浅谈 360云qvm 与金山云鉴定体系

显示全部楼层 · 发表于 2011-8-4 20:37:00

z13667152750 发表于 2011-8-4 20:06
对于你来说，最大的分歧就是qvm到底是启发算法还是传统特征码

从看来的资料看来,是启发算法,

就相当于把小红伞的特征提取部分放在用户端,把提取的特征发到服务器,
服务器的小红伞拿它与库对比,得出是不是恶意软件.

这样做有两个好处,
第一,病毒库可以做得很大.
第二,可以混肴视听,说是0秒云鉴定,把金山的99秒云鉴定比下去.

单一的一个静态启发引擎,和金山有动有静的多个鉴定器相比,准确度完全不同.

最后,我认为启发引擎是杀已知,杀变种的,你认为呢?

显示全部楼层 · 发表于 2011-8-4 20:41:58

lzy199156 发表于 2011-8-4 13:07
我觉得你才是无知。人家是qvm负责人好吧。
拜托不懂不要乱说，qvm是纯启发引擎（纯算法），毛的库，还查 ...

谁说启支引擎不需要库的?nod32有没有库?小红伞有没有库?

qvm“学习”的过程就是入库的过程,只是改个中文，没有不同。

qvm 需要不断把用其它方法分析出是病毒的文件入库，才可以保持其查毒能力，这是大家都知道的。

显示全部楼层 · 发表于 2011-8-4 20:43:54

本帖最后由 jefffire 于 2011-8-4 20:44 编辑

yjwfdc 发表于 2011-8-4 20:41
谁说启支引擎不需要库的?nod32有没有库?小红伞有没有库?

qvm“学习”的过程就是入库的过程,只是改个中 ...

金山的鉴定器1年不更新，查杀率不也一样下去？金山还不是同样需要把新的行为，新的特征，人工加入才能保持鉴定准确率？
没有人工不断维护，金山的鉴定器能杀未知病毒？？

显示全部楼层 · 发表于 2011-8-4 20:53:52

jefffire 发表于 2011-8-4 20:43
金山的鉴定器1年不更新，查杀率不也一样下去？金山还不是同样需要把新的行为，新的特征，人工加入才能保 ...

没有说金山不需要加入新的行为,新的特征,

金山更新行为相当于hips加入新拦截方式,加入新规则.

qvm更新病毒库相当于小红伞更新病毒库,

谁更能拦截最新的病毒? 一看就知.

显示全部楼层 · 发表于 2011-8-4 20:56:49

本帖最后由 jefffire 于 2011-8-4 20:58 编辑

yjwfdc 发表于 2011-8-4 20:53
没有说金山不需要加入新的行为,新的特征,

金山更新行为相当于hips加入新拦截方式,加入新规则.

你怎么知道金山更新行为相当于hips加入新拦截方式,加入新规则?你这句话的依据从何而来？？
你又怎么知道360云端没有其他鉴定手段？？

这次去金山的都知道，金山把虚拟机行为分析放在回扫部分，不参与直接鉴定。三十多个鉴定器大部分是静态启发鉴定器，两款是动态启发。

显示全部楼层 · 发表于 2011-8-4 21:16:33

jefffire 发表于 2011-8-4 20:56
你怎么知道金山更新行为相当于hips加入新拦截方式,加入新规则?你这句话的依据从何而来？？
你又怎么知 ...

你怎么知道金山更新行为相当于hips加入新拦截方式,加入新规则?你这句话的依据从何而来？？
--------------------
依据从你下面这句话而来.<<<三十多个鉴定器大部分是静态启发鉴定器，两款是动态启发。 >>>

你又怎么知道360云端没有其他鉴定手段？？
------------------------
我不知道360云端没有其它鉴定手段,你知道吗?

我只能猜想当文件完全上传时,用的是和"金山云鉴定的方法"相似的方法鉴定文件,鉴定出来认为是病毒的就给qvm学习,

现在到我问你,qvm是用什么方法可以在0秒内鉴定文件是不是病毒的?

qvm的查未知能力和真正的云鉴定有得比吗?

显示全部楼层 · 发表于 2011-8-4 21:21:39

本帖最后由 jefffire 于 2011-8-4 21:28 编辑

yjwfdc 发表于 2011-8-4 21:16
你怎么知道金山更新行为相当于hips加入新拦截方式,加入新规则?你这句话的依据从何而来？？
------------ ...

三十多个鉴定器大部分是静态启发鉴定器，两款是动态启发。这算什么依据？和HIPS有什么关系？

QVM云鉴定作用就是大幅度提高首次查杀率，有了这个QVM云鉴定并没有放弃其他鉴定手段，你这点要搞清楚。QVM云鉴定只是整个云体系中的一环而已。把云鉴定体系的一环和金山整个云鉴定比较，真有你的。

显示全部楼层 · 发表于 2011-8-4 21:30:09

yjwfdc 发表于 2011-8-4 21:16
你怎么知道金山更新行为相当于hips加入新拦截方式,加入新规则?你这句话的依据从何而来？？
------------ ...

qvm最大的作用是：对于大多数变种，不需要云端获取样本即可查杀

但是360也没有放弃自动上传样本，再进行详细的分析，总结等，难道这不是一个强大的技术，大幅提高客户端第一次遇到变种样本时的查杀

同时减小云端服务器压力

显示全部楼层 · 发表于 2011-8-4 21:31:29

jefffire 发表于 2011-8-4 21:21
三十多个鉴定器大部分是静态启发鉴定器，两款是动态启发。这算什么依据？

QVM云鉴定作用就是大幅度提 ...

为什么不回答我的问题,是回答不上吧,

我认为完全没得比较,完全不同的两样东西,但360官方和数字粉总要拿来比较,还说比人家快99倍.

显示全部楼层 · 发表于 2011-8-4 21:33:07

jefffire 发表于 2011-8-4 21:21
三十多个鉴定器大部分是静态启发鉴定器，两款是动态启发。这算什么依据？和HIPS有什么关系？

QVM云鉴 ...

真有你的。

[分享] 浅谈 360云qvm 与 金山云鉴定体系

[分享] 浅谈 360云qvm 与金山云鉴定体系