是什么AV签名生成过程？

由于威胁形势的不断演变，签名创建和实时威胁保护也在不断变化；为了对抗这种情况，Palo Alto Networks 创建了一种双重方法AV使用标准签名的覆盖范围和ML-AV（机器学习防病毒软件）。

客户经常询问是否有特定文件的覆盖范围。第一步是搜索Threat Vault( https://threatvault.paloaltonetworks.com/ ).Threat Vault是一个面向客户的门户网站，显示 Palo Alto Networks 的所有覆盖范围。作为第一步，该工具对客户非常有用，因为它可以避免需要向支持部门开立案例来询问现成可用的信息。这加快了用户的研究时间。客户可以搜索无数指标，例如 CVE、IP地址、哈希值、签名ID、域、URL 和 IP。

关于文件哈希，需要记住的一点是帕洛阿尔托网络使用 SHA256，因此有时文件的 MD5 不会显示，但 SHA256 会显示。这很好，因为使用的是 SHA256。中的哈希值Threat Vault是用于创建或更新签名的一个或多个文件的哈希值。 它不是可以使用此签名检测到的所有文件的哈希列表。Palo Alto Networks 采用模式匹配检测方法，因此可以在多个文件中使用单个签名，如果恶意模式仍然存在，这就增加了必须为变体创建全新签名的问题。

签名创建过程Wildfire:

0.客户NGFW（下一代Firewall) 看到一个未知文件

1.文件触发器NGFW转发

2. 的NGFW将文件提交给WF(Wildfire ) 分析仪云

3. 对文件运行静态分析并可能进行动态分析。由于动态分析非常耗费资源，动态分析仅在以下情况下运行WF看到需要更深入分析的东西。如果文件被判定为恶意软件，它会转到第 4 步。

4. 的WF分析器云向AVsiggen（签名生成）系统。

5. 的AV系统处理消息，生成签名，然后将其存储在AV数据库。

签名交付：

1.. 接下来 5 分钟WFpackage -> signature 应自取并交付给客户

2.接下来的每一天AV包裹

3. 签名也流式传输到 RTSig（实时签名）云并可供查询/流式传输。

NOTE:

当文件被标记为恶意并且尚未为其创建签名时，写入到XML之后的文件WF分析器云将消息发送到AV信号系统。发生这种情况时，应打开一个支持案例，以便内容工程师可以通过 siggen 过程手动推送文件。

——

ML-AV （机器学习防病毒）

ML-AV 不使用签名。 它根据训练模型寻找行为的相似性。它允许NGFW要应用的数据平面ML到文件。 每个内联ML模型通过评估文件详细信息（包括解码器字段和模式）来动态检测特定类型的恶意文件，以制定文件的高概率分类。为了跟上威胁形势的最新变化，内联ML通过内容发布添加或更新模型。

中间转移一个开箱AV将进行缓存和 RTSig 云查找以查找经过训练的模型的模式匹配。一经发现，交通将被封锁。

ML-AV 不能替代Wildfire签名，而是对它的补充。