请大家谈谈瑞星的主防

hez2010

zandalong 发表于 2013-7-16 12:46
学习了！
微点就是多步主动防御+白名单，而瑞星是单步HIPS+多步主动防御，比微点多了一个HIPS？瑞 ...

瑞星多步防御为木马防御，建议设置为自动处理。

其实瑞星白名单库也有，所以所说的智能问题在瑞星V16上已经不存在了，他说的情况是2011的版本，而瑞星的全部规则都在本地，这样相对于360断网后更占优势。
瑞星的云查杀运用“爬虫”技术，无需人工干预，自动收集、分析、入库网络上的病毒，比360的收集效率要高，因为瑞星不需要任何人的举报（除非有病毒被瑞星判定为安全才举报），同时比360误报率低很多
如果不信，那瑞星怎么可能从去年的10~20%的查杀率猛然间提升到现在80~90%甚至更高呢？
用360的用户一旦断网，误报率将会大大增加，因为它的白名单都在云端。而QVM是一个启发引擎，无需更新，适合查杀一些变形病毒，但是对于最新病毒的响应就不够，而且过360的QVM非常容易，这个你自己百度一下就知道。
至于为什么360主防拦截率非常高，因为它采用了一种极端方式——非白即黑，即将本地程序与云端白名单匹配，发现不认识的就报警，这便需要大量的白名单，所以一断网你懂得。
至于白加黑，交给查杀和文件监控吧，只需要查出那个黑dll，病毒就无法发作。

反病毒测试员

hez2010 发表于 2013-7-16 14:00
瑞星多步防御为木马防御，建议设置为自动处理。

其实瑞星白名单库也有，所以所说的智能问题在瑞星V16上 ...

星星的引擎 国内来说确实很牛逼了 就是不宣传

31997

zandalong 发表于 2013-7-16 12:52
按你的意思，360的云主防还是HIPS，只是因为有“云”，所以显得很智能？
我按费尔也有云主防，原理是否一 ...

不能简单的这么说，360云主防是一个完整的体系，并不只包括云和hips，360云主防相当于一个以云为大脑，综合hips，沙箱，ND，云端QVM等多种防御手段的完整的自动化反病毒体系，360云主防组件就是360安全卫士中的木马防火墙。我给你推荐一篇很好的文章，这篇文章是2011年写的，虽然有些老，但很值得一看。360云主防目前已经发展到了3.6阶段了，文章中的叉叉指的是网络安全防护(ND，有点类似于简单的智能防火墙)和 键盘记录防护。在以后的云主防发展中也会加入像微点那样的行为分析来不断地加强自己。费尔的主防于微点类似，不是云主防。
文章：http://bbs.kafan.cn/thread-1097945-1-1.html

hez2010

31997 发表于 2013-7-16 13:51
瑞星的多步主动防御组件是木马防护，还有，你可能理解错了，360云主防是不需要要用户参与的，我的意思是只 ...

360的主防是非白即黑，只要遇到360白名单没有的程序就会自动上报，而不是你说的“这个毒很厉害，躲过了360云引擎、QVM引擎的监控并在用户电脑里执行起来，这时，病毒只要一执行有危害用户电脑的动作，360的云主防（云端有拦截规则，不需要任何用户参与）就会自动的拦截它，并且将它列入云端的黑名单”。360是没有行为分析技术的。

360的QVM是利用支持向量机SVM作为一种可训练的机器学习方法，依靠小样本学习后的模型参数进行导航星提取，得到分布均匀且恒星数量大为减少的导航星表而学习了上百万的病毒样本做出来的，如果没有白名单，一台电脑中你自己开发的50%的正常文件都会判为病毒。

不信你试试，把360平时不报毒的程序改一下MD5哪怕是改一下文件的版本，程序依然是以前的动作却被报毒了，所以它需要大量的白名单来作为后盾支撑。

31997

hez2010 发表于 2013-7-16 14:00
瑞星多步防御为木马防御，建议设置为自动处理。

其实瑞星白名单库也有，所以所说的智能问题在瑞星V16上 ...

360的病毒收集、分析、入库也是根本不需要人工干预的，360也有爬虫系统，但爬虫系统只是360的病毒收集具体过程的一个分支，360的病毒收集有很多途径，主要途径我在20楼说过了，因为360有庞大的用户基数，一个病毒从出生到消灭，其生存周期不会超过5分钟,收集效率比其他杀软要高很多，而且现在挂马网站已经很少了，病毒主要传播方式是网购时黑心商贩通过聊天工具发来或邮件传输，而爬虫技术对这种病毒传播方式中病毒的收集基本无力，而360的收集方式不受病毒传播方式的影响，收集样本既快速又准确。还有，QVM并不是普通的启发式引擎，而是一种以非线性统计SVM算法为基础的启发式引擎，QVM本地有，云端也有，并且每两个小时自动更新一次，对新病毒相应十分迅速，且QVM很难过，很难定位，并且可以自我学习新的脱壳方式。360云主防并不是简单的非白既黑，而是非白即灰，白的放行，灰的交给QVM和主防判断，若安全无威胁则自动拉白，有危险则自动拉黑，实在无法判断就会提示用户放入沙箱隔离运行。至于断网，早在360云主防2.0阶段就有了持久性云地连接技术，无惧断网。还有，断网的最大威胁来自U盘，360在断网时，会将U盘可疑文件自动入沙的，因此断网也不用担心会中毒。QVM的误包并不大，断网也不会，SVM的结果是全局最优解。

潘中医

hez2010 发表于 2013-7-16 14:00
瑞星多步防御为木马防御，建议设置为自动处理。

其实瑞星白名单库也有，所以所说的智能问题在瑞星V16上 ...

1 360也有爬虫系统 2 瑞星爬虫系统的设计者刘刚说，爬虫爬的样本还是比较慢的。

潘中医

反病毒测试员 发表于 2013-7-16 14:07
星星的引擎 国内来说确实很牛逼了 就是不宣传

基本功确实不错，不知道周军走后那群技术员还能玩动那个虚拟机引擎不~

潘中医

hez2010 发表于 2013-7-16 14:33
360的主防是非白即黑，只要遇到360白名单没有的程序就会自动上报，而不是你说的“这个毒很厉害，躲过了 ...

说的不错~~

潘中医

31997 发表于 2013-7-16 14:51
360的病毒收集、分析、入库也是根本不需要人工干预的，具体过程我在20楼说过了，因为360有庞大的用户基数 ...

360都手动把常用软件拉白了，对于小种软件、刚编出来的就呵呵了。

31997

hez2010 发表于 2013-7-16 14:33
360的主防是非白即黑，只要遇到360白名单没有的程序就会自动上报，而不是你说的“这个毒很厉害，躲过了 ...

我说“病毒只要一执行有危害用户电脑的动作”的意思就是病毒作出的动作触犯了云端规则，我并没有说360云主防有行为分析技术的，360不是非白即黑，而是非白即灰，见25楼。qvm的误报并不大，我不明白你50%的结论是怎么造出来的，MD5、文件的版本什么的只是qvm上千个维度中的一个，修改一个是不会影响判断的，我重申一便，SVM获得的时全局最优解，当维度无线大时可以完全区分出两个事物，也就是说维度越大越精确，50%什么的时无稽之谈。SVM的统计精度不是一个定值，它受维度、参数等多方面的影响。建议你先去好好的了解一下svm在说吧