首先说一下360的云qvm吧。
要理解云qvm,先要理解qvm是什么东西。qvm在我看来是一种启发式引擎,也可以说是启发式鉴定器吧。就是用已知的东西来识别未知的东西的一款反病毒产品。但是它的原理与普通的启发式扫描不同。它既不是静态启发式扫描,也不是虚拟机之类的,它是基于数学统计规律得出来的一种方式。其实用一个词来描述qvm我觉得最为贴切。那就是——“宏观”。
qvm的运作方式,我认为就是:首先,qvm要先提取一个文件的一些特征,这些特征举些例子来说,可能是文件调用了哪些API,后缀名是否是隐藏的,文件大小,是否是自解压等等等等。当然,我也不知道究竟提取了什么特征,因为360官人说是千级别的特征数量,以上所说的“例子”也都是我的假设和猜测,但就是那种类型的特征吧。360官人如有兴趣可以在帖子后面稍微做点解释。
在qvm提取了这些特征之后,就记录下这些特征的值。比如所,一个文件调用了某个API,我就计成这个特征为1,没有调用就记成0。然后把这上千的特征全都记录下来。
接着,qvm扫描海量的样本。当然,是事先分好黑白的样本。比如,先给qvm扫描海量的黑样本,然后qvm记录下每个黑样本的每个特征的值,然后做一个统计。比如说,qvm发现在所有黑文件中,调用某个API的概率为90%,调用另一个API的概率为20%。同样可以类比白文件也是这么记录。那么之后,程序员针对这上千个特征得到的数值建立一个数学模型,通过复杂的加权或者其它种类的计算得出没有扫描过的文件的黑白。比如说,我扫描一个未知文件的时候,发现它调用了那个API,根据之前的经验,调用了那个API的就是黑的,那么这个文件就判定为黑。把这个结论延拓到上千个特征,就是qvm的工作原理了。
就这样,qvm每天扫描海量的黑和白文件,不断扩大自己对已知黑白文件的特征的特性的数据库,来判断未知文件的黑白,就这样每天提高对病毒的检测率和降低对白文件的误报率,使得判断结果更为精准和可信。
也就是说,qvm不在乎每一个文件的细节,它究竟是不是有病毒行为或者怎么样,它是不是加壳了等等,它是通过一个数学统计的方式去通过宏观的方法去判断一个文件的黑白。
说得通俗一点,举一个例子,就好比警察抓小偷。警察先抓了很多的小偷和很多不是小偷的好人。发现小偷一般都贼眉鼠目、歪眼斜视、穿着邋遢;好人都是正视前方,穿着体面,大方。然后下次警察发现一个热贼眉鼠目、歪眼斜视、穿着邋遢的时候,他就认为这个人是小偷了。然后它日复一日地抓,抓了更多的小偷,总结出更多的规律和经验,抓小偷也就越来越准。同样类推到好人身上,也就很少会抓错。
这就是qvm的原理了。它不像行为防御,小偷伸手了才确认去抓住它;抑或是特征码,用身份证确认了这个人是小偷才去抓。
说完了qvm,就说下云qvm。现在的qvm分为本地和云端两个部分。两者的原理都是一样的,都是上述的那样。不一样的就是云端的qvm每天扫描更多的海量样本,在不断地自学习,自己总结经验,所以云端的qvm的鉴定准确率肯定高于本地的准确率。
因此,本地先通过本地的qvm提取特征,进行上传,上传的特征由于数据量很小,所以很快就能上传完。然后云端有3款qvm鉴定器。由于原理是一样的,所以等于是马上就扫描出结果了。但是云端由于学习了更多的样本,总结了更多的经验,所以比本地的查杀率是要高的,所以这样的云鉴定是有意义的。然后瞬间得出结果后就可以反馈到本地,总体的时间很短,当然不可能是0,但也可以达到秒级或者毫秒级。
我认为,云qvm的目的是在于解决病毒变种问题与云地的联动快速鉴定。它的目标不是最精准的100%,因为基于数学统计的方式,很难以达到一个非常精确的鉴定率。它的目的是检测出90%以上的病毒。因为360不止依靠一款qvm来防毒,所以达到90%我认为就可以了的。
