qwe12302

       我发现大家对可信认证技术还是不了解，名字上听上去不咋的，实际上很牛。（不像瑞X，宣称什么虚拟机，DNA扫描，实际上各个杀软都有虚拟机技术的，并不是什么新鲜事物，还有那个瑞X提到的DNA，其实就是特征码。）   
      
       那我就告诉大家，它其实本身是一个放在互联网上的文件收集系统。
它的根基是 网络蜘蛛技术 和 系统安全增强计划 。它是目前世界上最先进的反病毒技术之一，目前只有赛门铁克（诺顿）和 趋势科技（不过它搞的是web信誉评估，与金山的完全不一样）做这个技术。由于目前病毒木马成几何级增长，传统的病毒收集方式已经有点吃力了，所以以金山为代表的安全厂商，开始痛定思痛地考虑全新的病毒防御方案。据赛门铁克最新的报告显示，他们去年收集到的所有文件中有超过60%的文件是病毒等恶意软件

       网络蜘蛛：是一种前瞻性的文件收集技术，目前广泛用于搜索引擎技术，其收集文件速度非常快，理论上可以实现以秒为单位的病毒库的刷新，将其应用于反病毒领域，金山是全球唯一一家。

        这个网络系统就是实时监视互联网 正在生成的二进制可执行文件，将其纳入金山的可信认证中心，
经过水银系统的自动分析，将其自动分类为 病毒 和 普通文件，最后纳入海量文件库，我们只看到的是清理专家的在线诊断的在线反馈的结果或者是金山主防可信认证模块。但是其内部却是一个很大的后台系统来支持的。
7.03更新：据铁军介绍，金山现在每天样本的处理能力在最大负荷下可以达到百万级别样本的自动分析，入库。
      
       但是实际上金山可信认证技术，本身是一个很宽泛的概念。所以金山现在在进行一个联网的行为分析主防的开发，其就是收集用户机器上文件所触发的行为进行海量机器翻译统计，kavsafe.sys 就是这个的执行者，包括backreport.exe 也是通过这个safe api来收集有可疑行为的文件 以及 所触发的行为。

       还有金山现在有估计好几个TB的海量文件，就可以进行启发的引擎的开发了（基于海量统计的AI分析）。金山的目标就是将互联网的所有可执行程序收集完（毒霸技术总监陈睿说的），由于现在才刚起步,所以在特征码的优势方面体现的不是特别明显，但是随着收集的文件越来越多，效果将会越来越明显。所以金山的白名单技术其实是非常宏伟的计划！我对金山未来十分看好！

       反正具体非常复杂，所以下次我会画一张流程图，让大家知道其中的精妙之处！


回复网友的话：“LZ 所提出的秒刷指的是服务器端的黑白名单库 他们是针对单个文件的

我们平日下载的病毒库是针对某种病毒相对共同的特征码 是针对一种病毒的”

基本正确，这是陈睿提出来的，在清理专家里是这样应该是对的，但是由于现在金山的特征提取是机器自动的，所以我们每天3次的日常病毒库升级，其实是机器将其合并至ksg文件，分成3次升级。病毒库的确是实时更新的，只是在内部，还没有合并至ksg。


7.03更新：顺便提一下，这个应该也是金山的“云计算”计划，很有未来的味道。金山毒霸技术总监陈睿曾经甚至透露，金山未来的本地特征库将会是放在服务端的黑白名单库的远程映射，本地特征码将会消失！

7.03更新  可信认证技术贴图：

金山可信认证系统图解.png (70.25 KB)

2008-7-3 13:50

7.02更新：以下是转铁军的帖子：

金山毒霸是采用可信认证体系来构筑安全防御系统的实践者，最早在金山清理专家2.0中推出了在线安全诊断的技术，判断的依据是可信认证数据库，在金山清理专家2.0应用之前，该系统实际已经建设了一年多的时间。

这里对金山的可信认证体系做一些简单的介绍。

可信认证的概念和服务

可信认证是对软件的安全性进行判断的服务。

软件：一切可运行在用户PC上的应用程序。

可信认证的所有数据基于对互联网的样本的广泛收集和分析，实际上是一个庞大的软件和网站信息库，自然地，可信认证有可能搜集到安全以外的信息。

软件的版本、作者、内容、关联等信息。

可信认证通过建立在其上的各种应用，反复收集和分析新的样本，持续为厂商或用户提供安全认证服务。

可信认证的后台实现

可信认证的后台通过一系列自动和人工的收集、分析流程。将以最快的速度更新海量的信息安全数据。

可信认证的技术核心在于海量数据的收集和分析，我们通过两套完善的流程来做到收集和分析的即时性和可靠性：
引用:

自动收集和分析流程：通过爬虫和其它渠道收集样本，通过样本分析机自动分析和入库。目前的处理能力是每天80万个样本。

引用:

