查看: 6822|回复: 55
收起左侧

[转帖] 关于360杀毒1秒云鉴定的科普贴

  [复制链接]
笑傲青春
发表于 2011-8-10 16:56:54 | 显示全部楼层 |阅读模式
各位亲爱的360杀毒用户,

在360杀毒3.0版本发布后,大家对“1秒云鉴定”非常好奇,下面为大家简单介绍一下。

“1秒云鉴定”的实现,得益于360安全中心最新的“云QVM(模糊向量鉴定)技术”。该技术提取文件的模糊向量信息发送到云服务器进行运算鉴定,相比于之前基于文件MD5指纹的鉴定方法,鉴定速度和鉴定广谱性更强,尤其对于变形文件及超大文件,其鉴定效率比MD5指纹鉴定有了数量级的提升。

由于模糊向量鉴定只需提取文件中微小尺寸的信息点用于鉴定,提取的速度和与云服务器的通讯量都大大减小,因此可以实现1秒级的鉴定响应,我们内部大规模测试平均时间甚至不足1秒。

基于MD5指纹的云鉴定,文件一个字节改变,都会导致其MD5指纹变化,对于鉴定引擎来说,就相当于一个新文件,需要上传新文件重新进行分析鉴定。对于变形、加壳文件,其鉴定效率并不优秀。而采用模糊向量鉴定技术后,文件的变形、加壳对于鉴定引擎基本失效,因此只要是同一家族、类型的文件,无论其如何变形,对于鉴定引擎而言都可以根据其信息点进行判定,而不需要上传文件的每一个变种。

云QVM技术与所谓“微特征”技术也有本质的区别。微特征本质上还是基于Hash(类似MD5)的算法,只是对Hash算法做了选块处理,以避免修改一个字节就改变微特征的问题,同时提高了计算速度。但是,由于微特征是一个Hash值的固有属性,其信息丢失严重,无法通过微特征去发掘数据内部规律,因此只能用作数据指纹比对。也就是说,微特征是无法通过自身来鉴定黑白的,而是将文件的微特征与服务器上由其他鉴定器提取的恶意样本微特征进行比对。

因此,微特征不是一种识别手段,而是一种标注手段。对于新的样本,由于服务器上并不存在对应的微特征,仍需要上传文件由鉴定器进行鉴定并抽取新的微特征。而云QVM技术是一种识别手段,可以直接运算信息点鉴定文件黑白,两者性质完全不同。

类似生物DNA鉴定技术,文件模糊向量鉴定技术也可能会存在一定比例的误判。虽然这个比例非常低,但是为了防止误判,并对文件做更精准的全面分析,360安全中心在用户许可的情况下,仍然会上传一部分云服务器中不存在的文件样本。

360杀毒产品小组
2011年8月4日
xzhlksh
发表于 2011-8-10 16:59:15 | 显示全部楼层
这些文字这几天都看腻了。。。
悟心之道
发表于 2011-8-10 17:27:17 | 显示全部楼层
本帖最后由 悟心之道 于 2011-8-10 17:27 编辑

指纹识别即指通过比较不同指纹的细节特征点来进行鉴别。
类比:
MD5是个人指纹(其实多了也有会重的)。
模糊哈希是家庭成员特征指纹(借用,实际近亲不能结婚,根本不同哈)。
QVM模糊定向是家族成员指纹特征(还是借用,家庭成员之间都不同,何况家族呢)。
准确性
由高到低
误报率
由低到高

欢迎砖头,不过讲讲道理再来砖头更欢迎。
yujiakun
头像被屏蔽
发表于 2011-8-10 17:31:00 | 显示全部楼层
本帖最后由 yujiakun 于 2011-8-10 17:31 编辑

这个看看吧,但俺们没专业基础不懂滴,俺还高中
jefffire
头像被屏蔽
发表于 2011-8-10 17:33:01 | 显示全部楼层
悟心之道 发表于 2011-8-10 17:27
指纹识别即指通过比较不同指纹的细节特征点来进行鉴别。
类比:
MD5是个人指纹(其实多了也有会重的)。
...

请问哪家靠MD5来鉴定病毒的?注意是鉴定,不是匹配。
悟心之道
发表于 2011-8-10 17:35:31 | 显示全部楼层
jefffire 发表于 2011-8-10 17:33
请问哪家靠MD5来鉴定病毒的?注意是鉴定,不是匹配。

小f
请问我有没有说那家用MD5“鉴定病毒”?
jefffire
头像被屏蔽
发表于 2011-8-10 17:36:58 | 显示全部楼层
云利用MD5来匹配样本,但从来没听说过MD5算法可以鉴定样本(也就是判别黑白)。只有通过其他手段确定样本的性质后,才能通过MD5去匹配相关样本。也就是说MD5不过是个中间途径,起到传递黑白信息的作用而已。
jefffire
头像被屏蔽
发表于 2011-8-10 17:37:47 | 显示全部楼层
悟心之道 发表于 2011-8-10 17:35
小f
请问我有没有说那家用MD5“鉴定病毒”?

细节特征点来进行鉴别

鉴别,鉴别,鉴定识别。
悟心之道
发表于 2011-8-10 17:40:13 | 显示全部楼层
jefffire 发表于 2011-8-10 17:37
细节特征点来进行鉴别

鉴别,鉴别,鉴定识别。

“指纹识别即指通过比较不同指纹的细节特征点来进行鉴别”
别脱离语境行不?这时只是引用“指纹识别”的概念,这个概念有错?
jefffire
头像被屏蔽
发表于 2011-8-10 17:40:57 | 显示全部楼层
本帖最后由 jefffire 于 2011-8-10 17:44 编辑

QVM并非匹配算法,而是一个鉴定算法。只不过这个算法把鉴定过程和匹配过程合一而已,鉴定后直接匹配。作为鉴定过程,遵循着基本规律,首要一条就是从来没有100%的鉴定方法,不管是机器方法还是人工方法。

将鉴定算法和匹配算法,这两种完全不同作用的东西混为一谈,服了。

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-15 20:53 , Processed in 0.136767 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表