瑞星AI网络威胁检测引擎

2024-07-05 19:44| 来源: 网络整理| 查看: 265

瑞星AI网络威胁检测引擎sdk 语言绑定 C/C++ JAVA Python dotNet Nodejs go php 引擎优势丰富全面的平台支持强劲的文件深度分析/提取/解码能力支持的压缩包（自解压包）支持的安装包: 支持的电子邮件和邮箱文件支持的文档/多媒体文件支持的磁盘/镜像/文件系统支持的脚本发布包：支持的其他文件类型：丰富的脱壳能力全面的模拟执行能力（反病毒虚拟机）丰富多样、针对性强的恶意软件识别技术瑞星AI网络威胁检测引擎语言绑定

目前已经适配的语言：

C/C++ JAVA Python(CPytohn) dotNet Nodejs go php C/C++ EXTERN_C void* lame_open_vdb(const char* vlibf); EXTERN_C void lame_close_vdb(void* vdb); EXTERN_C void* lame_create(void* vdb); EXTERN_C void lame_destroy(void* lame); EXTERN_C void* lame_fork(void* lame); EXTERN_C long lame_param_set(void* lame , const char* param); EXTERN_C long lame_init(void* lame); EXTERN_C long lame_scan_file(void* lame , const char* fname , lame_scan_result* pResult); EXTERN_C long lame_scan_mem(void* lame , uint8_t* data , uint32_t size , lame_scan_result* pResult); EXTERN_C long lame_scan_file_with_callback(void* lame , const char* fname , lame_callback cb , void* user_data); EXTERN_C long lame_scan_mem_with_callback(void* lame , uint8_t* data , uint32_t size , lame_callback cb , void* user_data); EXTERN_C long lame_get_version(lame_info* info); EXTERN_C long lame_get_licence_info(rx_licence_info* info); JAVA public interface ScanFeedback { public abstract long DtEnterFile(String file_name, long depth, Object usr_data); public abstract void DtLeaveFile(String file_name, long depth, Object usr_data, long l); public abstract long DtAlarm(String file_name, ScanResult sr, Object usr_data); } public class Lame extends RavEngine { public long OpenVdb(String vdbf); public void CloseVdb(); public boolean Load(long lib); public boolean Set(String param); public void Unload(); public LicenceInfo GetLicence(); public LameInfo GetVersion(); public ScanResult ScanFile(String fname); public ScanResult ScanMem(byte [] data); public boolean ScanFileWithCallback(String fname,ScanFeedback cb, Object usrdata); public boolean ScanMemWithCallback(byte [] data,ScanFeedback cb, Object usrdata); } Python class LameBase: def SetParam(self, param) def SetParameter(self, param) def Load(self, vdb_object) def GetVersion(self) def GetLicense(self) def Unload(self) class Lame(LameBase): def ScanFile(self,fname) def ScanMem(self, data) def Clone(self) class LameWithFeedback(LameBase): def SetCallack(self, enter_file, leave_file, alram) def ScanFile(self, fname) def ScanMem(self, data) def Clone(self) dotNet public class Lame : LameBase { public LameScanResult ScanFile(string sFile); public LameScanResult ScanMem(byte[] bytes); public object Clone(); } public delegate void ScanInternalFileEvent(string fname, LameScanResult result); public class LameWithEvent : LameBase { public void ScanFile(string sFile); public void ScanMem(byte[] bytes); private void ScanInternalFile(string fname, IntPtr resp, IntPtr zero); public object Clone(); private LameScanResult FetchResult(IntPtr resp); } public class VirusLib { public bool lame_open_vdb(string vdbf); public void lame_close_vdb(); public IntPtr vdb_handle; } Nodejs lame.prototype.GetVersionInfo(); lame.prototype.GetLicenceInfo(); lame.prototype.OpenVdb(vlib); lame.prototype.CloseVdb(); lame.prototype.ExtractFile(filename, password, enter_file, leave_file, userdata); lame.prototype.Extract_GetSize(handle); lame.prototype.Extract_Seek(handle, offset, method); lame.prototype.Extract_Tell(handle); lame.prototype.Extract_Read(handle, size); lame.prototype.Load(); lame.prototype.SetParameters(param); lame.prototype.Unload(); lame.prototype.ScanFile(path); lame.prototype.ScanMem(data, size); lame.prototype.ScanFileWithCallback(path, enter_file, leave_file, alarm, userdata); lame.prototype.ScanMemWithCallback(data, size, enter_file, leave_file, alarm, userdata); go func (this *Lame) OpenVdb(vlib string) uintptr func (this *Lame) CloseVdb() func (this *Lame) Create(vdb uintptr) uintptr func (this *Lame) Destory() func (this *Lame) Init() bool func (this *Lame) SetParam(param string) bool func (this *Lame) ScanFile(path string) *DetectResult func (this *Lame) ScanMem(data [] byte, size int) *DetectResult func (this *Lame) ScanFileWithCallback(path string, cb ScanCallBack, userdata interface{}) bool func (this *Lame) ScanMemWithCallback(data [] byte, size int, cb ScanCallBack, userdata interface{}) bool func (this *Lame) GetVersion() *LameVersion func (this *Lame) GetLicenceInfo() *LicenceInfo func (this *Lame) ExtractFile(filename string, password string, cb ExtractCallBack, userdata interface{}) bool func (this *Lame) Extract_GetSize(handle uintptr) int func (this *Lame) Extract_Seek(handle uintptr, offset int, method int32) bool func (this *Lame) Extract_Tell(handle uintptr) int32 func (this *Lame) Extract_Read(handle uintptr, buf [] byte, size uint32) uint32 php class Lame { function open_vdb($vlib_path = ""); function create(); function release(&$handle); function close_vdb(&$vdb); function set_parameter($param); function load(); function unload(); function scan($filename); function scan_with_callback($filename, $enter_file, $leave_file, $alarm, &$user_data); function scan_memory($contents); function scan_memory_with_callback($contents, $enter_file, $leave_file, $alarm, &$user_data); function extract_file($filename, $enter_file, $leave_file, &$user_data); function extract_get_size($handle); function extract_seek($handle, $offset, $method); function extract_tell($handle); function extract_read($handle, $size); function get_version(); function get_licence_info(); } 引擎优势丰富全面的平台支持

