【调查】——杀软倾向性选择

悟心之道

5234377 发表于 2012-4-9 09:23
好吧，我改一下措辞，应该说是全自动选择的云HIPS。真正的行为主防是指微点、SONAR那些产品。

算了，数字云HIPS也不多说了，毕竟用得不多，都是他们介绍后结合自己理解判断的，需要有更多的输入才能做较准确的判断。

尘梦幽然

悟心之道 发表于 2012-4-9 09:24
统计技术对于求众值解具有优势，精确解相对较差，所以虽然传统特征判断和查杀病毒有缺点，同时也具有不 ...

统计方面，国内的云运用的统计的方法都相对简单（仅仅只是根据用户投票来判断软件、网页的好坏抑或是只是一个庞大的黑名单库）。相比之下，赛门铁克的信誉云用的统计方法相对复杂不少。据赛门铁克工程师的表态，他们相信统计算法最终会达到比传统特征码和查杀云更好的反免杀效果。不过，就目前的情况看来，赛门铁克的信誉云存在误报高、判断不准确的问题，这些却是查杀云和特征码查杀的长处。
应该来说，查杀云和传统特征码查杀在今后的几年内，仍是主流，除非赛门铁克能开发出准确性更高的信誉云统计算法直至能够替代特征码（或是云）查杀。

悟心之道

5234377 发表于 2012-4-9 09:32
统计方面，国内的云运用的统计的方法都相对简单（仅仅只是根据用户投票来判断软件、网页的好坏抑或是只 ...

依靠用户提供输入信息的统计，从源头是讲众用户对同一件事，软件和网站认识就不可能统一，模糊解本身就较符合实际，那来的精确解？

尘梦幽然

悟心之道 发表于 2012-4-9 09:39
依靠用户提供输入信息的统计，从源头是讲众用户对同一件事，软件和网站认识就不可能统一，模糊解本身就较 ...

模糊解可以通过改进算法来趋于精确解。如果从这种角度来说，信誉云取代特征码还是有可能的。毕竟特征码本身也有误判的可能性。

悟心之道

5234377 发表于 2012-4-9 09:43
模糊解可以通过改进算法来趋于精确解。如果从这种角度来说，信誉云取代特征码还是有可能的。毕竟特征码本 ...

像金山微特征，MD5之类要误判可能性是很低的，可以说理论上存在这种可能，实际可能性接近零。

尘梦幽然

悟心之道 发表于 2012-4-9 09:44
像金山微特征，MD5之类要误判可能性是很低的，可以说理论上存在这种可能，实际可能性接近零。

嗯，但越是精确，广谱性就越差。所以需要找到一个平衡点。这个就需要厂商继续探索了。近几天，赛门铁克的信誉云进行了更新并且消去了大量云端长期未检测到使用的文件，提高了运行效率。附上一张截图把：
之前信誉云统计的文件比现在多了不少。信誉云和查杀云一样，都需要经常维护和更新算法。

悟心之道

5234377 发表于 2012-4-9 09:54
嗯，但越是精确，广谱性就越差。所以需要找到一个平衡点。这个就需要厂商继续探索了。近几天，赛门铁克的 ...

正常文件和不良文件中应该存在灰文件，这部分文件两边靠，用了对用户没有明显危害，不用损失也不大。
对已知文件采用非黑即白的二分法，忽视了自然界中普遍存在的灰色，从原理上讲很难精确了。

尘梦幽然

悟心之道 发表于 2012-4-9 10:00
正常文件和不良文件中应该存在灰文件，这部分文件两边靠，用了对用户没有明显危害，不用损失也不大。
...

灰色文件不少都被归到“已知不良的文件”中去了。
这就是为什么NIS在卡饭包解压时下载智能分析的检测率很高但是右键扫描和上报都不管的原因。

悟心之道

5234377 发表于 2012-4-9 10:02
灰色文件不少都被归到“已知不良的文件”中去了。
这就是为什么NIS在卡饭包解压时下载智能分析的检测率很 ...

不少商业软件，游戏软件的PJ补丁，估计归入不良文件了，对正常软件生产厂商而言这个判断是没问题的，但站在一般用户角度，是不受多数个人用户欢迎的。

尘梦幽然

悟心之道 发表于 2012-4-9 10:05
不少商业软件，游戏软件的PJ补丁，估计归入不良文件了，对正常软件生产厂商而言这个判断是没问题的，但 ...

美系三大向来都这样吧
没有云的时候诺顿、咖啡、趋势就已经都是破解软件的大杀器了。。。