金山毒霸有主动防御吗？

野马

原帖由 挪威的冬天 于 2008-9-30 19:18 发表
MP 目前看起来的确是很智能化 但是它的主要威力也是体现在对未知变种的检测上

如果是一个全新的类型 内置规则并不包含的话那也没什么戏

这也是微点工程师还要继续工作的原因

也是铁军认为主动防御是梦想的原因吧

尽管还是不能百分百杀掉所有未知病毒

但是考95分总比考80分70分要好吧

挪威的冬天

原帖由 野马 于 2008-9-30 19:32 发表


这也是微点工程师还要继续工作的原因

也是铁军认为主动防御是梦想的原因吧

尽管还是不能百分百杀掉所有未知病毒

但是考95分总比考80分70分要好吧

是 按照微点的能力在处理同系列变种上的确是十分强大的

而且随着时间的积累 内置规则和白名单的完善 检测率会上升到让人很满意的高度

对于常规软件的误报率也会控制在比较好的范围内

在我看来金山打算走的似乎是另一条路

它试图在互联网上建立一个足够大的白名单

大到把用户常用的所有安全软件都收集的八九不离十

然后在客户端的规则上便可以很宽松

因为所有的常用大众软件我都已知安全

那么剩下的不管是未知还是分析中的东西我都可以认为是具有很高威胁度的

如果说微点是从大量样本中提取经验然后取病毒行为的交集

那么毒霸的思路可能就是对所有软件中安全的那部分取补集

saxfxyyz

哪里有真正的主动防御。。。。。。。

fengyifan

金山的新版出来在说吧！

qwe12301

原帖由 挪威的冬天 于 2008-9-30 19:41 发表


是 按照微点的能力在处理同系列变种上的确是十分强大的

而且随着时间的积累 内置规则和白名单的完善 检测率会上升到让人很满意的高度

对于常规软件的误报率也会控制在比较好的范围内

在我看来金山打算 ...

不是的,金山去年的防病毒趋势沟通会上曾经说过,金山就是要通过海量样本来进行一个海量的A.I.统计,然后再将这些病毒共性行为通过一个通用的规则来判定,也就是说,金山想建立一个庞大的行为分析库,客户端也有一个比较完整的规则,担不是全部,全部的规则在服务端.服务端有一个好处,那就是他的规则是实时更新的,而且避免了过多的规则占用过多的用户系统资源.


金山认为,本地AI这条路走不通，本地AI可以做到四五十分，但是五十分和四十分的东西，对商业用户来说它的价值不是很大，可能更多的不是想用一种算法固化在本地来做，可能更多的是用一种行为特征库。而这种行为特征库跟可信认证也会保持比较紧密的联系



以下是陈睿的原话(资料):


第三个也是我明年在珠海重点进行的工作，就是识别恶意行为的AI，我认为识别恶意行为更多的是需要转向服务端。就是恶意行为不能在本地判定，但是我们可以把恶意行为描述出来讲给服务端听，他有一个分析反馈。

主持人：感谢资深的反电脑病毒总监陈睿的演讲，听着很玄妙，每年新产品发布的时候我都觉得时间更美好了一些，更共产主义了，什么问题都能解决，每次陈睿讲到前面都觉得魔高一丈，后面都觉得道高一尺。昨天我们2008已经上线公测了，我想大家可能有一些不明白的地方，所以欢迎大家踊跃提问交流。

记者：这个可信技术一定要联网吗，金山杀毒软件金山毒霸测试运行效率还是不错的，因为网络带宽的影响会不会影响到查杀的效率，另外它的用户代码数量会不会减少？

陈睿：效率问题我们会考虑，所以进行可信认证是异步，我们对于本地电脑病毒库的搜索程度程度是主测的，我们在测定这个文件是否安全之前我们是不准它进入，异步这个行为在后台进行，这是对安全性和用户效率的一种折中。

