对于QVM"0秒鉴定"的个人分析

淼淼于心

每一个这种帖最后都会变成口水
至于为什么，大家都懂得

sanya167

金山人对360的"0秒鉴定"很感兴趣啊

这里还有一帖
http://bbs.kafan.cn/thread-1041595-1-1.html
请问360所说的QVM主防是什么？请问“0秒”云鉴定的原理是什么？

查理弗朗西斯

LZ你绕得好远
官人都说了你又绕走了，跟你谈又有什么意义呢

ningz

有些事不能问得太清，客套一下算了。

悟心之道

QVM
不是什么鉴定器
是奇虎启发引擎（本地和云端都有，体积+版本不同）
或者“人工智能引擎”
...
不知道为何金山一出个云端30+“鉴定器”
他们为何也跟着叫

寂静de雨季

蓝芯云安全 发表于 2011-8-1 13:33
云里雾里的东西我搞不清楚，就好像别人想搞清毒霸的云端鉴定流程一样，我也想知道360的。毒霸已经公开了云 ...

360敢把qvm下放到本地，某山敢把云鉴定下放不？

悟心之道

寂静de雨季 发表于 2011-8-1 13:52
360敢把qvm下放到本地，某山敢把云鉴定下放不？

QVM
不是什么鉴定器
是奇虎启发引擎（本地和云端都有，体积+版本不同）
或者“人工智能引擎”
...
不知道为何金山一出个云端30+“鉴定器”
他们为何也跟着叫？

BHHZDQL

悟心之道 发表于 2011-8-1 13:53
QVM
不是什么鉴定器
是奇虎启发引擎（本地和云端都有，体积+版本不同）

人工智能是海量样本训练的结果
你知道每天360卫士客户端会给云端传多少样本么？
鉴定出的病毒都是给qvm学习用的
所以现在qvm很强了

kyzi

这叫潮流。。。。。。
至于你信不信。。。反正我信了。。这就是潮流~~~~~

cyk553312

蓝芯云安全 发表于 2011-8-1 13:27
呵呵，选择性忽视。0秒鉴定到底是本地鉴定还是云端鉴定没有说清楚，并且还回避了。我根本不信360在0.5秒内 ...

准确的说QVM并不能断定一个文件是否是病毒木马，360将它所收集到的所有病毒木马（云端随时更新）的行为进行收集，然后统计得出哪些行为是病毒木马采用得多的，哪些行为是正常程序采用的，当样本运行时，QVM就会对程序的行为进行检查，当程序执行了某些经常只是病毒木马才会采取的行为时，360就会对其进行进一步的扫描与统计，当程序的行为中，基本只是病毒木马才会采取的行为超过一定限度，且程序不再白名单内时，QVM就会判断程序为病毒木马。因为360只是将本地QVM数据库里没有的行为进行编码并上传取得统计数据，所以实际上数据量是相当少的，而且与样本的大小并没有直接关联。
也就是说，实际上QVM起作用的主要是有云端收集的恶意程序行为数据库。由于数据库来自于云端，而且分析时也需要云端的更多更准确的行为数据，所以QVM称为云主防是说得通的，至于“0秒鉴定”，可能是这样的：本地QVM实际上已经包含了主要的恶意程序行为概率，判断程序是恶意程序的概率已经比较准了，但是云端的数据更详尽更新更准确，所以需要上传不再本地QVM数据库的数据，因为需要上传的样本行为数据相当小，云端一般只需要读取云端数据库，反馈速度极快。所以又把它称为“0秒鉴定”（我总觉得这里的宣传意味有点重了）。
这些只是我模模糊糊记得的，具体要在卡饭上找。其中部分内容来源于jefffire的“谈谈我对QVM引擎的理解（重编辑版）”http://bbs.kafan.cn/thread-867712-1-1.html ，其他的就是泡卡饭看到的，太杂，就不一一列举了。