纯C++实现，无任何内联汇编，几乎可在Windows及所有符合Posix标准操作系统和CPU上编译运行。已经稳定应用于：

Windows + x86/x64 Linux + x86/x64 Linux + MIPS 32/64 + 大小字节序 Linux + ARM 32/64 Unix + PowerPC 国产操作系统（Linux家族） + 国产CPU（x86/MIPS）强劲的文件深度分析/提取/解码能力

支持多种压缩包、自解压包、符合文档、媒体文件、加密脚本等。

支持的压缩包（自解压包） 7z ace arc arj bz2 cab cabset gz/gzip lha paquet rar rar5 sea tar xz zip apk jar zipx zoo OLE 支持的安装包: Instyler NSIS Inno(all version) SFactory SmartInstaller Wise Installer SIS,塞班（Symbian)系统软件安装包 deb,Debian系Linux的软件安装包支持的电子邮件和邮箱文件 EML/MSG, 基于文本的电子邮件存档 MSO, 基于微软复合文档的电子邮件存档 FixMail Mailbox（低版本） Outlook 4/5 Mailbox Outlook 2003+ (.pst) Netscape 支持的文档/多媒体文件

提取文档中嵌入的其它资源，如：宏、脚本、可执行程序等

Open Office XML .xml,.odp,*.odt,*ods Microsoft Office Binary(v2003-), *.doc, *.xls, *.ppt, ... Microsoft Office XML(v2003+), .docx ,.docm, .xlsx,.xlsm,*.xlsb .pptx,.pptm, ... Adobe PDF, 包括 .pdf 和基于XML的 .xdp Flash SWF, 支持 defalte 和 lzma 两种压缩算法（提取SWF中嵌入的PE文件） CHM，Windows帮助文件 RTF 支持的磁盘/镜像/文件系统

