本帖最后由 心碎乌托邦 于 2011-8-2 11:47 编辑
首先说一下,这都是我的个人理解,说错了可以拍砖,我会自己思考后改正。可能有些说法对某些人的打击很大,但没办法,我完全没有歪曲事实,如果有请指出,不要以文字游戏和口水来讽刺。不同见解可以提出。
首先我来说一下自己对云的认识。云是杀软安全防御的延深,是安全防御的一种手段,将鉴定待鉴定的样本的庞大的库放到云上,从而减轻本地的负担。云只是一种没有办法的办法,如果本地能够完全解决且占用比较小的话,我想完全没有云的必要了。所以个人认为,云的目的在于减轻本地的负担,但不能完全替代本地。而云上可能有很多种鉴定器,这是一个巨大的黑箱,每个厂商不可能都只有一个鉴定器,这是无疑的。不管多少个,能够较快较准的检验出样本才是最关键的。这个什么鉴定器的数量完全没有任何价值,对鉴定没有任何加分,效果才是主要的。
然后我来比较一下二者的区别。我想大概是这样的。所谓的云,只是鉴定样本的一种不得已的方法。不是什么唯一途径。如果本地全部解决,或者本地解决能力比云要好,或者相同,且本地占用不大,那完全不需要云。其次,云在日常使用和各种评测活动的唯一被承认的也就是一扫。这是实时鉴定的结果,体现了一款杀软安全防护的最高价值。杀软应该使劲各种办法来提高一扫的能力,体现自己的价值。这里的一扫不是什么最原始的一扫,但是对于杀软的横向对比应该是一样的,各种一扫和二嫂的概率是混杂的,万千样本集合在一起的一扫就能完全体现杀软的各种能力,响应速度的二嫂也能包含在一扫的效果中。
然后就是二嫂了。二嫂好像是体现一款杀软对于一扫不能解决的样本的快速响应能力,如果一款杀软的一扫不够强大。。。只能依靠快速响应能力来适当提高一下一扫的综合能力。可以说二嫂是一扫的延伸,其存在价值基本等同于提高一扫。。。普通用户完全不会使用二嫂的。。。一般都是一夫一妻制。
然后还出现了所谓的云鉴定器。这个我觉得很奇怪,怎么这个都需要单独宣传啊?哪个云杀软云上每个几个鉴定器啊?没有的话怎么鉴定啊?鉴定器不管多少和多少本地鉴定器是一样的。。。不还是一个目的啊?就是提高安全防护,当然本地由于特殊性可以宣传一下有一个或者两个,但是云上我想就不需要了吧。能够用一个来解决的最好一个,多个只是完全没有办法的事情。然后就是云鉴定器的使用上。能够做到实时鉴定的,用来融合进一扫里面的是云鉴定器的最高价值体现,如果不能直接运用到一扫的,可以通过将其融入到二嫂中,然后用来提高一扫的综合能力。所有的云的价值全部体现在一扫里面,至少现在是这样认为的,也是被工人的现实。
总结:不管云上到底是什么,云扫描存在的价值就是检出率,只是拦截病毒的第一道防线,这个防线虽然还是比较坚固的,但不可能也不可以是唯一的一道。云存在的价值也就是一扫的检出率。至少现在一般用户和各种机构是这样认为的,其他所有的二嫂,三嫂,以及什么云鉴定器,所有的价值就是提高一扫或者用时间来换取个体扫描率。实时鉴定也就是一扫,是云的最大价值。
然后来说一下金山的云吧。首先云的一扫,这是各种评测机构承认的扫描结果,反映的基本就是实际使用中云的作用。金山的一扫大概和其他的差不多,一扫完全没有什么讨论价值,但是确实是云中最有价值的。然后接下来就是二扫了,就是再一扫没有检验出样本的情况下,上传各种微特征,由云端再次扫描,返回结果。这个过程需要一些时间,当然这是金山的云的二嫂,360的好像有些不同。这个理论上比一扫的效果要好很多,由各种数据可以作参考。但是这个是需要时间的。
然后就有了所谓的云鉴定器。具体细节什么的大家都不是很清楚,我也不闲扯了。我只说下我的一些看法。我想首先说一下什么云鉴定器的数量什么的。我想问问一下,这个能有什么宣传价值呢?说30个或者以上,不还是用来检验样本的啊?然后一扫的时候这30个鉴定器完全不起作用,二嫂的时候又同样失效?然后需要双传整个样本,特别用这些特殊的鉴定器来扫描?
