微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 对微点在病毒收集上,和主动防御上提个小建议  

作者:
标题: 对微点在病毒收集上,和主动防御上提个小建议
zf12862177
新手上路





积分 42
发帖 42
注册 2008-6-16
#1  对微点在病毒收集上,和主动防御上提个小建议

经常看到微点提示:“一下未知病毒命名。。。”
而微点拦截未知木马或者病毒的时间往往是几天前的事情了。那么也就是说是不是微点的病毒收集能力欠佳啊。
      那要是万一某一次,某个厉害的病毒木马绕过了微点,然后微点在此后的几天才收集到。那微点的用户不久遭殃了?
      我有个想法就是,既然微点以前的版本据说误报率很高,是不是就意味着以前的版本的敏感性很强。现在误报少了。当然警觉性就降低了是不?
      如果是这样的话。微点可否在程序里放入两个判断系统。一个为标准用户判断系统。另一个就是“非常敏感的系统”。如果哪一次“非常敏感的这个系统”判断为病毒,而“用户标准判断系统” 却判断不是病毒的时候,微点就可以把这个程序和相关信息收集起来自动上传给微点服务器啊。这样是不是可以提高微点的病毒收集能力。依靠人为的上报病毒我觉得始终是一件不好的事情。

     第二个建议是:既然微点标榜主动防御。我想微点是不是在系统中用了神经网络这个东西的。依据动态反病毒专家库这个概念的话,神经网络这个东西是应该能实现的。而且实现的时候可以把底层和神经网络层分开设计。也就是说设计神经网络的不必知道操作系统的运作。看了微点的 “动态专家系统”我就有点怀疑这个动态是不是就是神经网络!
       还有,如果神经网络能够实现的话,且微点用户也足够多的话,也可以在用户之间设计一个神经网络。每个用户就相当于一个神经元。当某次微点拦截失败后,可以马上将信息传给临近的微点,或者传给服务器,再让服务器转发,也可以参照p2p传输。让临近的微点提高判断系统的警觉性。这样也许可以防止大规模感染。
       我知识微薄,也不是想故意炫耀或者其他什么,只是想微点越来越好。故想到一点说一点。有肤浅的地方,还请不要嘲笑哈。。

※ ※ ※ 本文纯属【zf12862177】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-7-29 10:22
查看资料  发送邮件  发短消息   编辑帖子
koo
注册用户





积分 332
发帖 327
注册 2007-11-17
#2  

微点报未知了的话,说明可以很好的拦截了,几天后升级提示重命名是说明已经加入病毒库了。楼主所说的假设是不成立的,微点杀毒是主要靠行为杀毒,病毒库只是辅助的。

如果真有病毒过微点的话,那未知病毒也是不会报警的了,何来几天后的样本收集

※ ※ ※ 本文纯属【koo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-7-29 10:39
查看资料  发短消息   编辑帖子
zf12862177
新手上路





积分 42
发帖 42
注册 2008-6-16
#3  

楼上误解我的意思了。
我是说从微点发现病毒到病毒入库 这个有个时间差。微点通常是以天为单位
而卡巴等则是以小时为单位,由此对各个杀软的病毒收集能力可见一般。

那么现在假设微点不能拦截某个病毒。然后一天后微点发现了,并做出相应处理了。
病毒流行了一天。

但是另外的杀软呢,如果在几小时之内处理了,那么病毒只流行了几小时而已

※ ※ ※ 本文纯属【zf12862177】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-7-29 11:01
查看资料  发送邮件  发短消息   编辑帖子
y0365
版主

使用与技巧版主


积分 1603
发帖 1571
注册 2007-1-27
#4  

看来楼主对微点主动防御软件还不是很理解,微点主动防御软件是依据病毒行为来查杀病毒的,而不是依靠频繁升级特征库来查杀病毒,这个比较本身存在问题。
微点主动防御软件可以在不升级特征库的情况下,实现对病毒的主动查杀和防御。
而依靠特征码技术的杀毒软件如果不频繁升级则无法防御日渐剧增的病毒。
咱们再来比较一下杀毒软件提特征码和微点提特征的方法吧:
杀毒软件从已经中毒的机器上提样本,然后杀毒软件公司的人再进行分析、判断、确认病毒,提特征然后再升级特征库,也就是所谓的亡羊补牢的方式。
微点提特征的方法,先依据行为帮助用户拦截并删除了病毒,然后微点软件可以自动提取样本特征码自动上报给微点,微点确认病毒后再升级病毒名称,然后再通知上报样本的用户,在你机器上发现的样本已经命名。
楼主说如果有一天微点不能拦截某个病毒,此病毒会流行一天。这种情况是存在的,可能是一种新的病毒行为,因为微点也不能保证查杀100%的病毒,但是只要微点能处理这个新的病毒行为,此病毒无论再有多少新变种,微点都不需要再进行升级就可以主动防御,而依靠特征码技术的杀毒软件还要经过哪些亡羊补牢的手段一个一个新变种的收集样本、升级特征码,那试想下,哪类用户的损失会更大呢??

关于第二个理念的问题,楼主说的很好,可以考虑让微点考虑在网络版中实现这个功能

[ Last edited by Legend on 2008-7-29 at 11:45 ]

※ ※ ※ 本文纯属【y0365】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

乱我心者必杀之
2008-7-29 11:29
查看资料  发短消息   编辑帖子
zf12862177
新手上路





积分 42
发帖 42
注册 2008-6-16
#5  

哦。。。其实我已经够了解微点的运作方式了。我只是说微点的查杀率并不是100%对吧?为什么会不是100%呢?是不是判断系统的敏感性不够高的原因?
   如果把判断系统的敏感性提高的话误报率又会增加是不是?
那么怎样才能在之间找个平衡呢?
    看很多地方的测试就知道微点每天还是会漏报1-2个病毒嘛,那么对于这些微点是怎么处理的呢?能不能及时处理呢?
    我看到很多地方 病毒绕过微点后 微点都是让别人自己把病毒样本打包,把技术信息发给“技术支持邮箱”我想这样的 漏报病毒收集方式是不是有点。。滞后了哦。
    可不可以在被病毒侵蚀后来个垂死挣扎。把病毒的信息自动上报。

※ ※ ※ 本文纯属【zf12862177】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-7-29 11:41
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#6  

感谢楼主对微点的支持,微点升级时的提示只是给病毒进行了命名,病毒微点已经很好的拦截处理了。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2008-7-29 11:44
查看资料  发短消息   编辑帖子
y0365
版主

使用与技巧版主


积分 1603
发帖 1571
注册 2007-1-27
#7  

100%!!!楼主是不是太要求完美了

※ ※ ※ 本文纯属【y0365】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

乱我心者必杀之
2008-7-29 11:49
查看资料  发短消息   编辑帖子
koo
注册用户





积分 332
发帖 327
注册 2007-11-17
#8  

1、全世界也没有一款软件敢说能100%杀毒,微点也不例外
2、你如果非常熟悉样本区的话,就知道过微点的是有,而过其他的杀软,那就不是一两个了。过微点的,微点肯定能及时解决了,各大杀软都一样的。怕的就是没有样本。
3、微点收集样本的方式虽然复杂了点,但是收到样本后处理都是很及时的,上交过样本的都有体会的,回复的速度是很快的。其他的厂商收集样本的速度也不是特别快,他们所谓的几小时升级一次,不可能是几个小时之前的病毒,可能是几天前的,或者更长时间。

※ ※ ※ 本文纯属【koo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-7-29 11:56
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号