提取磁盘内的分区以及分区内存放的文件。

虚拟化磁盘 VMDK（vmware) VHD（microsoft） QCOW（kvm/quemu）目前均未支持快照 MBR/GPT分区表的磁盘镜像 NTFS文件系统 DMG,MacOS下的磁盘镜像文件 CramFS,专门针对闪存设计的只读压缩的文件系统 CPIO,由linux cpio命令创建的归档文件 ISO 支持的脚本发布包： AutoIt QuickBatch Gentee 易语言(老版本) 支持的其他文件类型： VBE/JSE：微软的加密VBS脚本 HTML Data URI UUE FAS, AutoCAD脚本快速加载文件 Windows PE，提取资源中的文件丰富的脱壳能力针对Windows PE文件: acprotect, armadillo, aspack, aspr, bitarts, crypt, dbpe, enigma, execrypt, exeshield, expressor, orien, packman, pcguard, pearmor, pec2, pespin, petite, pex, pklite, rlpack, svkp, upx, yoda, molebox, ahpack, cexe, depack, exe32pack, exefog, ezip, FSG, himeys, krypton, mew, nakepack, npack, nprotect, nspack, NTkrnl, obsidium, pcshrinker, pecrypt, pep, pedinisher, pelocknt, pestil, polycrypt, punisher, sdprotect, slvcodeprotector, themida, vprotect, yzpack, pe-ninja 针对Linux ELF文件： upx (all targets，实验性质）全面的模拟执行能力（反病毒虚拟机）

MS-DOS + BIOS + 8086 模拟器该模拟器用于虚拟执行 MBR，DOS-COM，DOS-EXE等古老的程序。

x86平台32/64位混合式Windows模拟器该模拟器用于应对现代恶意软件，支持32位和64位程序。同时还支持以32位方式执行64位程序，或以64位方式执行32位程序，来应对一些极端情况。