记者：那么一些先驱会不会牺牲掉？

陈睿：这些东西现在也是死，电脑木马跟治艾滋病有相似之处，艾滋病是有了药也是死，有了药先用的一部分人可能会被药死，肯定头一部分人为后面的人做贡献。第二个问题这个跟特征码库大小没关系，最终可信认证服务端结果还是会变成特征码下载到本地，这样可以保证用户安全效率，因为本地更快。我们现在可信认证和电脑病毒库的关系是可信认证的黑名单与电脑病毒库一一对应，到未来的关系很可能是本地电脑病毒库是可信认证黑名单的一个映射。我们现在珠海进行电脑木马生存周期的研究，因为电脑病毒没有生存周期，但是电脑木马的生存周期是抗投放，这个研究比电脑病毒更难，所以我们在进行电脑木马生存周期的研究，如果这个达到比较好的效果，我们就敢大胆减少本地电脑病毒库的体积。

记者：您明年重点在电脑木马AI做一些研究，您是打算在支持部还是…，您觉得哪方面投入精力会更大？

陈睿：有的时候走的晚不是坏事，金山杀毒软件金山毒霸在主动防御上走的比较晚，因为各种各样原因，刚好可以让我们看得比较清楚一些，我个人技术观点，

本地AI这条路走不通，本地AI可以做到四五十分，但是五十分和四十分的东西，对商业用户来说它的价值不是很大，可能更多的不是想用一种算法固化在本地来做，可能更多的是用一种行为特征库。而这种行为特征库跟我们可信认证也会保持比较紧密的联系。

我们现在可信认证所收集的还只是文件，下一步我们准备收集更高的两个纬度，第一个是文件与文件之间的关系，比如说哪些文件容易存在于同一台机器上。第二是文件所触发的行为。把这些都收集下来以后，真正有效的AI是统计。比如google，以前我们做机器翻译的时候更多的思路是让程序模拟语言逻辑，但是最后的效果会发现在少数测试样本下还可以，但是在大量的测试样本下不是很有逻辑，因为计算机比人有逻辑，其实人说的话互联网上都有，就看你是否能找到它，所以它翻译的时候是拼句子，只要把这些句子拼起来更像人说的话，所以未来AI发展方向应该是这个方向。


比如计算机同样判定一个MD5的文件有一千个文件名，它成为电脑木马的概率会很高，当我们服务端的行为我们发现在一个很短的时间内大量的机器出现一个文件的时候，那么这个文件不是一个大的软件版本更新就是一个大的电脑病毒暴发，如果我们发现有大量的用户在发送同样的邮件的时候，这个邮件也很有可能是电脑病毒。其实它的判定我可能更相信用这种方式来判定。比如对于垃圾邮件的判定，每个人用手敲的邮件一定是不相同的，如果有大量相同的邮件流传那一定是垃圾邮件，这个是站在比较宏观的角度来看。

记者：我是不是可以理解为，您的意思想建立一个比较全面庞大的知识库，它不是复杂还是要简洁。

陈睿：我觉得客户端的代码一百行跟十万行是一样的。

记者：你提到黑白名单，还有一些灰色地带怎么界定？

陈睿：对于杀毒软件不存在，它不是白就是黑。

记者：那么对于一些防御软件

陈睿：可信认证是人判定，它可能带有一个厂商观点，我们认为它是恶意的，我们会把它判定为恶意，同样的厂商可能认为恶意行为较小，就不会判定。所以有的产品会判定有害，有的产品会判定无害。

工藤新一

学到了。。。
感觉：海量的数据（说云好像也可以）是前提，在这个前提下发展AI（即挪威说的交集）就容易多了。。。

醉一生爱妍

08的。。那摆设吧

luckyjoy

服务端行为分析在5年以内是无法实现的
金山换SSD硬盘了嘛？没换，服务器根本顶不住，到时候客户埋怨起来还不如现在这么赤膊的好
服务器AI只是金山长期的一个规划罢了
我们普通PC端的用户能在2009版本上看到一个完善的可信认证应用体系已经很不错了
至于主防。。。那在等等吧

qwe12301

都说了


大部分的规则在本地


而且我可以告诉你，金山现在斥资数千万，把毒霸服务器秘密升级，增加了千台吧

luckyjoy

不过金山在规则这方面起步很晚，不知道在09版上能追赶到什么地步？
PS:你有内测版本了？