人工分析流程：自动分析处理不了的样本将转入人工分析，整个人工分析流程建立在一套工作流系统之上。

服务器端的验证在技术上是更加可靠的，因为服务器端的验证是实时的，无论是反应速度还是反馈速度都很快，给病毒的窗口时间更短。

金山毒霸的可信认证平台为毒霸的发展作出了重大贡献，目前的数据处理能力为：

• 每天自动处理百万级的有效样本
• 正常流程四天给出白名单（判定为正常）结果
• 快速流程只要半天到一天

依据如此强大的自动化处理流程，金山清理专家的在线安全诊断可以为客户提供即时的查询服务。

清理专家.png (452.96 KB)
2008-6-24 07:26



在金山清理专家进程管理器模块，也能对正在运行的进程模块进行安全诊断。

进程.png (38.5 KB)
2008-6-24 07:26



结论：

杀毒软件可通过病毒扫描，判定该程序根据当前病毒特征库是否属于病毒。

可信认证的判定：该软件根据目前的安全认证库判定为安全或未知。

目前，任意一个软件从未知到安全或不安全之间的时间差只有4天。

那么，一个普通用户在电脑上执行某个应用软件，其暴露在未知状态的窗口时间或几率将会大大降低，这就是可信认证给网民的价值。

[ 本帖最后由 qwe12302 于 2008-7-6 11:20 编辑 ]

沐浴平凡

期待

menace

不过现在的毒霸防范未知木马的能力可谓一塌糊涂， 一攻就倒，白名单徒呼奈何。。。

随风飞翔

我不明白！既然一秒为单位，为什么病毒库的更新却一天三次？双休日和节假日一天一次？

hxj

“理论上可以实现以秒为单位的病毒库的刷新”

期待！！！

PH-Winter

引用:

原帖由 随风飞翔 于 2008-7-1 18:37 发表
我不明白！既然一秒为单位，为什么病毒库的更新却一天三次？双休日和节假日一天一次？

LZ 所提出的秒刷指的是服务器端的黑白名单库 他们是针对单个文件的

我们平日下载的病毒库是针对某种病毒相对共同的特征码 是针对一种病毒的

qwe12302

引用:

原帖由 menace 于 2008-7-1 10:00 发表
不过现在的毒霸防范未知木马的能力可谓一塌糊涂， 一攻就倒，白名单徒呼奈何。。。

你说的话，简直是胡说八道！我建议你不要在毒霸论坛捣乱，希望你有自知之明！

609139299

哈哈，有人居然想1秒升级一次病毒库....太天真了！

腾空

虽然看的不是很懂，但是还是非常支持楼主！

dabing

呵呵，楼主很喜欢分析毒霸？

qwe12302

引用:

原帖由 dabing 于 2008-7-2 01:46 发表
呵呵，楼主很喜欢分析毒霸？

一般，就是有些人太天真，太小看毒霸了！

qwe12302

再顶一下

liufei930

看来不错

menace

引用:

原帖由 qwe12302 于 2008-7-1 21:52 发表



你说的话，简直是胡说八道！我建议你不要在毒霸论坛捣乱，希望你有自知之明！

你的安全意识不错，从你对白名单体系的了解程度可以看出
但是，毒霸08的防御能力不行也不是我胡扯，我接触过很多样本，能触发主动防御规则的太少，毒霸如果没有该样本入库，直接被攻陷。。。
你自己不去尝试，何来胡说八道？！你用新木马的样本试验过吗？自己没试过，不要FQ
提出缺点，只是希望金山能重视，技术上加以改革而已

qwe12302

引用:

原帖由 menace 于 2008-7-2 04:13 发表

你的安全意识不错，从你对白名单体系的了解程度可以看出
但是，毒霸08的防御能力不行也不是我胡扯，我接触过很多样本，能触发主动防御规则的太少，毒霸如果没有该样本入库，直接被攻陷。。。
你自己不去尝试，何 ...

技术改革肯定有，但是话不能这么讲的

menace

引用:

原帖由 qwe12302 于 2008-7-2 12:16 发表



技术改革肯定有，但是话不能这么讲的

所以现在由于主动防御不完善，白名单对毒霸的好处体现不出来，拦截都很少拦下。。。
倒是清理专家和白名单整合的不错，密保也是

qwe12302

引用:

原帖由 menace 于 2008-7-2 04:23 发表

所以现在由于主动防御不完善，白名单对毒霸的好处体现不出来，拦截都很少拦下。。。
倒是清理专家和白名单整合的不错，密保也是

赞同，但是我不是告诉你了吗，金山下一个版本会加强主防的，很可能就是铁军说的蛙眼技术，成为全球首家具有基于联网AI分析技术的杀软

13533626088

目前毒霸主防敏感程度太低
至少比内测的时候低了很多
LZ说的全是理论上的技术，每个设想都是好的
可这些说难听点，只是广告
这些追捧，我觉得不必要

menace

引用:

原帖由 qwe12302 于 2008-7-2 12:33 发表


赞同，但是我不是告诉你了吗，金山下一个版本会加强主防的，很可能就是铁军说的蛙眼技术，成为全球首家具有基于联网AI分析技术的杀软

金山的技术理念是先进的，不过09版目前看来还很遥远,而且全部依赖互联网会产生其他方面的问题。另外，
这种基于“云计算”的技术，从技术层面来看还有很多需要攻克的地方，不是短期内能解决的。
研发组应该在理论与实际间找到平衡点

qwe12302

引用:

原帖由 menace 于 2008-7-2 05:11 发表

金山的技术理念是先进的，不过09版目前看来还很遥远,而且全部依赖互联网会产生其他方面的问题。另外，
这种基于“云计算”的技术，从技术层面来看还有很多需要攻克的地方，不是短期内能解决的。
研发组应该在理论 ...

非常赞同！还是需要一个权衡点的！