《云安全》在线系列讲座之三 --- 云安全的悖论

nkspark

jefffire 发表于 2011-3-23 19:16
所有一切都是概率。
以MD5为例，其20位16进制数是个有限集合，而无穷多的文件是个无限集合，从无限集合向 ...

"以MD5为例，其20位16进制数是个有限集合，而无穷多的文件是个无限集合，从无限集合向有限集合映射，一定会产生同一个值的情况。但MD5我们都在用，基本没人担心会有个病毒和正常某白文件MD5值一样。为什么？？因为这种概率太低了，基本可以忽略不计。"

关于MD5到底多少位的小瑕疵我就不多说了。你说的很对，根据抽屉原理，无限集合向有限集合映射，必然产生碰撞。但你只知其一，未想其二。所有结论都是有条件的，例如，当N很大时，我们可以认为它就是无穷大。或者说，在有限时间内，例如十年内，世界上所有的数据文件加起来的数量，也远较MD5值集合来的小。这时是一个很小的集合向一个很大的集合的映射，所以我们（现阶段）才根本不担心MD5碰撞问题。

"因此总结一下，不管什么方法，只要他的置信概率能够达到一定水平比如（99.9%），那么我们就完全可以接受这种方法"

不用99.9%，也许60%就够了，具体数值是多少，一方面取决于反病毒厂商的商业道德，另一方面取决于用户的承受力。

nkspark

在水之滨 发表于 2011-3-23 19:41
回复 107楼 nkspark 的帖子

假如你说的对：

如果仔细看了本首席的讲座，为什么还能提出“实际病毒Ｎ多”这样的假设前提？给个实际的论据支持一下先。

小紫英

回复 112楼 nkspark 的帖子

是啊，病毒没几个，木马流氓可是无限多，被感染的样本更是无穷无尽，何来一个月4个样本的搞笑说法

nkspark 发表于 2011-3-23 19:16
举个例子说明我对这几种判定方法的理解：

目标：判定给定数值如12468、86421，是奇数还是偶数。

第三个例子是在调戏qvm么。。。

nkspark

小紫英 发表于 2011-3-23 23:08
回复 112楼 nkspark 的帖子

是啊，病毒没几个，木马流氓可是无限多，被感染的样本更是无穷无尽，何来一个月 ...

小紫英同学，我还是很欣赏你这种即使主人下了逐客令还依然不依不饶死缠烂打到底的蛮劲儿。

纠正一下，不是一个月4个，是平均1天4个。这个数字来自二月份新增ITW样本集，里边共有样本114个。

我的数据有出处，你的数据呢？“木马流氓可是无限多，被感染的样本更是无穷无尽”，到底是多少？数据来源？

小紫英

回复 115楼 nkspark 的帖子

ITW只收集病毒的母体吧，每天新增样本多少，一年又有多少，各个厂家的安全年报都有吧，自己去看啦，每个厂家说的数目都不同，但是绝对超过1400这种每天4个的“可靠数据”

小紫英

回复 114楼 单身熟男 的帖子

基本方法说的没错啊，只不过QVM没这么笨

小紫英 发表于 2011-3-23 23:36
回复 114楼 单身熟男 的帖子

基本方法说的没错啊，只不过QVM没这么笨

基本方法是没错，不过判断奇偶数不是看一串数字里面有几个基数几个偶数，甚至跟这个一点关系都没有，我以为他是在讽刺qvm只是在瞎蒙，根本定位不了特征。。。

在水之滨

回复 112楼 nkspark 的帖子


其实根本不用我去找什么数据支持了。

不是一个月4个，是平均1天4个。这个数字来自二月份新增ITW样本集，里边共有样本114个。

如果真是每天４个，基于传统方法的杀毒岂不是可完美防御？就像你说的方法１，样本集有，就是木马病毒，样本集没有，就不是木马病毒。

可实际情况是木马病毒在肆虐。
难道首席每天没有去完成对于4个样本的特征提取？
还是每天故意只完成2个样本的特征提取?

在水之滨

回复 118楼 单身熟男 的帖子

我理解的是他想说0-9这些只是组成样本的特征。
如果真是拿奇偶数判断去当实例，就有点搞笑了。