360的人工云鉴定工程师们，你们辛苦了！求解云鉴定器工作流程

singun

我有好长好长一段时间没有用360，最近开始用了。抛开其他传言神马的不管，单从360安全卫士这个产品上看，我觉得360很多地方还是做得很不错的。
8.2beta版出了个云鉴定器，我比较感兴趣，虽然现在它还不完善吧，但我觉得工程师们辛苦了。。。随便传的一些文件都转人工鉴定了。。。根据jeffire的说法（http://bbs.kafan.cn/forum.php?mo ... &fromuid=506835）这有可能不是真正的人工鉴定 ，好吧，我知道工程师们事情多做不来，可是不太应该把不是人工鉴定的结果写成人工鉴定吧。。。能否有官人前来科普？这个转人工鉴定的流程是如何的？
拒绝口水，单请知道情况的童鞋解释下，感激不尽！

jefffire

我倒是感觉这是提示上的不妥当。
如果把云机器鉴定不能发现病毒的情况提示为“安全”，则有可能导致"安全"变病毒的情况，这样碰到这种情况，用户肯定不买帐。
如果把云机器鉴定不能发现病毒的情况提示为“暂无风险”，则给用户以踢皮球的感觉，用户体验差。


因此我觉得可以借鉴诺顿的云信誉分级：
分为不良，可疑，一般，良好，可信，五个等级。

可信就是白名单内的。一般是经过人工分析，来自可信来源，有可信厂商的数字签名
良好等级，不在黑白名单内，通过现在的查杀手段不能发现风险，且用户较多，分布比较广，出现时间较老的文件
一般等级，不在黑白名单内，通过现在的查杀手段不能发现风险，用户较少，出现时间较新的文件
可疑等级，不在黑白名单内，通过一些手段发现了可疑的情况，比如键盘记录行为。这一部分可以转人工分析。
不良等级，通过现有的查杀手段能够确定是病毒木马的文件。

singun

jefffire 发表于 2011-8-14 16:14
我倒是感觉这是提示上的不妥当。

诺顿的分级很详细啊~这样的提示就一般不会造成误解了。

jefffire

singun 发表于 2011-8-14 16:18
诺顿的分级很详细啊~这样的提示就一般不会造成误解了。

是的，现在的提示，就给人踢皮球的感觉了。

无垠穹宇

360提示为“暂无风险”的可能是该文件不存在于360云里面，但云端QVM检测到了可疑行为，不能确定为白文件或黑文件，于是就提示为“暂无风险”

singun

无垠穹宇 发表于 2011-8-14 16:34
360提示为“暂无风险”的可能是该文件不存在于360云里面，但云端QVM检测到了可疑行为，不能确定为白文件或黑 ...

你说的貌似和“人工鉴定”无关吧。。。

无垠穹宇

singun 发表于 2011-8-14 16:35
你说的貌似和“人工鉴定”无关吧。。。

360的工程师再敬业，也不能在一天之内把数以万计的文件都进行鉴定，所以，他们可能使用了什么相关的工具，例如HIPS。

singun

无垠穹宇 发表于 2011-8-14 16:47
360的工程师再敬业，也不能在一天之内把数以万计的文件都进行鉴定，所以，他们可能使用了什么相关的工具， ...

那就不是人工鉴定咯。

无垠穹宇

singun 发表于 2011-8-14 16:49
那就不是人工鉴定咯。

360的工作人员说：

运用独创的云QVM鉴定技术，仅需获取文件的微小信息点，就可鉴定最新病毒文件。

也就是说，360上传的仅仅是文件特征，大部分文件都没有进行完整的上传，所以真正人工鉴定的文件并不多

我是UD

人工那效率有待加强