建议瑞星开发类似金山90秒云鉴定系统!!!
建议瑞星能开发像金山那样的 90云鉴定 -------快速病毒鉴定系统
下面我将从 金山的 扫描鉴定策略 、 引擎构成和鉴定原理和误报控制几方面来解说:::
再说金山的云鉴定 系统前,我希望瑞星能开发类似金山kvm和ksc,和360的qvm引擎的 云端启发引擎和云端行为分析引擎,然后再开发配合90秒病毒快速鉴定系统,瑞星的查杀就完美了!!!
下面我具体说说金山的 90秒病毒快速鉴定系统
1、扫描策略
金山的云鉴定系统和云查杀系统是使用同一个引擎的,个人认为!!!云查杀扫描文件时,验证文件的md5值,不同的是 ,金山即验证云查杀系统的 黑名单,还验证信誉云的 白名单(及判断是否是安全文件的白名单,就像瑞星的“默认放过“云安全”中的安全文件”所使用的白名单那个系统)。在这里金山的判断是这样的-------云查杀引擎获取md5同时和金山的黑名单和白名单验证,若文件安全信息未知(就是既不在白名单,也不在黑名单中),就会上传这个文件,马上进行90秒云鉴定!!!
2、引擎构成和鉴定原理
金山自己宣称云鉴定系统是在自己的30核引擎的基础上衍生出来的。在这里30款鉴定器工作原理是这样的,以瑞星 卡巴 江民 诺顿举例,金山分别提取它们的传统病毒扫描引擎和云查杀引擎来构成金山自己的传统病毒扫描云鉴定器,这是金山的第一个扫描鉴定器集合;第二步提取它们的启发引擎构成金山的启发鉴定器,这时金山的第二个综合鉴定器----启发鉴定器;然后提取它们的行为分析鉴定器,构成金山的行为鉴定器,注意也是综合鉴定器,这是金山的第三个鉴定器----行为分析鉴定器;同理生成第四个云鉴定器------网页挂马鉴定器!!!当然这些集成鉴定器中的瑞星或江民 、卡巴的引擎 也有可能是云引擎!!!
我们已经分析了金山的鉴定器构成,接下来我们分析其的工作原理:
金山将未知2文件分别放入自己的鉴定器中,如:传统扫描鉴定器、传统的静态启发鉴定器和行为分析鉴定器等等,接下来 就等着这些鉴定器出扫描结果,说白了就是在这些鉴定器过一遍,扫描一遍看看这些鉴定器是否报毒,报读的有几个引擎。以传统扫描鉴定器举例,假设这个综合鉴定器只有瑞星 江民 卡巴 360 诺顿这些引擎,金山将文件放入这个鉴定器中,接下来瑞星、卡巴 等杀软的引擎对这个文件进行扫描,看看有几个引擎报毒,哪几个不报,然后根据这个结果生成一个分数,接下来放入第二个综合鉴定器,过一遍,也产生一个分数,这是静态启发综合鉴定器,同理放入行为分析综合鉴定器,也产生一个分数,最后金山自动根据分数的比值,综合打分,想不想员工面试???笔试站40%,进入面试 ,面试呢?站60%,然后根据两次考试得到一个综合分值,来决定是否录取员工!!!在这里,金山根据各综合鉴定器也产生类似的分数比值,如:传统扫描鉴定器得出的分数站40%,静态启发站20%,云查杀综合鉴定器站20%,行为鉴定器站10%分数,然后就想笔试面试一样,生成一个综合分数,然后这个数字与金山设定的数值比较,若符合就报毒,不符合转人工鉴定!!!
这就是金山云鉴定系统的工作原理和实质,就像是多引擎扫描网那样,对一个文件扫描人家报毒,金山就认为是病毒,只不过金山系统更加精密罢了,如vt扫描网!!!
3、误报控制
为了降低误报率,金山对其文件的判定安全值,进行严格设定,哪怕是鉴定不出来文件的安全,也绝不会为了鉴定效率草率行事,所以很多文件在金山的云鉴定器走过了90秒后,自动转人工坚定了!!!
其实 ,我希望瑞星开发三中云端鉴定系统,配合使用,来提高文件的 鉴定效率,瑞星的文件鉴定速度太慢了!!!
第一种:类似金山的云鉴定器,特点是 误报率低,鉴定速度快,像提取文件的特征码进行鉴定,像是微观鉴定!!!
第二种:类似金山和360的 kvm 引擎和qvm引擎,这种引擎特点是不提取文件的特征码,而是分析文件对api的调用,是否隐藏等动作,分析是否是病毒,像是宏观鉴定!!!
第三种:类似金山的火眼,云启发引擎!!!
利用第一 和第二中病毒鉴定方式,快速进行黑白判断
利用第三种病毒鉴定方式来,增强瑞星的行为分析查杀率!!!
另外说一句,金山的云鉴定系统是存在于扫描和监控中的!!!
我使用金山杀软时,经常发现报告病毒,是云鉴定系统发现的!!!
希望瑞星能开发上述三种云端病毒分析系统,加快病毒的分析入库速度
从而在根本上,提高瑞星的查杀率,毕竟人海战术效率太低了
用户系统信息:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.92 Safari/537.1 LBBROWSER