【dong0022】关于人工智能引擎的建议
首先“智能”两字来源已久但一直基于启发算法上如最早的静态启发到后期的动态启发+虚拟机最后到现在的人工智能。现在分析一
下将人工智能付诸于安全领域实际产品的两家厂商:首先是360的QVM(QihooSupport Vector Machine)人工智能引擎,此项目
在2008年立项经过3年研发于2011年正式应用于360杀毒2.0上后期与云端结合的云QVM效果卓著在对未知病毒检测能力上大幅提升!
QVM的原理虽然360官方始终保密但有兴趣的朋友还是猜出了一些“端倪” 首先其先扫描海量黑样本并进行数学概率统计建模,对
毒木马样本的动作充分掌握并计算概率,一旦一个未知文件的动作超过了这个概率便判定为黑;但与其他启发式引擎一样初始
时QVM误报比较高所以后期让其再“学习”海量白文件再进行概率统计建模这样误报便降低了。所以QVM的主要判定是从文件本身发起
的。
另外一种人工智能是金山的KSC(Kingsoft SystemIntelligent Cloud)其原理是以系统维度出发分析木马文件的启动点(不是启动
项),打个比方就是一个不应该出现在QQ文件夹下的病毒文件出现了那么KSC就根据云端启动点规则进行判定。由于只扫描“活
体”病毒所以这种技术在文件静态查杀检出率上不会有明显提升但是却对整个计算机系统有全局的把握。
分析完两种现行的人工智能引擎再说说瑞星。由于瑞星的主防是本地行为分析所以选择类似QVM的人工智能引擎不太适合。鉴于瑞星
的系统修复能力一般所以建议开发类似金山KSC的从系统维度鉴定的人工智能引擎。待成熟后将其融入系统加固可以使判定更准确、
误报更少!这样的智能系统加固+本地行为分析的主防架构可以使拦截能力大幅提升而误报将至最低,而且到时对感染病毒的系统修
复能力也将提高!
dong0022 最后编辑于 2012-08-05 10:50:28
