mumaniu
高级用户
积分 664
发帖 658
注册 2008-12-6
|
#1 360QVM展示了数学统计对比的优势与魅力
QVM定义:
是基于海量数据挖掘、采用智能学习算法,是人工智能技术在计算机安全领域中的,首次大规模商业应用。
特点:
(1)前瞻性强,找到病毒、木马的规律,对新变种病毒识别率高。QVM一个月不更新,检出率降幅不会超过10%,半衰期为6个月。(锁库测试就能看出来)
(2)免疫力好,是传统免杀方法的克星。传统特征、md5和类md5都是匹配,能够被快速定位、修改、并且能够工具化。QVM是靠对样本的全局运算,决策样本的级别,比较难定位。
(3)速度更快、体积更小。速度方面可以看Zdolo的帖子,有这样的响应速度,所以可以实时鉴定。体积方面,现在可以控制在20M左右,所以可以下到本地。
(4)自我学习,成本低、响应快。这个方面主要是针对公司成本来讲的。
云地结合、综合防杀,需要更强劲的引擎。在应用中,我们发现QVM非常适宜(高检出、抗免杀、低误报、运算速度快、数据驱动)。QVM能让360在云地结合、综合防杀方面走的更快一些(确实能低于0.5秒),更巧一些,所以我们对QVM的期待会更高一些。
QVM不等于360云查杀体系。360云查杀体系中有honeypot、sandbox、ave、PE等多套样本识别手段。QVM只是其中一个引擎。
“1秒云鉴定”的实现,得益于360安全中心最新的“云QVM(模糊向量鉴定)技术”。该技术提取文件的模糊向量信息发送到云服务器进行运算鉴定,相比于之前基于文件MD5指纹的鉴定方法,鉴定速度和鉴定广谱性更强,尤其对于变形文件及超大文件,其鉴定效率比MD5指纹鉴定有了数量级的提升。
由于模糊向量鉴定只需提取文件中微小尺寸的信息点用于鉴定,提取的速度和与云服务器的通讯量都大大减小,因此可以实现1秒级的鉴定响应,我们内部大规模测试平均时间甚至不足1秒。
基于MD5指纹的云鉴定,文件一个字节改变,都会导致其MD5指纹变化,对于鉴定引擎来说,就相当于一个新文件,需要上传新文件重新进行分析鉴定。对于变形、加壳文件,其鉴定效率并不优秀。而采用模糊向量鉴定技术后,文件的变形、加壳对于鉴定引擎基本失效,因此只要是同一家族、类型的文件,无论其如何变形,对于鉴定引擎而言都可以根据其信息点进行判定,而不需要上传文件的每一个变种。
云QVM技术与所谓“微特征”技术也有本质的区别。微特征本质上还是基于Hash(类似MD5)的算法,只是对Hash算法做了选块处理,以避免修改一个字节就改变微特征的问题,同时提高了计算速度。但是,由于微特征是一个Hash值的固有属性,其信息丢失严重,无法通过微特征去发掘数据内部规律,因此只能用作数据指纹比对。也就是说,微特征是无法通过自身来鉴定黑白的,而是将文件的微特征与服务器上由其他鉴定器提取的恶意样本微特征进行比对。
因此,微特征不是一种识别手段,而是一种标注手段。对于新的样本,由于服务器上并不存在对应的微特征,仍需要上传文件由鉴定器进行鉴定并抽取新的微特征。而云QVM技术是一种识别手段,可以直接运算信息点鉴定文件黑白,两者性质完全不同。
类似生物DNA鉴定技术,文件模糊向量鉴定技术也可能会存在一定比例的误判。虽然这个比例非常低,但是为了防止误判,并对文件做更精准的全面分析,360安全中心在用户许可的情况下,仍然会上传一部分云服务器中不存在的文件样本。
QVM的主动防御功能也已经可以使用了,QVM能扫描能监控能不断学习适应病毒的变化能对抗病毒的免杀行为。可以说360QVM展示了数学方法在杀毒方面的优势与魅力。
不是吹捧360,360确实不简单,微点敢于对驱动加载不拦截各有所长
| |
※ ※ ※ 本文纯属【mumaniu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
