Symantec Endpoint Protection
如何使用高级计算机学习?

高级计算机学习的工作原理
高级计算机学习 (Advanced Machine Learning, AML) 引擎通过学习过程确定文件的好坏。Symantec 安全响应中心将训练该引擎识别恶意属性并定义 AML 引擎用于进行检测的规则。Symantec 在实验室环境中使用以下过程训练和测试 AML 引擎:
  • LiveUpdate 将 AML 模型下载到客户端并运行几天。
  • AML 引擎了解客户端运行哪些应用程序并通过客户端的遥测数据进行利用。每台客户端计算机都是 Global Intelligence Network 的一部分,该网络将模型相关信息返回给 Symantec。
  • Symantec 根据自身对客户端遥测数据的了解调整 AML 模型。
  • Symantec 将 AML 模型修改为禁止漏洞利用通常攻击的应用程序。
AML 是静态数据扫描程序 (Static Data Scanner, SDS) 引擎的一部分。SDS 引擎包括模拟器、智能威胁云服务 (Intelligent Threat Cloud Service, ITCS) 和 CoreDef-3 定义引擎。
Symantec Endpoint Protection
将高级计算机学些用于下载智能分析、SONAR 以及病毒和间谍软件扫中,所有这些均使用智能扫描查询来检测威胁。
AML 如何使用云?
Symantec 利用智能威胁云服务 (Intelligent Threat Cloud Service, ITCS) 确认 AML 在客户端计算机上进行的检测正确。有时,在与 ITCS 核实之后,AML 可能会扭转这种信念。尽管 AML 引擎不需要 Symantec Insight,但此反馈使 Symantec 能够训练 AML 算法,从而减少误报并增加正报。当计算机联机时,
Symantec Endpoint Protection
平均可以阻止 99% 的威胁
如何配置 AML?
您不能配置高级计算机学习。默认情况下,LiveUpdate 将下载 AML 定义。但是,您需要确保启用以下技术。
确保 AML 保护客户端计算机的步骤
任务
说明
步骤 1:确保已启用云查询可用性
AML 向 Symantec Insight 提交的查询称为信誉查询、云查询或智能扫描查询。如果启用了智能扫描查询,则针对 SONAR 以及病毒和间谍软件扫描进行的 AML 检测会降低误报率。
要验证是否已启用智能扫描查询,请参见:
此外,确保已启用客户端提交。这些信息有助于 Symantec 衡量和提高检测技术效能。
步骤 2:确保已启用 Bloodhound 检测
将 Bloodhound 检测级别设置为自动或主动。
当 AML 引擎遇到某些高风险文件时,客户端会自动启用更加主动的扫描。
启用主动扫描模式时:
  • 扫描将重新启动。
  • 客户端会出现以下通知:
    运行主动扫描,以使用 Insight 查询来清理您的计算机。
在主动模式下,您可能需要进一步管理误报。
步骤 3:确保 LiveUpdate 下载高强度定义 (14.0.1)(可选)
LiveUpdate 始终下载 AML 内容。
自 14.0.1 起,LiveUpdate 将下载一组更加主动的定义,这适用于从云获取的低带宽策略。您可以禁止通过 LiveUpdate 下载 AML 内容。
从 LiveUpdate 到
Symantec Endpoint Protection Manager
Symantec Endpoint Protection Manager
到 Windows 客户端:
步骤 4:处理误报
高级计算机学习疑难解答
对于其他 SDS 引擎,高级计算机学习检测日志和报告相同。要查看包含最新威胁的报告,请针对“
网络中检测到的新风险
”运行风险报告。
自 14.0.1 起,您可以针对 AML 检测运行调度报告。在“
报告
”页面上,单击“
调度报告
”>“
添加
”>“
计算机状态
”>“
高级计算机学习 (静态) 内容分发
”。必须在云控制台中注册
Symantec Endpoint Protection Manager
域,才会显示报告。