至于云qvm会被使用到哪些地方,我实在是没有关注,偶尔看到什么qvm加入主防什么的,就是说qvm可以被利用到很多地方。我真的对360的产品和防御体系了解得不是很透彻,这些问题我就不说了,说错了也不好,歪曲事实更不好。
接下来来说一下金山的云鉴定体系。
金山的云鉴定体系与360的云qvm是采用了完全不同的方式。金山的云采用的是微特征的方式,就是一个微特征匹配N个文件,通过微特征与文件对应的方式来判定一个文件的黑白。金山的云相对于云qvm来说,就可以用“微观”来表示了。
金山云安全目前通过边界防御的方式,对每一个进入电脑的文件验证它的黑白性。对于未知的文件就上传到云端进行鉴定,采用非黑即白的理念去做。
云端目前有30多款的鉴定器,有启发式的,也有行为判定的,还有其它的专门针对某些病毒的鉴定器,而且这些鉴定器是在每天更新、甚至有更换的。但是绝对不是某些人想象的那样的是多引擎扫描。可以说,金山的云端鉴定器是很先进的,用各种不同的方式去鉴定一个样本的安全性,然后通过加权或者其它的算法给出一个总评,来最终判断文件的安全性。工程师们通过每天的回扫和人工鉴定等的结果,对一些鉴定器给出的结果做出调整,对于一些鉴定率低的鉴定器,则是进行淘汰处理。所以说,金山的查杀率都体现在了云端,所以一般人都看不见金山的进步。但是可以说,金山的查杀率是每天都在进步的。或许有人会说,每天进步,那不是鉴定率要超过100%了?那每天都有新的病毒的形式,拿昨天没有修改过的鉴定器可能就鉴定不出今天的病毒,也是完全有可能的。所以需要不断地修改。任何厂商的产品都是这样的。
金山云端鉴定器的理念就与qvm不太相同了。金山云端鉴定器求的是精准度,就是所有上传过来的文件,必须要趋近于100%的鉴定准确率。这样的话,也就可以用云来解决别的方式解决的问题了。
如果鉴定器鉴定不出来的,就会转人工。
很多人都会觉得这样的云是不是有效。按照数据来说,是很有效的。首先,每天转人工的样本数量其实并不多,在百的级别,那么多的病毒分析师完全能够应付了。其次,超过半数的样本其实都是在30秒内就能得出结果的。我当初看了它后台的鉴定,几个样本都是在几秒钟内就鉴定出来了。其实那个云,只要文件被上传过去,鉴定的效率是非常高的。鉴定的准确率也几乎趋近于100%。
对于普通用户与普通的逻辑来说,金山的云是这么工作的:
一般一个未知文件进入用户的电脑,如果用户主动上传,就是用那个云鉴定器,那么将在99秒内返回结果。
如果用户没有进行手动鉴定,那么这个文件将会被自动上传。自动上传后云端鉴定器会根据这个文件存在的广度来给出鉴定的优先级。比较广的就会优先鉴定,不广的就会稍微滞后鉴定一些时间。但是这个时间不是说很久,也就是一小段的时间而已。当得出结果之后,文件监控会自动清楚被判断为黑的文件,而不需要普通用户去进行二次扫描。
还是拿警察捉小偷的例子来说。金山的云安全体系就是:警察拿着一个DNA谱,然后可以匹配不少人。然后找到某个DNA匹配到的人之后,查询数据库里这个人是不是小偷,是的话就抓起来,不是的就放掉。如果数据库里没有的就去进行分析。然后警察通过好多种的方式去分析这个人是不是小偷,最终在99秒里面把结果公之于众。这样的方法就是非常准确,几乎不会误判。但是需要等待一小段的时间。
金山的理念一直强调的是减轻用户负担,把计算量放到云端上去。其实对于普通用户来说,遇到未知文件的概率是很少的。因为金山的云系统不止是从用户的客户端上收集样本,自己也是有mi-guan、爬虫等等的系统去自动收集样本的。所以用户遇到未知文件的概率就更小了。
对于等不及99秒的用户,其实也可以把文件放到沙箱里先运行。
总之,金山的云安全体系是以轻快小巧为目标的方式来做的。