我觉得这个什么云鉴定器应该是这样的。这些只具备扫描完整样本的能力,在平均99秒的时间内扫描完成,不具备微特征扫描能力(当然也可能是为了更好的检出,不采用微特征这种模糊的形式)。在一扫和二嫂中不知道有没有发挥功效。
其实这个所谓的鉴定器也只是相当普通的东西,任何云厂商我想都会有类似的东西,但或许他们已经将其发展成为一扫和二嫂能够直接运用的产品,而金山的只不过可能是相对有点落后了,没有发展到那一步,然后就直接宣传说30款鉴定器,99秒,100%什么的。
然后再说说检出率,这是最重要的。也不见得这个云鉴定器的检出率怎么怎么高。即使是云鉴定器一下子没有搞定的,转了人工后可能还是有误判的可能。没有什么100%。。。现在样本区云鉴定为安全的样本已经不是什么新鲜事了。
不管是什么理念,云鉴定器无法很好的掌握微特征,必须要完整的文件上传,平均99秒实现30款鉴定器的扫描,检出率并不完美,个别加壳和不加壳,压缩和不压缩,得出的扫描结果可能完全不一样,这些基本都是事实。纯理论的东西,由于本人比较小白,也不说了,我只陈述我说知道的事实的东西。
然后是360的QVM。
首先还是从云开始谈起。首先是360的一扫,由于360有很强的本地,毫无疑问,一扫的水平那是相当的稳定,基本比断网多一点。不像其他只有基本只有云的,一扫很可能遇到抽风的时候。然后是360的二嫂,好像据评测区的描述,360的二嫂直接就是将可以样本上传到服务器,然后由服务器上扫描,得到结果后反馈。这个感觉怎么那么像金山的云鉴定器呢?
然后再是360的云QVM,我感觉不管原理是什么,已经发展成为可以实时鉴定的一扫了,已经有实际运用价值了。完全不能和那个什么99秒的三嫂相提并论了。
同样我是小白不知道什么原理不原理的,我只需要效果以及体验过程。我应该和大部分用户一样,只需要一扫,只要求结果。
这方面我觉得360的就做的比较出色了,那个QVM鉴定器,不管云上有多少个?好像已经能够做到实时鉴定了,也是就融入到一扫中去了,所以不管效果怎么样,一扫的价值是二嫂的好几倍,融入到一扫是云鉴定器的最高价值,360的qvm做到了。然后是二嫂,双传整个样本是鉴定,效果好像还是不错的,响应能力和鉴定能力都相当的高,从而有效的提高了一扫的能力,这个从各种评测结果中就能够看出来。然后扫描后还有其他的安全防线。。。这个是最大的保障。
令一方面,金山的云,感觉就有点乱,已经有点另类了。不知道官方的意思是什么,感觉卡饭的粉丝方面并没有注重一扫的结果,试想难道这个一扫不是综合二嫂能力的结果吗?二嫂不高,你响应快来干什么啊?然后一扫二嫂好像还没有完全理清关系的情况下,又来了一个云鉴定器的概念。好吧,原来以为云鉴定器是二嫂的提升,可是较快的处理一些一扫遗留的问题,就是给二嫂来个加速通道。但是这种想法被官方否决了。然后这个感觉就有点尴尬了。那这个云鉴定器的地位是在二嫂前还是后啊?这个依据评测区的用户的不规范评测,现在大致的方向被认为是二嫂后剩余的样本再进行云鉴定器的环节,也就相当于三嫂。这个地位相当的尴尬,一扫二嫂罢了,竟然还来个三嫂。但是在日常使用中,我觉得这个的地位应该是在二嫂的位置的,云扫描不出来结果,直接上云鉴定器。当然相对于原来的二嫂,这个鉴定的速度应该是要快一些的。然后感觉这个的意义就是不是直接增加一扫的检出率,是间接的从另一方面加固自己的防御体系。或者是间接间接的加深一扫。
大概就是这些,以后想到再补上,有错误去哪个指出。 | 
[复制链接]
发表于 2011-8-2 09:20:51
发表于 2011-8-2 10:54:00
楼主