关于360杀毒1秒云鉴定的科普贴

心理辅导

，

在360杀毒3.0版本发布后，大家对“1秒云鉴定”非常好奇，下面为大家简单介绍一下。

“一秒云鉴定”的实现，得益于360安全中心最新的QVM模糊向量鉴定技术。该技术提取文件的模糊向量信息发送到云服务器进行运算鉴定，相比于之前基于文件MD5指纹的鉴定方法，鉴定速度和鉴定广谱性更强，尤其对于变形文件及超大文件，其鉴定效率比MD5指纹鉴定有了数量级的提升。

由于模糊向量鉴定只需提取文件中微小尺寸的信息点用于鉴定，提取的速度和与云服务器的通讯量都大大减小，因此可以实现1秒级的鉴定响应，我们内部大规模测试平均时间甚至不足1秒。

基于MD5指纹的云鉴定，文件一个字节改变，都会导致其MD5指纹变化，对于鉴定引擎来说，就相当于一个新文件，需要上传新文件重新进行分析鉴定。对于变形、加壳文件，其鉴定效率并不优秀。而采用模糊向量鉴定技术后，文件的变形、加壳对于鉴定引擎基本失效，因此只要是同一家族、类型的文件，无论其如何变形，对于鉴定引擎而言都可以根据其信息点进行判定，而不需要上传文件的每一个变种。

QVM模糊向量鉴定技术与所谓“微特征”技术也有本质的区别。微特征本质上还是基于Hash（类似MD5）的算法，只是对Hash算法做了选块处理，以避免修改一个字节就改变微特征的问题，同时提高了计算速度。但是，由于微特征是一个Hash值的固有属性，其信息丢失严重，无法通过微特征去发掘数据内部规律，因此只能用作数据指纹比对。也就是说，微特征是无法通过自身来鉴定黑白的，而是将文件的微特征与服务器上由其他鉴定器提取的恶意样本微特征进行比对。

因此，微特征不是一种识别手段，而是一种标注手段。对于新的样本，由于服务器上并不存在对应的微特征，仍需要上传文件由鉴定器进行鉴定并抽取新的微特征。而QVM模糊向量鉴定技术是一种识别手段，可以直接运算信息点鉴定文件黑白，两者性质完全不同。

类似生物DNA鉴定技术，文件模糊向量鉴定技术也可能会存在一定比例的误判。虽然这个比例非常低，但是为了防止误判，并对文件做更精准的全面分析，360安全中心在用户许可的情况下，仍然会上传一部分云服务器中不存在的文件样本。

360杀毒产品小组
2011年8月4日

HEMM

谢谢分享！看看文章！学习下。

rice_rice

不信
所谓的模糊向量鉴定技术本质又是什么呢

yhy12345698

用了。。。就卸了 感觉像某山、、