关于启发（主防没有良好的定义，为何还要争论不休呢？）

显示全部楼层 · 发表于 2014-9-1 12:43:10

在我的认识里，“主防=主动防御”的缩写，而主动防御是个非常广泛而模糊的概念。
如果单从名字上看，主动是被动的反义词，所谓被动，又有很多解释，我可以解释为“用户不操作，安全软件就不反应”。如此，那么所有杀毒软件都有主防——实时保护，在用户操作之前它们就“主动”地扫描了新出现的文件。
如此这般，每个人都有每个人的解释，何时能够争论清楚？于是我认为，顾名思义不可取。
而我又记得HIPS区的精华帖里就说明过，到目前为止，所谓“主防”、“主动防御”都还没有一个很完善的定义。因此我觉得关于某个软件到底是不是主动防御之类的讨论就变得意义不大了。

可以讨论的是现在已经有明确定义的概念，就我个人而言，我只区分下面四个概念：
单步hips、多步hips=智能hips、启发、云。
前两者的区分大家都知道，就不赘述。

如今，“启发”与“主防”同样这个概念似乎也模糊了起来，本文主要讲讲我心目中的启发（较为广义，定义见下文），无意引发口水。

即使我抄百科，相信也有人不能信服，因此，可以从事实出发，如果承认以下事实，相信也可以接受后面的推理。
事实1：单步hips不是启发
事实2：扫描时的虚拟机行为特征识别技术是启发
事实3：启发针对未知样本，发现已有传统特征码的病毒不是启发

参照这几个事实，可以得到启发的两个层面的含义：
第一层：从事实1和事实2的对比上，可以看出”启发“应当是一种“自动判断”的技术，而不是手工根据行为判断。
第二层：从事实3上，可以看出“启发”是一种针对未知样本起作用的技术。

如果是这样，那么广谱特征码，肯定是启发的一部分，而传统特征码（不合第一层）、单步hips（不合第二层）肯定不是启发的一部分。

我们知道，在扫描时，通过虚拟机运行样本来检查其符不符合某些行为特征的技术，是启发技术里最早最成熟的技术之一。
私以为，多步hips从判断文件是否有害的原理上和这个技术是一致的，他们二者唯一的区别是，前者在虚拟机里运行样本，后者在实机上运行样本，因此回滚技术是多步hips的标配。从这个意义上讲，多步hips也算启发。

此外，还有一个很热的技术，云。
私以为，云主要是两个技术，一个是信誉云，一个是云端的启发。
前者是通过一个文件在用户群中的分布、存在的时间、用户对该文件各种行为的操作来标记一个文件是否可信。可以发现，这一过程不符合第一层，它能判断的样本某种意义上已经录入了数据库，因而不算启发。
后者，其实就是一个“未知文件自动上传+服务端数据挖掘算法判断未知样本+实时特征码推送”的过程。其中端，正是一个常规的启发过程，只不过用于判断的样本（训练数据）较为多，因而放在云端。

我觉得，大家争论一个软件是否有主防、主动防御等技术，不外乎是想说明这个软件是否采用了某种和别人不一样的技术。
如果是这样，我相信上面写明的那些已有明确定义的概念完全能够区分任意的两个安软，如果它们能以”是否有主防“来区分。
以具体技术为出发点的讨论，既详细，又却又不会陷入口水之争，何乐而不为呢？

显示全部楼层 · 发表于 2014-9-1 12:53:13

本帖最后由 tomochan 于 2014-9-1 12:54 编辑

主防——实时保护，在用户操作之前它们就“主动”地扫描了新出现的文件

为什么要听小白这种P解释
看来如果按照小白的理解要是说硬盘就是手感较硬的存储盘，估计软盘硬盘的定义都要争论不休了
有些人可以胡乱去理解，但不表示这些胡乱理解的人理解的东西就能成为标准，就能称为一个新定义

显示全部楼层 · 发表于 2014-9-1 12:55:51

大牛能否科普一下目前国内杀软的技术，国内四大金刚哪家技术相对好些，给我们小白一个参考

显示全部楼层 · 发表于 2014-9-1 12:57:04

主防确实没有良好的定义。但鉴于微点是第一个提出主防的，我对主防的定义就同微点那样

显示全部楼层 · 发表于 2014-9-1 13:01:13

tomochan 发表于 2014-9-1 12:53
为什么要听小白这种P解释
看来如果按照小白的理解要是说硬盘就是手感较硬的存储盘，估计软盘硬盘的定义 ...

是啊……帖子里面用“所谓主防，顾名思义……”开头的帖子还少吗？
所以说，不能顾名思义，用具体的技术来讨论软件之间的区别更好，而不是一个各有各的理解的”主防“

显示全部楼层 · 发表于 2014-9-1 13:01:47

又开始了。能防木马就是好。
“超级正宗”主动防御，结果防不住。最后还是要增加单步拦截才能防。那这个“正宗”有啥意义？
http://bbs.kafan.cn/thread-1767980-1-1.html

显示全部楼层 · 发表于 2014-9-1 13:03:36

莒县小哥发表于 2014-9-1 12:55
大牛能否科普一下目前国内杀软的技术，国内四大金刚哪家技术相对好些，给我们小白一个参考

我不是大牛

如果我回你……这个帖子必会歪楼

所以我建议你列出你（详细）的标准和要求发一个帖子，这样不会引发口水……

显示全部楼层 · 发表于 2014-9-1 13:06:44

jefffire 发表于 2014-9-1 13:01
又开始了。能防木马就是好。
“超级正宗”主动防御，结果防不住。最后还是要增加单步拦截才能防。那这个“ ...

姐夫乃好

谁说要主防了，找到关于主防的价值判断句三人气奉上

显示全部楼层 · 发表于 2014-9-1 13:09:42

本帖最后由 jefffire 于 2014-9-1 13:11 编辑

houtiancheng 发表于 2014-9-1 13:06
姐夫乃好
谁说要主防了，找到关于主防的价值判断句三人气奉上

刘旭说的“主动防御”就是行为分析，其实早就有了，只不过包装了一个“主动防御”的商业概念。
行为分析才是技术实质，主动防御是商业宣传。

显示全部楼层 · 发表于 2014-9-1 13:16:47

jefffire 发表于 2014-9-1 13:09
刘旭说的“主动防御”就是行为分析，其实早就有了，只不过包装了一个“主动防御”的商业概念。
行为分 ...

以具体技术为出发点的讨论，既详细，又却又不会陷入口水之争，何乐而不为呢？

就这意思

[讨论] 关于启发（主防没有良好的定义，为何还要争论不休呢？）