2012 的雲，要不要放棄 "自動分析為safe" 的機制？

a256886572008

tiejun 发表于 2011-6-27 19:41
安全的不会拦截，将恶意程序误判为安全，这是一种错判。和其他杀毒软件对病毒的漏报结果一样，我想，没有任 ...

我剛剛運行病毒，主防真的不攔截

WeeVee

tiejun 发表于 2011-6-27 19:41
安全的不会拦截，将恶意程序误判为安全，这是一种错判。和其他杀毒软件对病毒的漏报结果一样，我想，没有任 ...

其它杀软漏报的话是“没有发现威胁”
金山直接鉴定为“安全”有点不妥。机器鉴定不出来应该报“没有发现威胁”，人工决定“安全”，才合理啊

jefffire

以前一直有人说，金山的云响应快，快就快在这里了：对安全文件的定义不严格，不经过人工识别就入白名单，当然速度快了。
结果就是很多误加白，连带主防一起哑火。

a256886572008

tiejun 发表于 2011-6-27 19:41
安全的不会拦截，将恶意程序误判为安全，这是一种错判。和其他杀毒软件对病毒的漏报结果一样，我想，没有任 ...

我記得上次漏報，也是 這類 字母圖標 的病毒。

qwe12301

对于安全文件，并非是绝对的安全。在客户端用户只能看到，“安全”的结论
实际上白名单也存在分级制，一个是人工的绝对白名单，另一个则是待定 的机器分析的“无明显威胁”白名单，会定期检验这部分的文件
当然，会使用另外的鉴别机制回扫这些文件。
不过这个东西一旦误判安全，即使差了几天修正回来，后果还是不堪设想的。
至于毒霸客户端以后防御策略是否会采用绝对白名单和相对白名单，这个很难说。

tiejun

qwe12301 发表于 2011-6-27 22:05
对于安全文件，并非是绝对的安全。在客户端用户只能看到，“安全”的结论
实际上白名单也存在分级制，一个 ...

无论是黑名单杀毒，还是白名单杀毒，做到100%准确都是不可能的。

说到底都是考察杀毒厂商反应能力的时候，99秒鉴定，这是金山公开的相对保守的数据。

几年前刚开始做云安全时，自动化鉴定的时间绝不是99秒，金山网盾刚开始做下载保护时，鉴定一个未知文件需要15分钟左右，而现在，99%的文件能在99秒内完成鉴定，这其中还有一半的文件，可以在1秒钟内完成鉴定。

sanhu35

tiejun 发表于 2011-6-27 22:39
无论是黑名单杀毒，还是白名单杀毒，做到100%准确都是不可能的。

说到底都是考察杀毒厂商反应能力的时 ...

应该解决这种报安全 而 主防不防的情况，而且这个样本也没有签名

aygjimn

但有很多样本都是转人工的..

leisong

sanhu35 发表于 2011-6-27 22:47
应该解决这种报安全 而 主防不防的情况，而且这个样本也没有签名

报安全而主防放行，逻辑是对的，否则连鉴定为安全的都要拦截还是智能主防么？你那是纯HIPS思维。

那为什么会引出报安全的程序需不需要防这个奇怪的问题？是因为整个策略有问题，一味为快而快，将鉴定器鉴定不出危险的全部归为安全，本身就是企图制造神话，追求自动快速的非黑即白，可能实现吗？

sanhu35

leisong 发表于 2011-6-27 22:55
报安全而主防放行，逻辑是对的，否则连鉴定为安全的都要拦截还是智能主防么？你那是纯HIPS思维。

那为 ...

这样联动并不是最佳解决方案，就好象有签名的病毒过杀软。
毕竟云分析（机器人+人为分析）精力有限 。
不管怎么样能解决就好，不然等待被这样的病毒过，岂不是被动防御?