金山之行学习贴系列一：“未知病毒无法查杀”的真实概念

jefffire

K_Ghost! 发表于 2011-7-28 20:39
好像你说的 资源 误报 免杀对抗

除了第一个云杀毒有先天优势以外 第二第三个服务器上难道不用考虑？ ...

服务器上，别人能研究出个啥？免杀对抗有先天优势。至于误报，服务器上可以放宽一些，吃不准的可以人工分析。

zhang_guo_shuai

jefffire 发表于 2011-7-28 20:34
服务器上肯定的。卡巴斯基5年前就号称70%病毒自动处理了。
放到本地，要考虑资源，误报，免杀对抗各种情 ...

其实降低资源占用、误报很容易，只要简化模型、加强白规则就可以，而启发本身就比较抗免杀，所以放在本地并不难；这里关键的问题是启发无法真正超越传统特征码，因为启发在降低误报的同时必然给检出率带来损失，而无论怎样处理启发的资源占用都会偏高，所以启发不可能处于第一位，这也是为什么360不但不抛弃BD反而又引入了红伞的原因。

jefffire

zhang_guo_shuai 发表于 2011-7-28 20:49
其实降低资源占用、误报很容易，只要简化模型、加强白规则就可以，而启发本身就比较抗免杀，所以放在本地 ...

启发本来就不可能替代特征码。特征码可以缺哪儿补哪儿，启发做不到。
降低资源占用，降低误报一点都不容易。首先一点你就很难做到：一个广泛的数量足够的且质量极好的白文件库。其次，简化模型的结果就是免杀难度下降，这个平衡不好控制。

蓝芯云安全

webuncle 发表于 2011-7-28 20:20
爬楼到此，至少明白了一件事情：
金山只能杀已知病毒或者木马。但jc不只能抓已知犯人，还有嫌疑人。

嫌疑人也是具备某一行为的，你不能上街去抓一个未知行为的人

webuncle

蓝芯云安全 发表于 2011-7-28 20:55
嫌疑人也是具备某一行为的，你不能上街去抓一个未知行为的人

嫌疑人就是介于已知未知之间的人，你不要当他不存在，黑白论在这里吃不准的

小丑鱼ZZW

太多了，没信心看下去了....不过我还是认为金山的观点是不对的....

zhang_guo_shuai

jefffire 发表于 2011-7-28 20:54
启发本来就不可能替代特征码。特征码可以缺哪儿补哪儿，启发做不到。
降低资源占用，降低误报一点都不 ...

降低资源占用和误报对于自动统计系统来说其实很容易，只要在现有基础上再进行一次自动分析就可以了、只是需要更多的时间。
实际上学习的样本并不需要传说中的“海量”、真正需要的是“质量”，而样本自动抓取分类对于杀毒厂商来说还是比较容易的。
简化模型并不意味着免杀难度下降，当然如果原本5万个节点非要简化成50个那另当别论。

zhang_guo_shuai

webuncle 发表于 2011-7-28 21:07
嫌疑人就是介于已知未知之间的人，你不要当他不存在，黑白论在这里吃不准的

o(︶︿︶)o 唉，嫌疑人如果没有触犯法律那么警察无法处置他，如果触犯了法律那么嫌疑人的行为就已经被法律已知了。

蓝芯云安全

webuncle 发表于 2011-7-28 21:07
嫌疑人就是介于已知未知之间的人，你不要当他不存在，黑白论在这里吃不准的

而实际上，嫌疑人基本是已经匹配了部分已知行为的。判黑判白都是基于已知的法律规范。他要么是抢劫犯，要么是小偷，要么是其他罪犯，要么不是罪犯。

他不是岳飞，不会有一个“莫须有”的罪名，他的行为无论黑白，最后都是已知的。杀软也不可能平白无故去抓一个嫌疑人，肯定是其匹配了已知的某项罪名所描述的行径，甚至仅仅是和通缉令长得像

咆哮的蜗牛

哈哈。此贴精彩。各路360粉、金山粉都云集于此，华山论剑，你方唱罢我登场，好不热闹。坐等漏网之鱼到此论剑。