关于QVM和KVM的一些思考，勿喷！

显示全部楼层 · 发表于 2012-9-30 22:41:23

本帖最后由 CiInitialize 于 2012-9-30 22:49 编辑

希尔27 发表于 2012-9-30 22:20
作为数学专业学生，无奈表示不知高深理论和实际应用怎样结合。。。
但实际感觉来看，从查杀率角度貌似kvm高 ...

KVM的查杀率现在无论断网和联网都是不如QVM的。

而且要明确的一点是，即便是现在的KVM查杀率，也不是通过类似QVM人工智能的技术方式达到的。

现在金山的KVM里，所谓的人工智能（也就是唯一类似QVM）的部分，其实根本就没有发挥什么作用，主要检出作用的是一个传统的启发引擎部分，可能是金山过去放在云端的一些启发规则
其实就是金山将一个传统启发引擎套了一个SVM的壳，将两者的检出结果混合起来忽悠人而已，传统启发引擎在对抗单一模式的样本（比如卡饭有限的质量并不高的样本集合来源）只要做好规则就可以了，但放到亿万用户级别和大的恶意样本广度上来看，是天差地别的

也就是说，就对比QVM和KVM在人工智能技术上来说的检出率，几乎是没有可比性的，就如楼主的分析。

这一点可以将KVM中的SVMLIB干掉来确认，同样如楼主分析，由于两者采取的根本不是可以对比的数量级上的技术，因此在样本广度上的检出率是完全无法对比的。

显示全部楼层 · 发表于 2012-9-30 23:07:32

希尔27 发表于 2012-9-30 22:20
作为数学专业学生，无奈表示不知高深理论和实际应用怎样结合。。。
但实际感觉来看，从查杀率角度貌似kvm高 ...

谁都可以把启发引擎的查杀率提高。
但是误报也大大增高

你看到的只是查杀，
自己去测测误报就知道了。

qvm和kvm现在查杀率相当，
但是精准度上 qvm 完胜
误报控制上 qvm完胜。

显示全部楼层 · 发表于 2012-9-30 23:09:06

CiInitialize 发表于 2012-9-30 22:41
KVM的查杀率现在无论断网和联网都是不如QVM的。

而且要明确的一点是，即便是现在的KVM查杀率，也不是 ...

KVM是传统启发?这个意思对不对?

显示全部楼层 · 发表于 2012-9-30 23:16:43

22667999 发表于 2012-9-30 23:07
谁都可以把启发引擎的查杀率提高。
但是误报也大大增高

更何况KVM现在的在卡饭上的检出率完全是靠其传统启发引擎撑起来的，和人工智能没什么关系

不是一个数量级的东西，没可比性

显示全部楼层 · 发表于 2012-9-30 23:19:03

本帖最后由 CiInitialize 于 2012-9-30 23:22 编辑

XMonster 发表于 2012-9-30 23:09
KVM是传统启发?这个意思对不对?

KVM里有SVMLIB的使用，相信有人工智能参与的部分是有的，但是正如楼主分析，由于不能深入理解和运用SVM，KVM里的人工智能还停留在非常初级的阶段，根本无法和成熟的QVM相比较。

所以现在KVM里主要起作用的部分还是传统启发规则，应该是将以前的金山云鉴定器的规则下放本地了

这些鉴定器以前放在云端不易被免杀，加上金山原来的低级哈希云有严重漏洞直接改点字节就免杀没必要去免杀启发规则，现在金山做不出真正的人工智能引擎，又不得不搞点东西出来拼，只能将这些老本下放本地了

但这样带来的后果是更容易被针对免杀了，可以预见的是悟空的KVM针对国内会免杀的样本的检出率将在年底开始比较大幅度的下滑

显示全部楼层 · 发表于 2012-9-30 23:25:19

CiInitialize 发表于 2012-9-30 22:41
KVM的查杀率现在无论断网和联网都是不如QVM的。

而且要明确的一点是，即便是现在的KVM查杀率，也不是 ...

SVMLIB是哪部分文件? 传统启发规则又是哪部分?

显示全部楼层 · 发表于 2012-9-30 23:26:58

本帖最后由 CiInitialize 于 2012-10-1 00:16 编辑

jefffire 发表于 2012-9-30 23:25
SVMLIB是哪部分文件? 传统启发规则又是哪部分?

在金山的文件里搜"libsvm"字符串就能看到了，具体的代码和网上开源的libsvm代码一对比就知道了，开源的东西稍微改改就出来了

传统启发规则混在一起了。

显示全部楼层 · 发表于 2012-9-30 23:27:19

XMonster 发表于 2012-9-30 23:09
KVM是传统启发?这个意思对不对?

传统启发的意思是指虚拟机启发么？

显示全部楼层 · 发表于 2012-9-30 23:28:16

tjh0429 发表于 2012-9-30 21:23
现在kvm的查杀不是很光彩么？

新毒霸默认设置为高敏感启发。。。这事只有毒霸敢干。。。

显示全部楼层 · 发表于 2012-9-30 23:31:59

本帖最后由 CiInitialize 于 2012-9-30 23:37 编辑

sam__天涯发表于 2012-9-30 23:27
传统启发的意思是指虚拟机启发么？

不是什么虚拟机启发，就是最原始的启发，比如 KVM有一个分类叫KVM04，这个玩意就是一些最简单的病毒免杀经验规则，比如PE就一个节，或者空的IAT，等等，那就报，就是这么简单的规则。跟虚拟机八杆子打不上，就是一些代码特征的经验总结

人工智能学习和识别技术是完全自动化的和病毒本身已知的行为的无关的，就这一个KVM04就让人笑掉大牙搞明白KVM根本不是人工智能了

KVM的启发也就稍微比自动特征码提取+匹配稍微强那么一点点，可以勉强称得上启发（多谢启发式这个名词的广义），其实完全是靠病毒分析师（人肉脱壳机嘛，哈哈，就是这样）的经验总结出来一些已知病毒的规律，跟人工智能技术可以自动学习和进行识别完全未知的病毒是完全不一样的

[技术原创] 关于QVM和KVM的一些思考，勿喷！

评分