关于红伞的一些问题想请教大家

samlin01

    （不好意思本来想发到红伞区的，但是考虑到国外大区人更多遂发到此，如有不妥请版主帮忙移动）众所周知红伞以前是以启发引擎出名的，按我的理解，启发式是在遇到未知病毒时杀毒引擎根据自己的判断来实现查杀，也就是说，我可以理解为当今网络上大部分的流行病毒大部分是入了库的，只有遇到了新病毒是启发式才派上用场，事实上我发现红伞（包括我在样本区观察其他使用国外杀软的饭友）也的确是这么个情况，扫出来的毒要么报确切的病毒名，要么就是APC，启发报毒至少我极少遇到过，
    那么我的问题来了，相信大家可以看到，360杀毒报样本我观察过好久，他的云启发也就是heur qvm出现的次数高的吓人，有的甚至大部分都是这样的报法，这就奇怪了，作为中国本土杀软，拥有号称几亿的用户，搜集网络上的病毒样本有着先天的优势，虽说死入库不是办法，但是我知道启发式引擎优点不少，缺点也有，那就是启发式引擎存在误杀情况，而传统的特征库引擎则基本不会误报，所以现在大部分杀毒软件都是特征库为主而辅之以其他的比如启发或主防等手段，一款杀毒软件的启发引擎做的怎样不仅要看他的高识别率还要看它是否同时做到低误报，做到这点的是很难的，至今为止叫得出名的也就这么几家，那么为何360的报毒绝大数是启发报法而不是入库报法，难道真的如他们所说掌握了所谓什么机器学习技术？如果真的存在这种能根据程序自主判断就能实现如此高的查杀和不算高的误报，那么我觉得360可能真的再人工智能方面实现突破，相比之下国外几家都还停留在主要靠入库的阶段，为什么还说中国的反病毒技术与国外还有差距？困惑已久，希望有哪些大神能帮我解答这个问题

尘梦幽然

这根本不能比你知道吗。这是截然不同的两种检测方式。
然后，再说红伞。
为了方便类比，就拿360举例。
360是云杀毒软件，它对新病毒主要靠的是实时回传给云进行鉴定。云主要是要判定这个文件是不是病毒，那只要是或者否的答案就好了，没必要报那么细。就像红伞的HEUR/APC那样。
还有，红伞的启发不是一般的多，红伞喜欢提基因特征码，这就相当于其他杀软的启发。一个系列的流行病毒，我只要一条特征码就能都杀光。

samlin01

尘梦幽然 发表于 2015-2-2 23:51
这根本不能比你知道吗。这是截然不同的两种检测方式。
然后，再说红伞。
为了方便类比，就拿360举例。

这我还真不知道是两种不同的检测方式，还有你说360的云很厉害这我知道，但是你说的云判定是指云端已经有了病毒库，上传信息后只是做简单的比对工作来判定还是说云根据更高级的算法不过于依赖病毒库而进行自主学习判断？如果是前一种的话那就没啥稀奇的，只是把原来在用户电脑上的一部分工作转到云端而已，但如果是后一种的话那还是有点牛逼的。。。。
还有关于你说的红伞基因特征码，就是那些报毒名称后缀带gen的那些？我还真不知道他是启发报法，以为只是特征库的一种小小的总结，只有那些带heur开头的才算。。。。学习了，谢谢

尘梦幽然

samlin01 发表于 2015-2-3 00:16
这我还真不知道是两种不同的检测方式，还有你说360的云很厉害这我知道，但是你说的云判定是指云端 ...

360的云是很多东西结合在一起的。360云说的机器学习什么的的东西，其实红伞云也有，具体请参见红伞区资料。
现在病毒数量那么庞大，来源极其广泛，不可能都去人工分析。所以，不管是不是360、红伞那样公开宣称自己云用了什么机器学习技术的厂商，实际上我们日常耳熟能详的厂商，在客户端、在后台自动化分析中都有运用了机器学习的技术。
说到底，就算自学习也好，也是需要人工不断干预、优化算法的。机器学习，也是去学习已知病毒的特征，然后再对未知文件的属性做判断。但是在应对完全新的行为模式的病毒，机器学习也是很难正确判断其黑白的。
云存在的意义，本来就是为了减轻日益增长的客户端负担的。云上面有更多的资源、更多的规则（这个规则包括病毒库、基因库、行为规则库、信誉库、机器学习引擎等等）来对文件的属性进行分析。当然技术细节没有人能够知道，所以我也不能肯定说孰优孰劣。
红伞的基因特征码如果我没记错的话，基本上是全局的。.gen的也不一定是基因啊，有可能只是一种通用分类。

tanshi1990

大家来讨论gdata吧

samlin01

尘梦幽然 发表于 2015-2-3 00:31
360的云是很多东西结合在一起的。360云说的机器学习什么的的东西，其实红伞云也有，具体请参见红伞区资 ...

回这么多也是辛苦你了。。看来我读书少还不是一天两天能赶上的，那我再啰嗦一句如何判断360或红伞报毒那种是启发哪种是病毒库呢？红伞好说点，特别是360。。。

欧阳宣

samlin01 发表于 2015-2-3 01:28
回这么多也是辛苦你了。。&# ...

无论哪家都是云鉴定，启发和传统库一起上吧……

360买的红伞哪部分库俺不清楚，但是数字的那个引擎列表里面，云查杀引擎算云鉴定，qvm算有个本地的启发，剩下的多半要靠oem库来撑本地特征库。qvm本身又有放在云端的部分，所以他起的作用大一点。360肯定也希望qvm尽快能独当一面。

尘梦幽然

samlin01 发表于 2015-2-3 01:28
回这么多也是辛苦你了。。&# ...

红伞的话因为普遍喜欢用基因特征码，所以可能红伞的大部分报法都相当于其他杀软的启发了。
360的话更是说不准了，360报得很模糊。。
而且很多时候都已经出了结果了。也就是说，一个文件鉴定过一次以后，之后都在病毒库里了，那实际上不是次次都重新调用QVM的。360主要都是自动鉴定，所以我也没法告诉你哪个是启发哪个是什么。。

lipengyue93049

大家来讨论gdata吧

建极绥猷

lipengyue93049 发表于 2015-2-3 09:53
大家来讨论gdata吧

论坛里歌德塔的用户不算多哦，