 於 2008-5-29 17:51 發表
通常大量感染的病毒,ESET就會先行解毒了 .

不解原意~在我之前拿ESET解大量感染病毒經驗中有三種情況
1.可以偵查無法解毒
2.顯示解毒成功但並不完全,檔案死檔
3.解毒成功
1佔大多數 2發生過數多次

我用 2.0 遇到的狀況也常常是

1.可以偵查無法解毒

甚至無法終止並刪除正在運行的頑強病毒

3.0 版的偵測率依 AVC 報告看來是不錯
但是還是希望其發展主動入侵防禦系統來幫助因特徵碼不足而過度依賴的啟發
HIPS 才可以大大的幫助特徵碼更新過慢的ESET
畢竟啟發還是會有偵測不到新威脅的窘境(不可能100%偵測率)

andy說得對:

引用:

無疑ESET的啟發是很強，不過多強的啟發還是不足以應付

加油!

引用:

原帖由 Bug 於 2008-5-30 00:03 發表
我用 2.0 遇到的狀況也常常是

1.可以偵查無法解毒

甚至無法終止並刪除正在運行的頑強病毒

3.0 版的偵測率依 AVC 報告看來是不錯
但是還是希望其發展主動入侵防禦系統來幫助因特徵碼不足而過度依賴的啟發
...

3.0有改進"甚至無法終止並刪除正在運行的頑強病毒" .

就看看年尾ESET會不會有甚麼動作了 .