微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 反病毒 » 9月25日,夜有小雨,主动防御的尴尬  

 45  2/5  <  1  2  3  4  5  > 
作者:
标题: 9月25日,夜有小雨,主动防御的尴尬
李莫愁
高级用户




积分 646
发帖 644
注册 2009-3-23
#11  

超版及楼主各位大大,你们应该多关心一下楼主这位同学,不要让他一个人呆着,多陪他说说话,参加一些集体活动。如果还不见有什么好转的话,可以送到医院观察一下

※ ※ ※ 本文纯属【李莫愁】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

别问我的马甲是谁,别问谁是我的马甲。在这里都是最熟悉的陌生人。。。。。。
2009-9-29 00:48
查看资料  发送邮件  发短消息   编辑帖子
whitehat
注册用户





积分 58
发帖 55
注册 2006-9-3
#12  



  Quote:
Originally posted by 饭桶小白 at 2009-9-28 16:38:
我认为如果是单纯的主动防御根本不需要孕安全,有孕安全也没有用,反而是累赘!为什么这样说?孕安全的目的是发现更多的未知病毒和木马,这想法是没错的,对于传统的靠特征码查杀病毒的杀毒软件来说很好用,也很有 ...

部分支持你的看法。

说个小故事:

一天御剑后脚跟疼,于是他来到西医院,医生诊断为 肌腱炎,开了一些消炎的药物,御剑回去后,吃了几天病好了;在同一天,大汉天子的后脚跟也疼了,于是他来到了中医店,老先生说,没事,着凉了,回去休息几天就好了,结果正如这位老大爷说的那样,大汉天子的后脚跟好了。

呵呵,上面的故事能讲的点很多很多,我主要说其中的“医”和“药”的问题。
医生相当于引擎,只有医生正确的定位了病因才能谈病理和治疗方案。云计算不应当只能计算特征码,也可以计算行为。当然目的是相同的。至于药物以前大家都争论过。

主动防御是相对于特征码而言,他确实可以使用专家系统,行为判断的方式,预防很多特征码收录不到的未知病毒。但是他的响应是要求被动的出发,而用户也是被动的使用微点来进行防范的,所以说,这个是主动防御的尴尬(准确讲是微点的主动防御)。

特征码和主动防御有很大的交集。不应当厚此薄彼。

国内IT环境的不健康,QQ就是有后门;百度8就是有木马,瑞星就是不能完全拆载。这些中国特色的病态行为存在着,说明了现在互联网法律的不完善和政府的@!#$%^&.

[ Last edited by whitehat on 2009-9-29 at 13:57 ]

※ ※ ※ 本文纯属【whitehat】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-9-29 13:43
查看资料  发短消息   编辑帖子
whitehat
注册用户





积分 58
发帖 55
注册 2006-9-3
#13  

5楼说的很好。希望能继续交流。

#5  

有自己的思想和努力是值得鼓励、赞扬的,首先支持楼主的原创;
行为判断是主动防御,那么虚拟机算不算主动防御、启发式算不算主动防御、HIPS算不算主动防御?在主动防御的定义上相信很多软件都有自己的见解,但往往就是这些不同的概念混淆了用户对“主动防御”的理解。
用户的需求是什么呢?用户安装防病毒软件是为了什么呢?杀毒?防木马?
他们得到的效果又是什么呢?
选择了虚拟机他们觉得系统变慢了,因为扫描的时候很卡,他们得知主动防御很占系统资源,系统会变卡;
选择了启发式他们觉得扫描很快,但是误报很高,他们得知主动防御很高的误报;
选择了hips他们快要崩溃了,很多的高危提示,根本看不懂更别说正确选择了,他们得知主动防御不智能,不易操作使用;
......
最后他们给主动防御下了结论,主动防御并不智能、不容易操作、很占系统资源且会产生很高的误报,所以还是选择传统的杀毒软件吧,虽然有的时候会中毒,但升级后全盘扫描下还可以,不影响正常使用。

主动防御真的是这样子吗?
咱们支持的行为判断是什么样子的?
很多网友会说很安静、不占资源像“裸奔”、今天发现哪里被挂马了我的微点报警了、很久没中毒了、甚至有的爱好者说:“给我个过微点的样本吧”、又一种猥亵的过微点方法被封了,等等。
这些又说明了什么呢?

+++++++++++++++++++++++++++++++++++++++++++++

虚拟机的诞生初期的意义是为了了解给病毒脱壳;启发式是为了对付多态病毒。在病毒与时俱进的时候,迫使防毒新技术发展,也是一种好事情,在整个反毒发展中,多项技术的应用和用户的接受需要一个过程。

主动防御 是个概念,不应当特指某某公司的某一个固定的技术。应当是指一种对待未知病毒的心态。

由于微点是讲主动防御写入软件宣传的第一人,所以在市场上出现混淆主动防御概念很很容易理解的事情。这点,微点在宣传上的瑕疵,自己的技术主题不应当选的那么大。

※ ※ ※ 本文纯属【whitehat】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-9-29 13:54
查看资料  发短消息   编辑帖子
whitehat
注册用户





积分 58
发帖 55
注册 2006-9-3
#14  

行为判断可以查处特征码不能发现的病毒,所以,微点就说自己的“主动防御”。但是这个太过程性和阶段性。希望能发展为一个持续性的主动防御......