JavaScript沙盒用于虚拟执行JScript/JavaScript。

丰富多样、针对性强的恶意软件识别技术简单特征码匹配技术采用逻辑位置 + 偏移 + 特征串的方式识别病毒。词法分析技术针对VBS/JS/PHP/JAVA/C等文本文件进行词法分析后，在语义层面对恶意脚本进行识别。自定义查杀毒逻辑分析员通过编写查杀病毒的代码，可查杀超级复杂的数量极大的感染型病毒恶意软件家族。模拟执行跟踪技术又称反病毒虚拟机，将目标文件（PE文件/JS脚本）在模拟器中执行，跟踪其执行时执行的指令、修改的内存、调用的函数、产生的副作用，记录日志，同时驱动特征码匹配、自定义查杀毒逻辑。智能特征码匹配技术一种MPM全文搜索技术，类似正则表达式的病毒特征描述方式但在恶意软件识别上扩充了很多特殊的能力，适用于内容匹配和模式匹配。多维度（内容平面）交叉判定技术将文件通过不同的处理方式，分离成不同维度的内容平面，并在这些内容平面中进行特征匹配，通过不同平面中特征匹配情况来综合判定目标文件是否为恶意软件。例如：敏感函数名在原始内容中无法被匹配到，但在模拟执行后的函数调用日志中存在，可以推断出该敏感函数被人为加密或隐藏了，这便是一种恶意软件的逻辑特征。图像匹配技术该技术专门针对“图标诱导”类的WinPE 恶意软件，例如，将自身的程序图标设置为MsOffice/PDF等文档图标来诱导用户双击执行的恶意软件。代码基因技术针对不同类型的文件，提取这些文件的主干（框架）内容，并计算其指纹（我们称为代码基因），其可用于对抗轻微变型/混淆的恶意程序、恶意脚本、恶意宏。该技术支持机器自动化处理，无需人工提取，效率极高。关键内容检验技术针对 Windows PE 文件（包含dotNet）,划定约15个关键内容区域，对这些区域按照特定算法计算指纹，并匹配恶意指纹库。该技术支持机器自动化处理，无需人工提取，效率高。数字签名校验及匹配技术将目标文件的数字签名同已经收录的恶意数字签名进行比对。简单哈希匹配技术文件尺寸＋文件内容哈希值。 YARA技术融合了准行业标准恶意软件表述语言。人工智能技术针对WinPE文件和Flash文件的人工智能恶意软件识别技术——RDM+。RDM+是瑞星自主研发的人工智能引擎，目前以“云脑”和“嵌入”两种形式存在于反病毒引擎中。“云脑”模式拥有庞大的预测模型、极快的误报处置速度、客户端无感的周期性更新，其预测过程融入在传统云引擎交互过程中，为使用者带来巨大的“零日”恶意软件识别能力的提升。“嵌入”模式则采用更为小尺寸的模型，以实现客户端部署，它为引擎提供无网络环境下的基于人工智能的恶意软件识别能力，由于模型较小，其在误报概率上会略微高于“云脑”模式。丰富的文件格式识别能力 BOOT ： MBR引导扇区 MZ ： DOS可执行程序(exe) PE ： Windows可执行程序 DEX ：安卓应用主程序 ZIP ： ZIP压缩包 CAB ： Microsoft制订的压缩包格式 ARJ ： ARJ压缩包 RAR ： RAR压缩包 RAR5 ： RAR 5.0 压缩包 ARC ： ARC压缩包 ZOO ： Unix系统中使用旧的压缩格式 LZH ：用LHARC压缩的文件 TAR ： UNIX合并文件 GZIP ： gz 压缩包 UUE ： UUE 编码文件 ACE ： Ace 压缩档案格式 BZ2 ： BZ2 压缩包 CHM ： Windows帮助文件（经过编译打包的HTML文件集合） 7Z ： 7Zip 压缩包 XZ ： XZ 压缩包 SIS ：塞班系统的软件安装包 APK ：安卓应用发布包 IPA ：苹果IOS软件发布包 ZIPEXE ： ZIP 自解压包 CABEXE ： CAB 自解压包 ARJEXE ： ARJ 自解压包 RAREXE ： RAR 自解压包 RAR5EXE ： RAR5 自解压包 ARCEXE ： ARC 自解压包 ZOOEXE ： ZOO 自解压包 LZHEXE ： LZH 自解压包 ZIPNE ： ZIP 自解压包 ZIPPE ： ZIP 自解压包 ACEEXE ： ACE 自解压包 NSIS ： NSIS 安装包 INNO ： INNO安装包（InnoSetup） 7ZEXE ： 7Zip自解压包 CABSETEXE ： CABSET自解压包 SEAEXE ： SEA 自解压包 WISE ： WISE安装包 WISEA ： WISE安装包 AUTOIT ： AUTOIT脚本编译后的可执行文件 ELANG ：易语言编译的程序 GENTEE ： GENTEE脚本编译后的程序 PAQUET ： PaquetBuilder产生的安装包 INSTYLER ： instyler SmartSetup制作的安装包 SFACTORY ： Setup Factory制作的安装包 QUICKBATCH QuickBatch制作的可执行程序 DOC ： Microsoft Windows复合文档 MDB ： Microsoft Access数据库 HTA ： Windows HTML Application文件 REG ： Windows注册表文件 