Traductions:
Un antivirus écrit en Rust basé sur un moteur d'IA
🧪 Access training data · 📖 Read the technical doc · 💬 Request Feature
Owlyshield est un moteur d'antivirus open source écrit en Rust et basé sur de l'intelligence artificielle. L'analyse statique, telle qu'effectuée par les antivirus classiques, ne peut détecter que des menaces déjà connues, ce qui explique pourquoi les attaquants s'adaptent si rapidement et pourquoi les attaques par demandes de rançons se multiplient autant. Nous fournissons une IA d'analyse comportementale embarquée capable de détecter et de tuer les ransomwares dès le début de leur exécution.
Nous nous sommes efforcés de réaliser une application rapide, par l'utilisation du multithreading et d'algorithmes de machine learning comme les random forests qui sont rapides à calculer.
A SitinCloud 🇫🇷 nous sommes convaincus que les produits de cyber sécurité devraient être open source :
- En plus du code source nous fournissons un wiki complet et la documentation du code,
- Les produits open source peuvent être considérés comme des solutions souveraines car il n'y a pas de risque qu'une agence étrangère y introduise de backdoor cachée ni de fonction de surveillance de masse dont les utilisateurs pourraient ne pas avoir connaissance,
- Nous fournissons des points d'entrée spécifiques dans le code de sorte à faciliter l'interfaçage avec des solutions tierces (spécialement des SIEM et des EDR).
Nous publions régulièrement des installateurs (dans la section GitHub Releases). L'édition gratuite (édition communautaire) est entièrement fonctionnelle et protège efficacement votre système contre les ransomwares. Il n'est plus nécessaire de démarrer Windows en mode test-signing car nous fournissons désormais le driver signé dans l'édition communautaire.
Merci de consulter le Wiki pour les instructions d'utilisation ou si vous préférez construire le système vous-même. Les suggestions sont les bienvenues (consulter la section Contributing)
Merci de consulter les questions en cours pour accéder à la liste complète des fonctionnalités proposées et des problèmes connus.
L'édition professionnelle (édition commerciale) ajouté les fonctionnalités suivantes :
- Une application web qui collecte toutes les données des incidents afin d'aider le service informatique à comprendre l' étendue des attaques effectuées dans les réseaux de l'entreprise et à agir en conséquence (ou à classer la menace en tant que faux positif),
- Des interfaces avec vos outils de gestion des logs (nous fournissons même une API),
- Des tâches planifiées pour la mise à jour automatique de l'application.
Dans le cadre de l'utilisation de la version gratuite nous nouos efforcerons de trouver une solution pour chaque Issue que vous pourriez soulever dans GitHub.
Les problèmes soulevés par les personnes utilisatrices de la version commerciale ou par les distributeurs seront bien sûr traitées en priorité.
Bien que vous puissiez nous acheter directement les versions commerciales et les prestations associées, n'hésitez pas à nous contacter directement pour tout devis dont vous auriez besoin, nous pensons que nos produits devraient faire l'objet d'une distribution indirecte via des revendeurs.
Merci de nous contacter:
- Si vous souhaitez devenir partenaire distributeur ou si vous souhaitez utiliser nos produits dans le cadre d'une gestion de service managés de votre parc client (MSSP). Nous sommes tout à fait ouverts à ce type de partenariat.
- Si vous souhaitez intégrer Owlyshield en tant que module de votre propre système EDR ou XDR : Nous nous ferons un plaisir de vous adresser notre meilleure offre pour un service adapté à votre besoin.
- Si vous souhaitez protéger les serveurs critiques de votre entreprise contre des attaques spécialement écrites pour eux (comme des wipers progressifs) alors nous pouvons vous présenter notre nouveau moteur de détection des comportements nouveaux basé sur des outils d'IA de type auto-encodeurs (Owlyshield édition entreprise)
- Pour toute question ou présentation de nos solutions.
- Un minifilter (un driver du système de fichier) intercepte les requêtes d'E/S disques (IRPs) pour collecter des meta data sur ce qui se passe sur les disques (DriverMsg dans les sources),
- Owlyshield-predict utilise les DriverMsgs précemment créés pour calculer des caractéristiques soumises à un réseau de neurones adapté au travail sur des séquences. Le système effectue une analyse comportementale mais aussi une analyse statique.
- Si le réseau de neuronnes prédit un malware, owlyshield-predict demande au minifilter de tuer les processus malicieux et envoie un rapport très détaillé sur ce qui s'est passé à votre SIEM (et/ou un fichier local).
Le modèle a été entraîné avec des malwares du monde réel collectés dans divers endroits de l'internet (partage avec des chercheurs, dark web, analyse de milliers de téléchargements avec virustotal)
Nous les avons exécutés sur des machines virtuelles Windows avec Owlyshield fonctionnant dans un mode spécifique de
collecte (--features record) pour enregistrer les IRPs.
Puis Owlyshield-predict avec --features replay a été utilisé pour écrire les datasets d'apprentissage (un fichier
csv).
Le dépôt Malwares-ML est l'endroit où nous partageons certains de ces datasets.
Les participants au projet bénéficient s'ils le souhaitent d'un droit d'utilisation gratuit de la version professionnelle.
Si vous découvrez un ransomware non détecté merci d'ouvrir une issue avec le tag "undetected". Celà nous aidera à améliorer le moteur d'IA et à comprendre quelle astuce les attaquants ont mise en œuvre pour échapper à la détection.
Si vous avez une suggestion pour améliorer le système, n'hésitez pas à "forker" le dépôt et à créer une "pull request". Vous pouvez aussi simplement ouvrir une issue avec le tag "enhancement". N'oubliez pas s'il vous plaît de donner une ⭐ au projet ! Merci encore !
- Forker le projet
- Créez votre branche fonctionnelle (
git checkout -b feature/AmazingFeature) - Committez vos modifications (
git commit -m 'Add some AmazingFeature') - Push to the Branch (
git push origin feature/AmazingFeature) - Ouvrez une Pull Request
Distribué sous la licence EUPL v1.2. Cf. LICENSE.txt pour plus d'information.
Damien LESCOS - @DamienLescos
Lien du projet : https://github.com/SitinCloud/Owlyshield/ Lien de la société : SitinCloud