回复:建议改进 云的 收集 和 鉴定速度!!!
开发一种 类似 数学统计规律的 启发式引擎 ------最好做成云端 启发引擎 ,配合本地的静态启发 使用
若 将 这种启发 放在 本地的话 ,占用资源太大!!!
此种引擎提取一个文件的一些特征如:文件调用了哪些API,后缀名是否是隐藏的,文件大小,是否是自解压等。在引擎提取了这些特征之后,就记录下这些特征的出现频率。比如一个文件调用了某个API,我就计成这个特征为1,没有调用就记成0。然后把这上千的api特征全都记录下来。接着,引擎扫描海量的样本。当然,是事先分好黑白的样本。比如扫描海量的黑样本,统计记录下每个黑样本的每个特征的值,然后做一个统计。比如说发现在所有黑文件中,调用某个API的概率为90%,调用另一个API的概率为20%。同样可以类比白文件也是这么记录。那么之后,程序员针对这上千个特征得到的数值建立一个数学模型,通过复杂的加权或者其它种类的计算得出没有扫描过的文件的黑白。比如说,我扫描一个未知文件的时候,发现它调用了那个API,根据之前的经验,调用了那个API的就是黑的,那么这个文件就判定为黑。把这个结论延拓到上千个特征,就是我所说的引擎的工作原理了。
就这样,新版的引擎每天扫描海量的黑和白文件,不断扩大自己对已知黑白文件的特征的特性的数据库,来判断未知文件的黑白,就这样每天提高对病毒的检测率和降低对白文件的误报率,使得判断结果更为精准和可信。也就是说,引擎不在乎每一个文件的细节,它究竟是不是有病毒行为或者怎么样,它是不是加壳了等等,它是通过一个数学统计的方式去通过宏观的方法去判断一个文件的黑白。
说得通俗一点,举一个例子,就好比警察抓小偷。警察先抓了很多的小偷和很多不是小偷的好人。发现小偷一般都贼眉鼠目、歪眼斜视、穿着邋遢;好人都是正视前方,穿着体面,大方。然后下次警察发现一个热贼眉鼠目、歪眼斜视、穿着邋遢的时候,他就认为这个人是小偷了。然后它日复一日地抓,抓了更多的小偷,总结出更多的规律和经验,抓小偷也就越来越准。同样类推到好人身上,也就很少会抓错。
然后 再开发一种 类似 金山的 云引擎 ,云端目前有30多款的鉴定器,有启发式的,也有行为判定的,还有其它的专门针对某些病毒的鉴定器,而且这些鉴定器是在每天更新、甚至有更换的。但是绝对不是某些人想象的那样的是多引擎扫描。可以说,金山的云端鉴定器是很先进的,用各种不同的方式去鉴定一个样本的安全性,然后通过加权或者其它的算法给出一个总评,来最终判断文件的安全性。工程师们通过每天的回扫和人工鉴定等的结果,对一些鉴定器给出的结果做出调整,对于一些鉴定率低的鉴定器,则是进行淘汰处理。所以说,金山的查杀率都体现在了云端,所以一般人都看不见金山的进步。但是可以说,金山的查杀率是每天都在进步的。或许有人会说,每天进步,那不是鉴定率要超过100%了?那每天都有新的病毒的形式,拿昨天没有修改过的鉴定器可能就鉴定不出今天的病毒,也是完全有可能的。所以需要不断地修改。任何厂商的产品都是这样的。
我的意思是 先 开发 一种 我所说的 启发引擎-------基于统计学的启发引擎 ,然后开发第二种类似金山 这样的 云 引擎 ,配合 瑞星 现在使用的 引擎 ,来综合 判断 ,提升未知 病毒的 拦截率!!!
当然 都是 云端 分析 ,然后数据下方 客户端 !!!
