用户体验之二论云安全改造 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛企业产品讨论区 瑞星2010新品体验挑战专区用户体验之二论云安全改造

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

用户体验之二论云安全改造

ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:	发表于： 2009-09-20 03:19 \| 只看楼主短消息资料字号：小中大 1楼用户体验之二论云安全改造本系列1中提到的问题我在这里做个汇总并提出我的一些想法。我知道2010的公测就快结束产品也不会有什么太大的改变，我这里提出的问题2010肯定无法实现但是希望你们认真对待做好2011。我们首先从卡卡开始卡卡安全助手从某一方面来说也是云安全的一部分可是有些东西实在是不敢恭维。我知道正在开发卡卡7.0我希望开发的是全新的模式而不再是换个马甲。第一章放弃也是一种进步卡卡目前功能过于花哨多而不精是最大的弊病。放弃掉一些功能来达到精简体积，内存等是不错的选择。清爽的界面和功能会让用户感到舒畅。我在以前的文章中提到过。其中我也列举了很多老版本。要想减少体积，减少对服务器的压力精简功能才是根本。比如说进程管理组件。进程管理的这个小工具是在卡卡2.0的时候推出的本身这个功能不错不过我觉得是不是和RIS和防火墙中的部分功能重复了？我可不想资源都浪费掉。依我看要不你们就把RIS的进程管理组件去掉要不然就把卡卡的进程管理组建集成到RIS中。目前RIS2010的这个组件太鸡肋了。简直就是鸡肋中的鸡肋。在比如防护中心里面有多少和RIS重复的？我想基本都重复了。干脆一点砍掉防护中心，或者安装的时候提供2种模式。1已经安装过RIS的2没有安装的。分开来安装让更多的用户受益。这里需要注意一点你节约下来的资源不管是对于用户还是你们自己都是有好处的。资源是不会被浪费。由于这里不是谈卡卡有点跑题了所以多的不说了以后在详细说明。第二章是云安全的精华还是鸡肋？在线诊断就是所谓的第一代云安全。其实具体效果怎么样我不清楚，甚至据我了解效果不怎么样。我不知道当初为什么卡卡新发布的那几天瑞星的服务器发生的什么？是被DDOS了？还是云的人数太多超过了服务器的负荷？我不得而知，我想我也没有必要去追溯那段历史。我就事论事如果真的是在线诊断造成的那么在线诊断是不是可以去掉或者改进下。我不知道目前在线诊断的原理是什么。不过貌似不用联网也是可以诊断的不知道这算不算一种讽刺。云安全真正在卡卡体现的我觉得只有那个进程管理，和启动项管理还显得是那么回事其余的我真的没感觉到。依我看在线诊断不防改进下，真正的把云安全结合起来。现在的在线诊断我觉得不过就是文件名逻辑匹配。表现出来的效果并不明显或者说根本没有效果。那些中毒的用户，主页被改的用户安装了卡卡有什么用？在他们看来一点用也没有。所以干脆点改进在线诊断。我们不怕时间长点我们要的是准确的结果。你们自己说说在不联网的情况下2秒就扫描完毕的功能可以发现什么？我是不知道的。下面我提供一个真正在线诊断的思路。运行在线诊断功能以后首先使用文件名扫描的方法扫描系统中的恶意插件然后清除之（清除之前还有些细节比如判断文件是否为0KB再就是什么自动上报这些我都不说了但是不代表没有哈）接下来查看瑞星的监控记录比如说文件监控发现C:\1.exe存在病毒则检测此文件是否还存在如果此文件或者启动项存在就删除之上面这些都完成以后就开始扫描系统各项设置，进程，模块等有点类似于SRENG日记吧，得到日记后先调用本地瑞星扫描这些文件是否存在病毒，然后按照日记内容一项一项上传到云服务器进行分析让服务器作出智能判断然后给予用户建议。利用这一套模式可以解决80%以上的未知病毒，同时还可以得到大量样本。这才是真正的云安全。这一套模式实现起来并不难把卡卡本来的功能整合下就可以了，其他的细节我不多说了，比如什么修复损坏的系统文件啦，本地白名单用来减小服务器压力啦这些你们自己发挥去。我要说的就这么多。顺便说一下此处感谢所有为中毒救援作出努力的热心会员。向他们致敬。（凡是我认得的热心会员顶帖我个人都给予权限范围内的积分奖励）接下来是云分析系统云分析我不是说不可以不过我觉得需要注意下面几点 1定期人工对定义的病毒进行通杀什么意思我解释下比如我提交了一堆可以加GEN的变种病毒可云分析只是加了普通特征码这种病毒需要人工提取基因来做通杀这样才会有比较好的效果，病毒库也可以慢慢缩小。病毒库缩小了前面一篇文章提到的问题也就不复存在了。当然不只是那些什么TDSS可以加GEN云分析启动后原来的200多工程师干什么去？集体下岗？不可能吧不妨从这些人中抽取100人来做各种基因通杀和启发式这才是根本。另外的100人可以用来完善云分析来扭转这种局面和处理误判完善云分析基因等工作。 2云分析的升级我前文提到过据我了解目前云分析还处在静态分析状态。我们不妨对云分析进行改造。比如增加动态分析。什么是动态分析？说白了就是在线沙盘定义一些病毒行为并开放在线沙盘遇到类似行为的文件，优先分析，甚至直接入库。静态分析的部分也可以升级除了代码判断还可以增加多引擎判断。比如说我上传1个文件到了服务器。服务器就调用多种杀毒引擎杀毒。如果发现病毒则记录下来优先分析或者直接入库。这个方面应该很简单了。有了这些辅助手段云分析可以更加快捷准确减少误判。 3上报系统的改造这个方面谈的很多了。比如使用软件上报，在上报网页中增加留言什么的。其中有一点我觉得在可疑文件上报中应该一个增加选项，就是感染文件修复。对于有感染性的病毒或者被感染要求修复的文件应该单独收集人工分析。这样才能保证清除能力。维护是一项长久而任务艰巨的工作。这不是仅仅靠机器就可以完成的。只有一起努力才能提高查杀率。云安全的意义虽然不是提高查杀率但是查杀率却很好的反应了用户的情况。用户的口碑比什么测试都说明问题。本文2113字都快写成系列论文了。。。用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
ty88 卡卡反病毒小组帖子:979 注册: 2007-07-12 来自:	分享到：

萧嗨在线工程师帖子:429 注册: 2009-06-27 来自:	发表于： 2009-09-20 08:27 \| 短消息资料字号：小中大 2楼回复：用户体验之二论云安全改造信息已收集并会及时反馈，感谢您的关注与支持，请继续测试瑞星2010版
萧嗨在线工程师帖子:429 注册: 2009-06-27 来自:

旋飈嘵子快乐黄口狮帖子:177 注册: 2009-06-22 来自:千里之外	发表于： 2009-09-20 15:18 \| 短消息资料字号：小中大 3楼回复 2F 萧嗨的帖子你是机器人不?怎么你的回复几乎都是一样的,一字不差............... [fly]★鲜花能再开,青春不再来.珍惜好青春,奋斗拼未来.→[/fly]
旋飈嘵子快乐黄口狮帖子:177 注册: 2009-06-22 来自:千里之外

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT