云，查杀率－再说对安全软件理解

土豆丝

现在我开始强调查杀率，跟论坛鄙视查杀率的主流风气是相反的。其实早在N年前，我就鄙视查杀率，那时候绝大部分人还在迷信杀毒软件和查杀率指标，那时候我也是跟绝大部分人相反的。用查杀率说事的一个次要原因是，论坛上口水太多，而量化是避免口水纠缠不清的最好方法。主要原因是查杀率在不同时代阶段，有不同的意义，时代已经变了。

从80年代出现杀毒软件后的近20年里，特征码杀毒一直是主要甚至是唯一的查毒和安全防护手段。出现病毒传播，安全公司收集病毒，找出特征码加入病毒库。这样的模式从根本上就注定了杀毒软件是“被动”的，只能跟在病毒屁股后面，所谓生病后吃药。
这个阶段的查杀率，其实是已知病毒入库率。收入病毒库的自然能查，没收入的就不能查。对未知的新病毒完全没有防护能力。所以这个阶段鄙视查杀率甚至鄙视杀毒软件都是应该的。


然后随着Windows内核技术的普及，出现了“主动”防御。我猜这个主动应该是相对特征码的被动方式来说的。其实就是行为监控。一般称之为Host-based Intrusion Prevention System，基于主机的入侵防护系统。对行为监控的模式，可以防护未知病毒，第一次扭转了安全软件的被动。但HIPS也不能做到绝对安全，因为本质上安全软件和病毒木马都是平等的程序代码，你可以针对我，我可以针对你。非智能的HIPS一般人根本看不懂，学习使用成本太高。


进入全新的云查杀时代。可以说是安全软件的颠覆性革命性变化。虽然大部分处在时代里的人并没有意识到。
云查杀第一次将杀毒软件在明，病毒在暗的形势彻底扭转了。不管是特征码式，启发式还是HIPS，只要放在了本地（用户电脑），就可以被病毒制造者分析，针对。而云查杀，查毒程序放在安全公司的服务器里，外人谁也不知道具体技术，也无法拿到程序进行逆向分析。

云查杀，可以采用包括特征码扫描，启发式扫描，HIPS等本地杀毒软件的技术，但不局限于这些技术。在用户电脑上不能做的，比如说将病毒程序真实的执行一遍，比如说用虚拟机运行一遍，但是这些在云服务器上毫无限制，可以说云服务器端，是为所欲为的，技术手段是无限的。云引擎代表的是各种综合技术。

所以云时代云引擎的查杀率，已经完全不同于特征码时代的查杀率，也不同于现在的本地杀毒软件的查杀率。这就是为什么在扫描测试区的每日测试里，金山和360的云查杀率遥遥领先于那些本地杀毒软件的查杀率。

我相信过不了多久，云查杀会成为各大安全软件的标配。
云查杀和HIPS相互配合，才能达到最有效的安全防护。注意是最有效，而不是绝对安全。绝对安全是做不到的。

bbs2811125

最后一句话我喜欢~

lhhsaga

其实只有最后一句，才是真正的诠释

nezimi

我猜云可以做到分析某些网站测试的样本---经常由什么地方最先上传到云服务器。那么下次就可以有针对性的优先处理这些地方的样本...以提高局部查杀率。当然，不管是不是这样云都是一种进步

留侯

无论是否引进云安全技术，查杀率，其80%以上始终是建立在传统的反病毒数据库的技术上的，不到20%才是建立在启发式扫描的基础上的。

使用云安全技术，或许开始的时候，启发式扫描会增加查杀率，但是最终，还是会以特征码的形式出现，所以我们暂时还不能离开反病毒数据库，这是最大的基石。

引进云安全技术有几个好处：

一个是增加启发式扫描的查杀率，比如说现在的不到10%，会增加到接近20%，甚至更多；

二是可以提高反病毒厂商对于引擎的研发，这一点卡巴斯基和小红伞就是一个非常成功的例子，我想这个案例可以复制到其他的反病毒软件厂商来；

最重要是，也是目前大家所期盼的，就是大大地缩短新型病毒的传播时间，和极大地减少受病毒感染的系统。也就是说，本来一个新型病毒从研发到被侦测，再到列入反病毒数据库，或许要10个小时以上，使用云安全技术，可以缩小到4小时，甚至连4小时都不到；这就大大地减少了用户受感染的几率，本来或许会感染100万，使用云安全技术，或许会减少到20万，甚至更少。

云安全技术，目前才是刚刚处于发展的初级阶段，以后或许会出现楼主所说的情况。但是就目前而言，云安全技术，还是无法代替反病毒引擎的启发式扫描和特征码扫描的，它只是一个辅助的工具，就像沙盘一样。

柯林

回复 1楼 土豆丝  的帖子
认同楼主的分析，但是，云查杀是否做到了楼主所说的特征码+行为+模拟分析？俺只能说，云杀毒才刚起步，任重道远。

对于最后一句结论，个人持不同意见。那是理论上的说法，实际当中，很多时候其实已经做到了事实上的百分百——最简单的实际例子，某些人就用款杀软，几年都不中毒。宣称病毒无所不在、无所不能，只能当作一种宣传和夸大以及善意的提醒——安全意识很重要。

理论跟实际的关系，好比现实中的平安保险——理论上没有谁有绝对的安全，但是事实上发生意外事故的有几人，大部分人还不是无灾无难活到老死？也如同医学上——没有谁绝对安全，但是真正得绝症的是少数。
现实中的例子——还没有一款真正能过著名HIPS的实际病毒，虽然理论上可以过，虽然某些安软公司的牛人有能力针对系统内核漏洞编写过所有安全软件的病毒——事实上没有一家安软公司的技术牛人下作到如此地步，所以那些威胁只停留于嘴上，实际当中一个都没有。
   

土豆丝

我认为云查杀已经是金山和360的关键部分，核心竞争力，不是辅助。查杀率高20％，如果是一两年保持这个优势，那足以垄断市场。云查杀不能完全代替本地扫描，主要是所有文件上传那是不可能的也没必要，如果以后网络速度达到上G，那倒有可能。不用哪个替代哪个。现在白名单＋本地扫描＋云查杀是较低成本达到最高效果的方式。

寒山竹语

云查杀不是王道，未来是云防御的时代。
都防御住了，还在本地杀来杀去作甚？
目前金山，360的体现是在本地很高的云查杀率。没什么太多的实际用处。未来，不用本地数据的。

easybeing

查杀率是基础，hips可以加强防护，我的观点

土豆丝

回复 6楼 柯林  的帖子
云查杀做到什么程度，只有安全公司自己才知道了，外人只能根据查杀率比较，所以说云查杀让明暗颠倒了。
是有人长年不生病。也很少人亲眼看到交通事故，更别说亲历交通事故。但是每天医院都是人来人往的。全球每天交通事故死亡几千人，这只是死亡的统计，而伤人的交通事故更是不计其数了。
我知道的是HIPS没什么难过的，只要进入了内核，大家就是平等的，想怎么搞都可以。但HIPS更大的问题是普及难，使用成本高。