关于云安全自动分析接收上传文件时处理流程的建议
存在的问题经过几次有意无意的尝试,发现云安全上报系统有个问题
将非报广谱即报Trojan.Win32.Generic开头的病毒样本上报都会被接受(包括上报误报和新可疑)
像附件中的样本,上报前已经可以报了,报的是准确的backdoor病毒名。
上报时本以为会被提示已经是病毒,但结果居然接受了,分析结果得了个新的广谱病毒名
升级病毒库后,原来报backdoor的样本变成了Trojan.Win32.Generic。就是说不管你是否已知病毒(已知病毒指非报Trojan.Win32.Generic的病毒),
只要是分析系统记录库中没有记录到md5的文件都会被接受然后重新分析?
请问这是否太浪费资源和时间了呢?万一有人故意无意大量地上报已知样本呢?
改进的建议希望可以
改进下接收上传文件的处理流程,不要像现时只对照md5,应该要
1.先对比md5,给出安全文件、已分析的病毒文件和分析中文件;
2.将除刚才对比得出的安全文件、已分析的病毒文件和分析中文件外的文件用最新病毒库扫描一次,给出结果。
3.最后剩余的样本再做新的分析。虽然这使得上报花了更多时间(更多时间指的是扫描上传文件的时间和可能需要的接收到压缩包的解压时间),但总比等待分析,等待入库的那段时间
短吧?
当然了,为了
最大限度节省上面第二点说到的
扫描时间,扫描用的引擎可以精简些,比如
1.用旧版瑞星引擎;
2.用新版引擎但不要启发,设定较低的虚拟脱壳时间;
3.干脆只用特征识别;
4.结合新版旧版引擎并做优化;等等。这样的话可以避免浪费软件资源。请工程师考虑下。
