《云安全》在线系列讲座之三 --- 云安全的悖论

xwxFirst

回复 90楼 nkspark 的帖子

刘旭先生的观点到现在还是正确的。

nkspark

从这一点上来看，传统反病毒在对病毒样本的快速响应上，绝对是不输于云安全的。传统反病毒的劣势是特征库到用户的分发时间，相对近乎实时的云安全来说，有点儿太长了。

人工分析，一个样本就够了，病毒分析员可以直接下结论，这是一个病毒，提取特征码，入库。“第一批牺牲者”也许只有一个用户。

自动分析，需要同一样本多次出现，触发预设的阈值，启动自动分析。预设的阈值也许是固定值，例如100，也许是比例值，例如所有用户的0.0001，如果是1000万用户，就是1000。所以云安全的“第一批牺牲者”永远是成批的。

诸葛头揪

回复 90楼 nkspark 的帖子

说得好，依赖自动分析，所以误报也比较高。我用过国内某家云安全，我感觉是误报较多。

nkspark

如果预设的阈值是比例值，例如所有用户的0.0001，如果是1000万用户，“第一批牺牲者”就是1000。如果是1亿用户，“第一批牺牲者”就是10000。如果你是恰巧处于“第一批牺牲者”之中，你告诉我，是用户越多越安全吗？

悟心之道

nkspark 发表于 2011-3-22 13:47
讲座一参见：《云安全》在线系列讲座之一 --- 云安全基本概念，http://bbs.kafan.cn/thread-934671-1-1.htm ...

没时间对你说的三点一对一了，总体来说讲座一、二的结论逻辑尚称严谨。
这讲座三，一、的结论既没能与现代新的网络传输技术紧密联系，二、搜索查询谷歌百度数据多少，速度慢？单机多有利厂商的可说，比较病毒样本获取量，再比如广告推广收入，增值使用等，厂商获得并不是一定得建立在损害用户利益上。三、单逻辑也有问题。你谈云单机感染就是100%受害，单机安全软件你计算机被感染就不100%了？比较遗憾！
等有时间再展开吧。
也等其他卡饭高见！

jefffire

nkspark 发表于 2011-3-23 18:03
从这一点上来看，传统反病毒在对病毒样本的快速响应上，绝对是不输于云安全的。传统反病毒的劣势是特征库到 ...

我都快笑死了，说两个一个都没说对。
你这“第一批牺牲者只有一个用户”，看来是写木马的写完后第一时间上报了
你这"预设阈值"理论不知又是从哪里想出来的。

0917lxw

你的观点不对，假如每个黑球代表一种种类的病毒的话，那么随着数据的增多，黑球就会多，也就是说病毒的种类也就越多，那么对云查杀到的毒的种类也就越多。

nkspark

jefffire 发表于 2011-3-23 18:26
我都快笑死了，说两个一个都没说对。
你这“第一批牺牲者只有一个用户”，看来是写木马的写完后第 ...

各位笑死之前，不要一句“不对”就评论完了。

错在那里，为什么错，讲清楚了先。

在水之滨

回复 94楼 nkspark 的帖子

那个，别的先不说。

如果人家不是设0.0001，而是设100个用户呢？不一定相对吧？绝对也ＯＫ

于是无论多少用户，第一批都是100

在水之滨

回复 92楼 nkspark 的帖子

人工分析，一个样本就够了，病毒分析员可以直接下结论，这是一个病毒，提取特征码，入库。“第一批牺牲者”也许只有一个用户。

一个用户，除非这个用户就是病毒分析员自己吧
否则，基于大多数人的机器中毒后自己却不知道的情况分析：你基本上得不到这个样本。