对于QVM"0秒鉴定"的个人分析

悟心之道

FOXFFF 发表于 2011-8-1 14:45
字眼扣的真好.....说句不咋地的：其实扫描也算是鉴定的一种....所谓的云鉴定其实就相当于是扫描... ...

完全不符合实际，扫描的实质是被扫和已知特征匹配，鉴定，尤其是人工鉴定多是针对不容易进行自动匹配部分

悟心之道

BHHZDQL 发表于 2011-8-1 14:09
那好，QVM是人工智能引擎，但是数字的自动上报鉴定系统用了云QVM

用什么武器不重要，重要的是能否达到目的，管Q是“云鉴定器”还是“启发本地+特征引擎”

悟心之道

jijiasd 发表于 2011-8-1 14:12
你自己在YY吧.没事往这上面扯.官方只叫过QVM是引擎.
话句话说，就叫鉴定器又怎样
我还说某山的东西干 ...

你们愿意跟风叫鉴定器，管你本地或者云都没关系，叫吧

悟心之道

心碎乌托邦 发表于 2011-8-1 14:22
这个还真不是谁的错。。比如这人先将杀毒软件命名成xx杀毒。。。其他后来的软件难道就要命名成xx毒霸啊？ ...

既然你这么认可金山“云鉴定器”，肯定其合理性，并愿意追随，偶没什么好说的了

小蚂蚁的梦想

天天吵来吵去   木有意思啊    最近360的QVM是不是动摇了某些产品  导致质疑来质疑去

xuhuier

复制40楼的话:

准确的说QVM并不能断定一个文件是否是病毒木马，360将它所收集到的所有病毒木马（云端随时更新）的行为进行收集，然后统计得出哪些行为是病毒木马采用得多的，哪些行为是正常程序采用的，当样本运行时，QVM就会对程序的行为进行检查，当程序执行了某些经常只是病毒木马才会采取的行为时，360就会对其进行进一步的扫描与统计，当程序的行为中，基本只是病毒木马才会采取的行为超过一定限度，且程序不再白名单内时，QVM就会判断程序为病毒木马。因为360只是将本地QVM数据库里没有的行为进行编码并上传取得统计数据，所以实际上数据量是相当少的，而且与样本的大小并没有直接关联。
也就是说，实际上QVM起作用的主要是有云端收集的恶意程序行为数据库。由于数据库来自于云端，而且分析时也需要云端的更多更准确的行为数据，所以QVM称为云主防是说得通的，至于“0秒鉴定”，可能是这样的：本地QVM实际上已经包含了主要的恶意程序行为概率，判断程序是恶意程序的概率已经比较准了，但是云端的数据更详尽更新更准确，所以需要上传不再本地QVM数据库的数据，因为需要上传的样本行为数据相当小，云端一般只需要读取云端数据库，反馈速度极快。所以又把它称为“0秒鉴定”（我总觉得这里的宣传意味有点重了）。
这些只是我模模糊糊记得的，具体要在卡饭上找。其中部分内容来源于jefffire的“谈谈我对QVM引擎的理解（重编辑版）”http://bbs.kafan.cn/thread-867712-1-1.html ，其他的就是泡卡饭看到的，太杂，就不一一列举了。





而且在我看来金山的边界防御 = 360卫士开了网购保镖 ,只是金山用中文起一个边界防御的名词

wanglei7865

云端和本地的结合？

zdolo

蓝芯云安全 发表于 2011-8-1 13:27
呵呵，选择性忽视。0秒鉴定到底是本地鉴定还是云端鉴定没有说清楚，并且还回避了。我根本不信360在0.5秒内 ...

刚出QVM，你不信，学习了一年，总算信了QVM, 现在出云QVM,你又不信，看来你又需要学习一段时间了

xuhuier

算是论坛的碰偶针对lz的回答
http://bbs.kafan.cn/thread-1042431-1-1.html

webuncle

文字太多，数据太少。