Последнее китайское. Завязываем.

Нет, не может. Этот термин просто не означает это.

А научные статьи с такими достижениями, патенты можно почитать? Факты подтверждающие 95% где?
Без всяких наездов, интересно на каких принципах это работает, кроме случайного леса, градиентного бустинга.
Про Zero-day без комментариев

Я люблю спорить про термины. 0day это свежий релиз на Варезе )

Называть новый  пейлоад/малвар 0деем, не видел что б так делали. Обычно под 0деем понимается именно уязвимость. Далее приставки, 0day exploit  - эксплойт для 0дэй уязвимости. Файл с триггером (допустим уязвимость в парсере этого файла) и пейлодом (stager shellcode обычно) - файл с 0дей эксплойтом для софта икс

Не oscp,  конечно я, но пейлоды редко называют 0деем, в этом нет смысла

А вот иногда ещё говорят "0дей техника" - это про новую технику в эксплуатации, или иные доп методы помогающие атакующему при эксплуатации доселе не документированные и не известные.

Думаю про программы и файлы это с русской вики

Что конечно не коррелирует с инглиш версией

выше присылал ссылку на видео с моим рассказом. inline ML использует готовые модели, которые приходят от исследовательской лаборатории. Результат 95% получился в результате теста - неизвестные ранее виды вредоносного кода были проверены ML и обычными песочницами. Получилось, что 95% семплов обнаруживали используемые в NGFW модели прямо на лету, что важно для протоколов, где файлы нельзя задерживать: SMB, FTP, POP3, IMAP. И за 100% принимался весь вредоносный код который обнаружили песочницы, в которые отправлялись файлы на проверку (параллельно с работой ML-антивируса), но они уже сказали результат постфактум.
В документации написано так: The WildFire inline ML option present in the Antivirus profile enables the firewall data plane to apply machine learning on PE (portable executable) files and PowerShell scripts in real-time. This layer of antivirus protection complements the WildFire-based signatures to provide extended coverage for files of which signatures do not already exist. Each inline ML model dynamically detects malicious files of a specific type by evaluating file details, including decoder fields and patterns, to formulate a high probability classification of a file.
Публичных статей в нашем исполнении я не нашел подробных. Есть краткое описание тут https://www.paloaltonetworks.com/resources/techbriefs/inline-machine-learning Самое подробное и более научное что я видел было у Касперского - https://media.kaspersky.com/en/enterprise-security/Kaspersky-Lab-Whitepaper-Machine-Learning.pdf Плюс они же на PHDays сами рассказывали как обходить ML антивирусы.

Спасибо

Дьявол, как всегда, кроется в деталях :)

ну если набрать в google фразу zero-day malware, то находится 9 миллионов страниц 😉 так что все термины в ИБ существуют: zero-day exploit, zero-day malware, zero-day vulnerability and so on

знаешь, я пришел к выводу, что дьявол часто кроется в наличии доступа к google ) там все вроде написано, но проверить свою гипотезу там многие все-таки ленятся )

Да что же вас не остановить то никак!
Нельзя использовать 0-day вне контекста уязвимостей. 0-day exploit это эксплоит на 0-day уязвимость. 0day malware это какая херь, ну можно притянуть за уши, что там в тушке эксплуатация 0day уязвимости. Но не более. Все остальное это путать всех и вводить в заблуждение

Про Гугл

Я остановил.
1. Экспертности - 0
2. Подтверждения слов (кроме гугла) - 0
3. Маркетинг, маркетинг, маркетинг
4. Токсичность.

Тяжело вести дискуссию когда на технический вопрос тебе прилетает маркетинговый ответ.
За 3 дня стало понятно что человеку ничего не доказать и не объяснить.

Кратко итог 3-х дневной презентации от представителя палоальто:
1. ML есть, где, какой, чем подтверждена эффективность - не покажем
2. В презентации на английском написано совсем не то, что русскоязычный офис пытается нести в массы.
3. CISP не знает (или умышленно вводит в заблуждение) в терминологии 0-day.