跟我做诺顿网络特警达人（包括介绍，设置，安全防护）【有疑问，请跟帖】

jefffire

明显云鉴定要比信誉扫描完善。云鉴定能够短时间内对未知文件给出结果，信誉扫描行吗？信誉扫描只不过把后台的数据，在客户端更多的展示出来，同时数据挖掘的可能更充分些。

hover421

jefffire 发表于 2011-9-8 20:53
明显云鉴定要比信誉扫描完善。云鉴定能够短时间内对未知文件给出结果，信誉扫描行吗？信誉扫描只不过把后台 ...

还是不太懂，能详细解释不

jefffire

hover421 发表于 2011-9-8 21:10
还是不太懂，能详细解释不

信誉扫描给出的结果，你看一下。大概是这么几个方面，数字签名，软件版本，出现时间长短，用户数量，崩溃概率，还有一个信誉评级。这些数据国内的云鉴定其实在服务端大部分都有（崩溃信息没有，这个离安全比较远了），只是没在客户端展示。


实际上，云是一种采集各种信息，通过数据挖掘手段建立相应数学模型，最后目的是对样本文件分类，试图区分出白文件和黑文件。

诺顿的云信誉，更注重文件的宏观信息特征。国内的云鉴定，更注重文件的微观信息特征。从时间上来说，前者需要一个较长的周期，后者短时间就能确定出结果。但是前者能发现一些后者无法发觉的，微妙东西。

zuoqiang1985

期待完成啊~~

hover421

jefffire 发表于 2011-9-8 21:21
信誉扫描给出的结果，你看一下。大概是这么几个方面，数字签名，软件版本，出现时间长短，用户数量，崩 ...

1、如果这些信息都是宏观的，那哪些信息又是微观呢
2、是不是微观信息离安全比较近呢
3、如果2成立，那么诺顿为什么不收集微观数据而跑去收集宏观数据呢
4、很微妙的东西是什么呢，能举个例子吗

逍遥东华

古月哥欠 发表于 2011-9-8 20:07
是可以关掉的

谢谢回复。
请问：取消“仅在空闲时”，是否意味着任何时间都可自动运行？并且，全面系统扫描编辑也有“仅在空闲时”，尽管你在电脑扫描设置选项里已经关闭空闲时系统扫描。这是为什么？

lwk0730

2012还有待完善哦

jefffire

hover421 发表于 2011-9-8 21:36
1、如果这些信息都是宏观的，那哪些信息又是微观呢
2、是不是微观信息离安全比较近呢
3、如果2成立， ...

微观特征其实是我自己做的定义，其实就是文件的代码本身的特征，比如特征字符串，输入输出表，哈希值，API调用序列等等。也就是只要拿到样本，就可以分析出的特征。这样只要把文件传到云端，利用一些技术分析手段，比如启发引擎，虚拟机等，很快就能得出结果。

再说说宏观特征。比如说，这个文件的相关性分组或关联规则，也就是说它是谁产生的，又是如何传播的？传播的路径是如何的？     还有文件的归类信息，和这个文件有相同特征的文件有哪些？（说到归类，有两个方面，一个叫分类，一个叫聚类。)比如是不是都是一家公司出的啊？ 文件名，版权信息是不是有什么类似特点啊。又比如，文件在客户端PC上的行为特征，写了哪些注册表？新建，改动了哪些文件？？注册，启动了什么服务？？访问了哪些服务器？？     等等等等。把这些信息收集后，利用算法模型将这些信息整合起来，最后得出一个分数，这个分数决定了文件的黑白。但是这些特征必须有相当的一段时间周期后，才能慢慢收集到，因此势必会有一批牺牲者出现。

微妙就微妙在，有人手段高超能够免杀启发引擎，骗过虚拟机。但几乎不可能骗过宏观特征的分析，伪造这些东西的成本和难度是不可想象的。还有微观信息收集，实际上就是上传文件。这可能会带来隐私问题，同时很多企业有较多的内部软件，也不允许你收集。

xiaojuns

支持下

hover421

jefffire 发表于 2011-9-8 21:51
微观特征其实是我自己做的定义，其实就是文件的代码本身的特征，比如特征字符串，输入输出表，哈希值， ...

1、诺顿注重宏观特征，是不是方便跑流程呢
2、注重宏观特征，是不是意味着不会收集用户的私人信息
3、按我的理解，宏观收集不是更加不容易误杀吗，因为如果都能方便跑流程了，应该误杀的可能性低
4、透露一下，国内的几家有没有想过宏观信息呢，有在收集吗，如果没有是什么原因呢
5、进一步的，宏观信息收集从技术上讲难度大吗