ksn触发自动上报标准

Epileptical

ksn是卡巴的重要组成部件，使用庞大云信誉库拉黑病毒。但是许多用户都不会也不知道如何上报，那么卡巴是如何保证面对新病毒的能力呢？是启发式或者主防扫出未入库的毒自动上报吗？还是只能手动提交？

ジ蓅暒划过づ

主防和ksn联动的，双击一个过监控扫描的样本被主防拦了的话，ksn很快就会拉黑

Epileptical

ジ蓅暒划过づ 发表于 2025-4-17 18:33
主防和ksn联动的，双击一个过监控扫描的样本被主防拦了的话，ksn很快就会拉黑

请问是只能主防还是HEUR扫到的也会提交
主防毕竟是最后一道防线

awsl10000次

可以确定的是卡巴斯基会对ksn未知样本上传md5
https://bbs.kafan.cn/thread-2149125-1-1.html
尽管客服否认，但根据用户协议看卡巴斯基确实写了必要的情况下会上传样本，但不清楚判定上传机制，上传次数也不频繁（我的感觉是没有eset频繁）
有的时候pdm报毒不会引起云端联动（bss报毒op绿的情况下大概率不会快速拉黑，有些bss报毒但op灰色未知未上传的样本也只有一条bss记录（上传md5），没有后续的拉黑和特征），但有的时候也确实会拉黑，这个联动逻辑我感觉也不太清晰，可能是根据流行性做取舍？https://eugene.kaspersky.com/202 ... eckers-anniversary/
这上面卡巴斯基创始人展示了他们早期自动分析系统的逻辑，就是有点模糊看不太清


然后就是卡巴斯基云端有一个被称为Astraea（希腊神话里的正义女神）的自动处理系统
https://eugene.kaspersky.com/201 ... ntroducing-astraea/
https://eugene.kaspersky.com.cn/2014/07/14/卡巴斯基反病毒配方/

由于我们掌握了有关用户计算机上恶意软件行为的统计数据，Astraea 了解恶意软件的所有功能——例如没有数字签名、自动启动的存在、使用某些打包程序等。当 Astraea 开始收到表明新文件具有恶意软件功能的通知时，它会根据累积的数据相应地降低这些文件的“授权”评级。因此，当文件评级达到临界阈值时，系统会将其标记为完全恶意，生成必要的签名，并通过 KSN 将这些签名传输给用户。而且一切都是完全自动的！

以类似的方式，系统对恶意网站进行抢占式搜索。它可以检测类似于以前发现的恶意主机或伪装成合法主机的网站的资源。这里也有很多标准;例如，电子邮件地址或所有者姓名的同意、资源的注册日期、主机上是否存在不受信任的文件等。

看宣传现在这套系统应该也在用，基本逻辑也许区别不大

ジ蓅暒划过づ

Epileptical 发表于 2025-4-17 18:45
请问是只能主防还是HEUR扫到的也会提交
主防毕竟是最后一道防线

启发能扫到的没必要提交给ksn阿，启发能扫到的估计病毒一落地就被文件反病毒秒了

Epileptical

ジ蓅暒划过づ 发表于 2025-4-17 19:00
启发能扫到的没必要提交给ksn阿，启发能扫到的估计病毒一落地就被文件反病毒秒了

有道理

Epileptical

awsl10000次 发表于 2025-4-17 18:58
可以确定的是卡巴斯基会对ksn未知样本上传md5
https://bbs.kafan.cn/thread-2149125-1-1.html
尽管客服否 ...

决策树和局部敏 感哈希都听说过了，就是astraea不知道是什么
谢谢您的专业回复

啊松

卡巴的云目前来看只体现在op快速拉黑上。

Epileptical

啊松 发表于 2025-4-18 10:37
卡巴的云目前来看只体现在op快速拉黑上。

已知触发主防和上报一定可以拉黑