论脉动更新之意义

ccc-a

脉动更新能随时解除误报？额，怎么不反面理解一下，这不也在同时减少人为最终判定时间以至于匆忙上马，增加了误报呢？？？再则如何保证是否是“误报”，不会因为匆忙上马将反馈结果，将不是“误报”的，判定成了“误报”？

小林制药

rising0809 发表于 2012-2-29 15:05
看过楼上诸位，似乎又回到一个经典话题：云安全是以联网为前提的。因此，纯云不能代替本地。
可是，威胁的 ...

断网情况不是脉动更新设计的初衷，我认为充其量算是一个附加利好而已。
赛门铁克的信誉确实是放在云端的。不过不排除可能会有一些会随着更新存到本地。

脉动更新我猜应该是更新了特征码和白名单一类的东西——尤其是“最近”发现的，高度可疑的特征应该会被放进去。
赛门铁克的云端目前看主要提供文件信誉，文件信息一类的查询服务，而不是一个“放在服务器上的病毒库”。在产品中体现的作用是辅助，而不是支柱。可以拿金山做一个对比——云端对于金山的产品来说就起到的是支柱的作用，本地反倒变成了辅助。

我猜赛门铁克的思路可能是这样的：传统更新病毒库一般是固定在某个时段，将发现的威胁特征“攒一起”做成更新包，然后经过质量检验，再发布出来（可能是推送，也可以是软件定时检查）。姑且先给这样的更新包起个名叫“完全包”。但是这种“完全包”有个严重缺陷就是滞后性，如果想消除这种滞后性只有一个选择——提高“完全包”的产能，加大更新频率。但是这样做需要更多的人力和物力，质量也难以保证。于是就搞了一个迅速更新的“脉动”出来。个人猜测脉动更新的流程应该是从捕获特征开始，之后进行确认（可能是机器，也可能是人工），然后添加到服务器上推送。每天在某一时刻反病毒专家会将这些特征进行汇总然后加工（比如除错，加白或者什么）成一个“完全包”再发布出来。

脉动更新的好处首先在于可以很大程度上弥补病毒库的滞后性，同时又保证灵活性。在不打算搞国内类型的“云查杀”的前提下，这是个很好的选择。

或者还有一种可能，赛门铁克已经打算抛弃掉传统的杀毒软件更新方式。而采用类似“数据流”一类的思路——即只要发现特征，就将特征整合进服务器。那么一台联网的机器就会始终有最新的病毒库。如果这台机器晚上关机了，那么第二天早上就对昨晚错过的更新进行一次性下载，然后继续持续的脉动更新。不过从目前情况看，貌似不是刚说的这种思路，意即脉动更新还是对传统病毒库更新方式的补充。

寒山竹语

cs52089757 发表于 2012-2-29 17:22
我是说这样是不是能降低误报概率

完全无关的东西。和误报。哈哈。

明月丶舞白衣

不一定 发表于 2012-2-29 17:44
完全无关的东西。和误报。哈哈。

那脉动更新的优势何在？

寒山竹语

cs52089757 发表于 2012-2-29 17:50
那脉动更新的优势何在？

及时响应最新威胁。当然，也能及时解除误报。
但这个和脉动有关系也没关系。
配合楼主主题内容，这玩意做到云端后，也一样能体现出这些效果
好绕嘴。。。。。。

明月丶舞白衣

不一定 发表于 2012-2-29 18:24
及时响应最新威胁。当然，也能及时解除误报。
但这个和脉动有关系也没关系。
配合楼主主题内容，这玩意 ...

你的意思跟放在云端其实一样的……是么

寒山竹语

cs52089757 发表于 2012-2-29 19:22
你的意思跟放在云端其实一样的……是么

那是楼主的意识，当然，我也有这样的意识。
如果能放云端，干嘛本地干扰呢？
但人家为啥不这么做。才是问题呀。哈哈。

明月丶舞白衣

不一定 发表于 2012-2-29 19:23
那是楼主的意识，当然，我也有这样的意识。
如果能放云端，干嘛本地干扰呢？
但人家为啥不这么做。才是 ...

比如出现个新病毒，运行的时候断网恶心你……这样诺顿也能防得住，个人猜测

明月丶舞白衣

小林制药 发表于 2012-2-29 17:41
断网情况不是脉动更新设计的初衷，我认为充其量算是一个附加利好而已。
赛门铁克的信誉确实是放在云端的 ...

跟我的想法不谋而合

疾驰

不一定 发表于 2012-2-29 18:24
及时响应最新威胁。当然，也能及时解除误报。
但这个和脉动有关系也没关系。
配合楼主主题内容，这玩意 ...

是啊。做到云端也是一样的效果。既然诺顿各种防御那么强，就无需再通过脉动来加强本地，普通的更新就行嘛。即便是根本不联网的机器，那威胁何来，即便是有了威胁，没网还脉动个什么劲呢。还是无解。