Division-36/Planck-99_PublicBenchmarks

# 为什么这很重要 — Planck-99 * Planck-99 是一个内核级恶意软件检测系统，可在以前无法运行安全软件的设备上实现实时威胁检测。 * 它将检测延迟从毫秒级降至纳秒级，并在约 37KB 的空间内运行，使其适用于 IoT、嵌入式系统和低资源环境。 * 这使得组织能够直接在设备上部署行为安全机制——消除对云分析的依赖，并将响应时间从数秒缩短至即时响应。 ## 问题 现代恶意软件检测并未在最重要的位置运行。 现有的解决方案： - 对于嵌入式 / IoT 系统而言过于庞大 - 对于实时检测而言过于缓慢 - 依赖长追踪或执行后分析 结果，大量设备在行为层面上没有有效的保护。 ## 解决方案 Planck-99 是一个基于 syscall 的恶意软件分类器，专为**实时、嵌入式环境**设计。 它的运行特点： - 约 30-70 纳秒的推理延迟 - 约 37 KB 的总系统占用 - 在推理时不依赖追踪长度 该模型直接在系统级别运行，并支持**持续行为监控**。 ## 独特之处 ### 1. 长度不变的检测 传统方法在处理较长的追踪时会退化或变慢。 Planck-99 使用**归一化的 syscall 频率比率**，使得检测： - 独立于追踪长度 - 在截然不同的执行规模下保持稳定 这使得泛化能力最高可达到**训练条件的 51 倍**。 ### 2. 实时内核级执行 该系统被实现为一个轻量级的 C 内核组件： - 确定性延迟（纳秒级） - 无运行时开销累积 - 适用于持续监控循环 这不是事后分析——这是**内联检测**。 ### 3. 嵌入式优先设计 Planck-99 专为 ML 通常会失效的环境而设计： - IoT 设备 - 低内存系统 - 没有加速器的边缘部署 总占用空间仅为几十 KB。 ### 4. 显式失效建模 该系统识别并考虑了其局限性： - 短追踪（<500 次 syscall）会产生不稳定的信号 - 门控机制可防止不可靠的分类 - 滑动窗口可确保随时间推移保持持续的准确性 这使得该系统**在生产环境中具有可预测性和可控性** ## 重要意义 Planck-99 将恶意软件检测从： - 繁重 → 轻量级 - 延迟 → 实时 - 依赖服务器 → 设备原生 这启用了一种全新的部署模式： 以前无法运行安全模型的设备现在可以： - 在本地检测威胁 - 即时响应 - 无需外部依赖即可运行 ## 最终成果 - 快数个数量级的推理速度（ns vs ms） - 极低的资源占用（KB vs MB/GB） - 跨数据集和时间的强大泛化能力 Planck-99 重新定义了恶意软件检测可以存在的位置——将其从云端转移到了设备本身。 这是恶意软件检测在存在位置和方式上的一次变革。 ## 状态 Planck-99 目前正在多个数据集（包括未见过的分布）上进行积极的测试和基准评估。 所有结果、基准测试和系统细节均在此存储库中公开可用。 ``` Intellectual Property Notice: Planck-99 is a proprietary technology developed by Ziad Salah under the Division-36 umbrella. All rights reserved. Commercial licensing and partnership inquiries: dariangosztafio@gmail.com ``` ## 总结 如果恶意软件检测要扩展到数十亿台设备， 它必须具备以下特点： - 轻量级 - 确定性 - 始终开启 Planck-99 是朝这个方向迈出的一步。

标签：Apex, Planck-99, 低功耗安全, 低资源环境, 内核级安全, 商业项目, 子域名枚举, 实时威胁检测, 嵌入式系统, 机器学习, 物联网安全, 端侧部署, 端点防护, 系统安全, 系统调用分析, 行为监控, 轻量级安全, 边缘计算安全, 零延迟检测, 频率比率归一化