我现在在像微点的退路是什么了,哈哈~~~

※ ※ ※ 本文纯属【whitehat】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-10-9 14:57
查看资料  发短消息   编辑帖子
镜湖YES
银牌会员




积分 1225
发帖 1199
注册 2009-3-15
#15  

不客气的说,楼主太可笑了,逻辑没学好。我们来看看楼主是怎么说的:


“我和刘旭提的建议就有,希望微点的行为库是由计算体系(如云计算)计算出来的,而不是单一的依靠人工搜集的,因为只有你的行为判断体系的速度赶在木马病毒的制造者思路之前,那么你就能把他们的威胁减少到最低点。”


这就是楼主的建议。让人好笑的建议。楼主显然受到了传统软件所标榜的“云安全”的影响,由云来提取病毒的特征码,解决人力与病毒更新较量的过程中,速度慢,效率低的缺点。楼主也希望微点来个云分析的行为库,而非人为分析病毒的行为。
问题就出来了,刘旭早就质疑过,既然云可以彻底分析病毒那为什么要将这样的程序放在云端,而不直接放在客户端呢?简言之,如果非人为的云计算可以分析新的病毒行为,那就直接升级微点主动防御软件好了,让它达到云计算的水平,何必来个“远在天边的云呢”。何必呢!!!!!!!!!!!

[ Last edited by 镜湖YES on 2009-10-9 at 21:30 ]

※ ※ ※ 本文纯属【镜湖YES】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-10-9 21:18
查看资料  发送邮件  发短消息   编辑帖子
centrino
新手上路





积分 1
发帖 1
注册 2009-8-27
#16  



  Quote:
Originally posted by 镜湖YES at 2009-10-9 21:18:
不客气的说,楼主太可笑了,逻辑没学好。我们来看看楼主是怎么说的:


我和刘旭提的建议就有,希望微点的行为库是由计算体系(如云计算)计算出来的,而不是单一的依靠人工搜集的,因为只有你的行为判断体系 ...

很赞同楼上的观点,楼主太可笑了,总是舍近求远,整天除了在那意淫之外能不能干点实事?东边一个建议,西边一个想法,总把自己想象的跟刘旭多熟一样,人家知道你是谁啊???
既然云可以彻底分析病毒那为什么要将这样的程序放在云端,而不直接放在客户端呢?

[ Last edited by centrino on 2009-10-10 at 10:18 ]

※ ※ ※ 本文纯属【centrino】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-10-10 10:16
查看资料  发送邮件  发短消息   编辑帖子
whitehat
注册用户





积分 58
发帖 55
注册 2006-9-3
#17  

#15  

不客气的说,楼主太可笑了,逻辑没学好。我们来看看楼主是怎么说的:


“我和刘旭提的建议就有,希望微点的行为库是由计算体系(如云计算)计算出来的,而不是单一的依靠人工搜集的,因为只有你的行为判断体系的速度赶在木马病毒的制造者思路之前,那么你就能把他们的威胁减少到最低点。”


这就是楼主的建议。让人好笑的建议。楼主显然受到了传统软件所标榜的“云安全”的影响,由云来提取病毒的特征码,解决人力与病毒更新较量的过程中,速度慢,效率低的缺点。楼主也希望微点来个云分析的行为库,而非人为分析病毒的行为。
问题就出来了,刘旭早就质疑过,既然云可以彻底分析病毒那为什么要将这样的程序放在云端,而不直接放在客户端呢?简言之,如果非人为的云计算可以分析新的病毒行为,那就直接升级微点主动防御软件好了,让它达到云计算的水平,何必来个“远在天边的云呢”。何必呢!!!!!!!!!!!


+++++++++++++++++++++++++++++++++++++++++++++
是这样,因为微点在系统中的探针个数和种类是定值,也就是说按照微点的威胁规范,在单位时间段内其整体的能够防御的病毒总威胁行为是定值。是可以计算出来的。而且数量上根本用不上云计算来实施的。
      从微点这个特点出发,就主动了微点早晚会面临和特征码一样的滞后性。
      1.你的意思,微点不是传统软件一样。
      2.云计算提取的不单单是特征码,很多时候各家的云和云在内部机制上差别很大。
      3.云计算效率不低。