VBSENC ： Windows加密VBScript文件 JSENC ： Windows加密JScript文件 XOFFICE ： Microsoft Office 2003+ 文档 JPEG ： JPEG/JPG图片文件 SWF ： Flash 文件 SWC ： Flash 文件（带压缩的） PDF ： Adobe PDF文档 MP3 ： MP3 音频文件 LNK ： Windows 快捷方式文件 TTF ： True Type Font 字体文件 ELF ： Linux 可执行文件 CLASS ： Java 子节码文件 BMP ： Windows Bitmap位图文件 GIF ： GIF图片文件 PNG ： PNG图片文件 ICO ：图标文件 CDR ： CorelDraw 产生的文件 MIDI ： MIDI音频文件 MPEG ： MPEG视频文件 HLP ： Windows帮助文件 WPG ： Word Perfect产生的矢量图文件 CPT ： FineReport产生的报表文件 ISU ：安装程序产生的文件 WBM ： Macromedia Fireworks File CAT ： Windows数字签名编录文件 MBX ： Microsoft Outlook保存电子邮件格式；Eudora邮箱 WAV ： Windows波形声形 WDL ：北京华康公司开发的一种电子读物文件格式 DBF ： dBASE文件 REALPLER ： RealPlayer媒体文件 RPM ： RedHat包管理器包（用于Linux） IDB ： MSDev中间层文件 PDB ： Windows调试符号文件 AU3SCRIPT ： AutoIt3 脚本 DOSCOM ： DOS COM文件 TEXT ：文本文件 VBS ： VBScript文件 HTML ：网页文件 BAT ：批处理文件 JS ： JScript文件 NS ： NSIS脚本文件 EML ：电子邮件文件 IRC ： IRC脚本 PERL ： Perl脚本 SHELL ： Bash shell脚本 VHD ：微软虚拟磁盘 VMDK ： VMWare虚拟磁盘 RTF ： RTF文档 PST ： Outlook 2003 + 邮箱文件 UCS16LE ： Unicode 16LE File OUTLOOKEX_V5 Outlook Express 5 邮箱文件 OUTLOOKEX_V4 Outlook Express 4 邮箱文件 FOXMAIL_V3 Foxmail 3 邮箱文件 NETSCAPE_V4 Netscape 4 邮箱文件 BASE64 ： Base64 编码后的PE文件 NWS ： Windows Live Mail的( WLM)创建新闻组的文件 MHT ：聚合HTML文档 MSG ：邮件 BOX ：邮箱文件 IND ：邮箱索引文件 JAR ： Java归档文件 NTFS ： NTFS文件系统 FAT ： FAT文件系统 LOTUSPIC ： Lotus使用的图片文件 VBVDI ： VirtualBox 虚拟磁盘 SQLITE ： SQLite 数据库文件 LIBA ： lib文件 TIFF ： TIFF图片文件 FAS ： AutoCAD FAS文件 LSP ： AutoCAD LSP文件 XDP ： XML表达的PDF文件 WSF ： XML表达的Windows脚本文件 EOT ： Embedded Open Type 字体文件 ASF ：高级串流媒体文件 RIFF ：资源互换文件格式（ResourcesInterchange FileFormat)，媒体文件 QTFF ： QuickTime媒体文件 TORRENT ： BT种子文件 WMF ： Windows WMF 图像文件 JSENC ：加密JS脚本 COM ： DOS-COM文件 INI ： Windows的系统配置文件 HTM ： HTML网页文件 PPT ： MsOffice PowerPoint幻灯片文件 PHP ： PHP网页文件 MACH_O ： MacOS可执行文件 FLV ： FLASH VIDEO 流媒体文件 IPA ：苹果IOS应用文件 SMARTINSTALLER Smart Installer制作的安装包文件 MSO ：微软ActiveMine文件 PS ： Microsoft Powershell 脚本文件 EPS ： Adobe PostScript 文件 WSF ：含有可扩展标记语言 (XML)代码的Windows 脚本文件 INF ：系统自动化脚本 MSCFB ： Microsoft Compound File Binary (CFB) ODF ： OpenOffice文件 OXML ： OpenOffice文件（xml) ISO ：符合ISO 9660标准的光盘镜像文件格式 DEB ： Linux软件包(debian) CPIO ： Linux文件包（cpio命令创建） CRAMFS ：专门针对闪存设计的只读压缩的文件系统

【本文地址】

公司简介

联系我们