求科普：小a的病毒定义版本和流式更新是什么关系

碧水金江

小a的病毒定义版本和流式更新（收到的最新更新）是什么关系?  病毒定义版本还是昨天的，收到的最新更新是刚才的，病毒库到底有没有收到最新更新，还是说只是和服务器连接了一下表示连接畅通。

abc531005

avast主打的就是云安全，所以只要正常连接到服务器就可以了，本地更新 把它看成本地病毒库备份即可。

猪头无双

流式更新相当于云端毒库，实时更新，病毒库更新就是日常更新。这和卡巴的病毒库+KSN是一个道理

碧水金江

猪头无双 发表于 2017-4-4 16:02
流式更新相当于云端毒库，实时更新，病毒库更新就是日常更新。这和卡巴的病毒库+KSN是一个道理

哦哦，感谢解答

ShirahimeKanata

碧水金江 发表于 2017-4-4 16:43
哦哦，感谢解答

楼上的说错了，流式更新恰恰是不认可云病毒库的方式，一条新出的病毒定义会立刻从云推送到本地病毒库，覆盖在正式更新上

而不是一个新出的病毒定义放在云上的云病毒库，杀软联网扫描，然后等正式更新才包含新的定义

病毒定义版本的更新是所有杀软都有的传统更新，传统更新会在累积相当多的定义时候才会推送

AVAST 是传统更新的基础上+流式更新的定义数据堆积

流式更新的范围是“病毒定义版本的时间”到“收到的最新更新的时间”内的病毒定义，然后下一个正式更新会包含这次的流式更新的定义

小a的云是信誉云，是拉黑文件的，是还未提取特征码时候的FileRepMalware报法，如果有了一条病毒定义会立刻通过流式更新推送到本地病毒库，病毒定义数量累积到一定程度时推送正式更新

然后小a并不特别依赖云，不属于云杀软，但是IDP和DS的确需要信誉云的数据来判断可疑评分

另外诺顿/卡巴/ESET什么的你能见到信誉的用户界面，看到文件信誉信息，而小a的信誉完全是内部机制，只有信誉杀时能见到

KSN是信誉云吧，卡巴的UDS相当于小a的FileRepMalware报法，未提取特征码时候的

碧水金江

ShirahimeKanata 发表于 2017-4-4 17:30
楼上的说错了，流式更新恰恰是不认可云病毒库的方式，一条新出的病毒定义会立刻从云推送到本地病毒库， ...

感谢感谢，又学到不少东西

pal家族

ShirahimeKanata 发表于 2017-4-4 17:30
楼上的说错了，流式更新恰恰是不认可云病毒库的方式，一条新出的病毒定义会立刻从云推送到本地病毒库， ...

ksn内容物与信誉有关，包含但是远大于信誉云。更多的情况下下，是确定病毒的情况下，无关乎文件信誉（文件出处，使用广度等），在特征推送之前的紧急检测系统，即是UDS。
目前，UDS也已经远不止md5拉黑的紧急检测了。很早之前就有端倪，采用云特征库了。
可以说。ksn很多年以前出来时就不仅仅是用来报毒，拉黑的一个系统。。。。而是对卡巴斯基收集到的所有文件的数据库，杀毒真的只是副业。
详见KL的whitelist网站、

ShirahimeKanata

pal家族 发表于 2017-4-4 17:54
ksn内容物与信誉有关，包含但是远大于信誉云。更多的情况下下，是确定病毒的情况下，无关乎文件信誉 ...

“KSN可以用于白名单，程序信誉分组，uds（紧急检测系统），网页信誉。”

相当于FileRep？小a收集到的所有文件的数据库，白名单，非白即黑的加强模式依赖FileRep白名单，机器学习分类器，新威胁云端自动分析判断后的FileRepMalware报法，IDP和DS都依赖FileRep的信誉信息，小a还有域名信誉

未查询到信息也是个信誉信息，未查询到信誉会触发DS，加强模式则直接拦截

pal家族

ShirahimeKanata 发表于 2017-4-4 18:36
“KSN可以用于白名单，程序信誉分组，uds（紧急检测系统），网页信誉。”

相当于FileRep？小a收集到 ...

确实可以认为KSN文件信誉系统，用于杀毒的UDS是从KsN上获取信息的

PanzerVIIIMaus

小A比较特别，基于云的查询+流式更新（快速定义推送）+传统定义推送，不仅快而且稳妥降低了传统推送的工作量，也降低了意外断网就萎0-Day的可能性（流式更新平均不到两分钟就有推送）