我已经说过了,最初的云分2种,一种是富客户端,一种是富服务端,只是随着google公司的推出云计算的概念,使得人们一体云计算就会想到富服务端的云。

至于为什么要采用“远在天边的云”。原因有:
1.你在村委会得病后如果村委会治疗不了,一般情况下会有一个措施叫“转院”。而对于用户而言,一个杀软如果不能防御他的计算机安全,常常会选择更换山毒软件。而云端的出现一定程度上避免了这点。这个可以说很多,自己领悟。
2.病毒库(行为库)等级制的实施方法所致。不说太多。
3.“主动防御”理念的必然。
4.互联网广泛应用的结果。

微点的更新和云的更新不是一个档次。

[ Last edited by whitehat on 2009-10-13 at 10:16 ]

※ ※ ※ 本文纯属【whitehat】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-10-13 09:58
查看资料  发短消息   编辑帖子
whitehat
注册用户





积分 58
发帖 55
注册 2006-9-3
#18  



  Quote:
Originally posted by centrino at 2009-10-10 10:16:


很赞同楼上的观点,楼主太可笑了,总是舍近求远,整天除了在那意淫之外能不能干点实事?东边一个建议,西边一个想法,总把自己想象的跟刘旭多熟一样,人家知道你是谁啊???
既然云可以彻底分析病毒那 ...

++++++++++++++++++++++++++++++

为你微点提建议看来还提出毛病来了啊,呵呵~~~~

看来对于微点这个论坛不能说建议,以后如果有人找瑞星的公关联系下,都来这里夸微点,估计也一样可以整死这个论坛吧~~~~

要是这样的论坛文化微点前途在哪啊?

[ Last edited by whitehat on 2009-10-13 at 10:08 ]

※ ※ ※ 本文纯属【whitehat】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-10-13 10:01
查看资料  发短消息   编辑帖子
hanker
版主

永远的偶像


积分 963
发帖 929
注册 2007-2-28
#19  



  Quote:
Originally posted by whitehat at 2009-10-13 09:58:
#15  

是这样,因为微点在系统中的探针个数和种类是定值,也就是说按照微点的威胁规范,其整体的能够防御的病毒总威胁行为是定值。是可以计算出来的。而且数量上根本用不上云计算来实施的。
      从微点这个特点出发,就主动了微点早晚会面临和特征码一样的滞后性。
      1.你的意思,微点不是传统软件一样。
      2.云计算提取的不单单是特征码,很多时候各家的云和云在内部机制上差别很大。
      3.云计算效率不低。

我已经说过了,最初的云分2种,一种是富客户端,一种是富服务端,只是随着google公司的推出云计算的概念,使得人们一体云计算就会想到富服务端的云。

至于为什么要采用“远在天边的云”。原因有:
1.你在村委会得病后如果村委会治疗不了,一般情况下会有一个措施叫“转院”。而对于用户而言,一个杀软如果不能防御他的计算机安全,常常会选择更换山毒软件。而云端的出现避免了这点。这个可以说很多,自己领悟。
2.病毒库(行为库)等级制的实施方法所致。不说太多。
3.“主动防御”理念的必然。
4.互联网广泛应用的结果。

微点的更新和云计算的更新不是一个档次。

你有一点我很赞同,已经标出来了,红色的,不错,手工的添加行为在将来,这个将来可能是10年左右,手工行为可能会出现今天的特征码滞后的问题,但是这个10可能还会有更好的技术出现,当然行为分析的特点大家都看到了,行为分析弥补了特征码的严重滞后性。

当然用云来计算行为肯定要比人工的要快要广,但是目前我想这种技术目前还不能实现,我原来就说嘛,就像原来几千年前人们想飞一样,那暂时是个想法,有想法很好,只要有了想法就有了奔的目标。  支持楼主。


※ ※ ※ 本文纯属【hanker】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

http://hi.baidu.com/hanker315
2009-10-13 10:15
查看资料  发送邮件  发短消息   编辑帖子
whitehat
注册用户





积分 58
发帖 55
注册 2006-9-3
#20  

谢谢hanker版主能静心和我讨论这些。将HIPS得到的各个行为连贯起来看待,并且能计算出相关的软件行为语义,这样的软件还没有面世,但是大家都在研究。希望微点能发挥自己的长处,因为微点最接近,虽然真正的工作原理相差千里。

tbscan这个软件不知道你接触过没,有机会看看,早于微点很多年。(现在已经在Norman里了)

微点的软件构架值得赞下,但是在抓住软件行为后,“依靠人为经验”判断行为优略,这点一直是我不看好的地方,虽然在另外一个帖子里一个网友很矫情的认为这个不是缺陷。哎.....

10年?呵呵,现在那款杀毒软件中没有行为判断模块???这块领域不是缺少了微点一家整个安全领域整体水平就倒退10年......10年后刘旭多大了?微点都可能不在了,别不爱听.............

[ Last edited by whitehat on 2009-10-13 at 10:46 ]

※ ※ ※ 本文纯属【whitehat】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-10-13 10:32
查看资料  发短消息   编辑帖子
 45  2/5  <  1  2  3  4  5  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号