Добро пожаловать на независимую площадку Stop Malware.
Показано с 1 по 1 из 1

Тема: Sample and statistical submission.

Понравилась статья? Поделись с друзьями!
  1. #1
    ANDYBOND вне форума

    Местный
    Регистрация
    22.03.2011
    Адрес
    Кому надо - знают, остальным - не положено.
    Сообщений
    146
    Поблагодарил(а)
    366
    Благодарностей
    66

    Sample and statistical submission.

    В логах:
    "Description: Sample Submission: ~895.tmp.

    Submission Details: CSIDL_PROFILE\appdata\local\temp\~895.tmp."
    Submissions are used to improve Norton's performance and detection abilities, and do not imply that there is anything that the user needs to be concerned about. In the case of statistical submissions, the Norton Intrusion Prevention System uses signatures to detect and block exploits that leverage vulnerabilities in software programs for the purpose of installing malware. When a new exploit is discovered a signature is created and distributed as quickly as possible in order to provide immediate protection. After this initial signature is released refinements are made to perfect a new signature that is smaller and more efficient. Because there is an increased likelihood of false positives the revised definition is first released as a test signature. When one of these test signatures is triggered it is reported back to Symantec as an IPS Detection Statistical Submission. These submissions help Symantec fine-tune the accuracy of the detections. Once testing is completed the initial signature will be replaced or updated with the improved version. While testing is in progress you are protected from the actual exploit by the originally released signature, which will trigger IPS to block, log, and alert you to any real attack. A statistical submission alone without a corresponding IPS action would indicate a false positive.
    Механизм отчётов или "посылок" (как можно перевести его название дословно) используется для улучшения производительности продукта и возможностей детектирования, и сообщения о его срабатывании не являются чем-то, из-за чего нужно беспокоиться. В случае со статистическими подборками данных Norton IPS использует сигнатуры для обнаружения и блокирования эксплоитов, эксплуатирующих уязвимости в программах для целей установки вирусов класса malware. Когда новый эксплоит обнаруживается, на него создаётся сигнатура, которая распространяется среди пользователей в кратчайшие сроки, чтобы безотлагательно обеспечить нужную защиту. После выпуска этой исходной сигнатуры проводится её улучшение для целей выпуска сигнатуры, которая будет более конкретной и меньшего размера. Поскольку изначально довольно велика вероятность ложных срабатываний, исходная сигнатура выпускается как тестовая. Когда одна из выпущенных сигнатур срабатывает, в Symantec посылается отчёт IPS Detection Statistical Submission (статистические данные системы защиты от вторжений). Эти отчёты помогают Symantec подкорректировать сигнатуру для более аккуратного, более точного срабатывания. Когда тестирование сигнатуры заканчивается, исходная сигнатура заменяется или обновляется её усовершенствованной версией. Таким образом, в процессе тестирования пользователь защищён от эксплоита изначально выпущенной сигнатурой, которая заставит IPS заблокировать, залогировать атаку и сообщить о ней. Статистические данные, не подкреплённые срабатыванием IPS, будут свидетельствовать о ложном срабатывании (т.е. сигнатура сработала, но, например, файл находится в белом списке и его, как следствие, трогать нельзя).



  2. 2 пользователей сказали cпасибо ANDYBOND за это полезное сообщение:

    Aibolit (02.07.2011), Александр (02.07.2011)

 

 

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •