您现在的位置是:首页 > IT基础架构 > 网络与安全 >
1秒查杀新病毒!360杀毒详解“云QVM”奥妙
摘要在人们观念中,每当新病毒出现,杀毒厂商只有收集和分析病毒后才能查杀。然而最近发布的360杀毒3.0版颠覆了这个传统,首次将杀毒软件对新病毒的响应时间加快到1秒以内。360杀毒产品小组在其官方微博(http://weibo.com/360sd)透露,这次提速主要得益于一项名为“云QVM”的最新...
在人们观念中,每当新病毒出现,杀毒厂商只有收集和分析病毒后才能查杀。然而最近发布的360杀毒3.0版颠覆了这个传统,首次将杀毒软件对新病毒的响应时间加快到1秒以内。360杀毒产品小组在其官方微博透露,这次提速主要得益于一项名为“云QVM”的最新技术。
据透露,360“云QVM”是把QVM人工智能引擎和云安全结合运用的一项创新技术。其中,QVM引擎作为用户电脑中的“传感器”,一旦发现未知可疑程序,可以快速归纳程序特点,再由云端服务器进行运算鉴定,识别该程序是否为木马病毒,整个过程不足1秒即可完成,相比常规云鉴定时间缩短了近百倍。
“与传统杀毒引擎按照‘黑名单’查杀已知病毒不同,360‘云QVM’对于未知病毒具有极高的识别率”。360安全专家介绍说,360“云QVM”是根据病毒变形的规律查杀,而不是匹配已知病毒“黑名单”。
360安全专家打比方说:杀毒就好比抓罪犯,以往都是按照通缉犯的照片来抓,只能抓已经加入黑名单的罪犯;360“云QVM”则是基于海量病毒样本的统计学习,知道什么样的程序具有病毒的特点,因此能在第一时间查杀最新病毒。
据统计,360全线产品覆盖国内近4亿网民,平均每天拦截木马病毒6000余万次,拦截并查杀的新增木马病毒数量在国内遥遥领先。360“云QVM”也因此具备了快速查杀各类病毒变种的能力,目前已经广泛应用在新版360杀毒和360安全卫士产品中。
附:360杀毒产品小组详解“云QVM”
在360杀毒3.0版本发布后,广大用户对“1秒云鉴定”非常好奇,下面为大家简单介绍一下:“一秒云鉴定”的实现,得益于360安全中心最新“云QVM”技术。
“云QVM”是将QVM人工智能引擎和云安全计算结合运用的技术,它会提取文件的模糊向量信息发送到云服务器进行运算鉴定,相比于基于文件MD5指纹或微特征等鉴定方法,“云QVM”的鉴定速度和鉴定广谱性更强,尤其对于变形文件及超大文件,其鉴定效率有了数量级的提升。
由于模糊向量鉴定只需提取文件中微小尺寸的信息点用于鉴定,提取的速度和与云服务器的通讯量都大大减小,因此可以实现1秒级的鉴定响应。甚至在拨号上网、网速极低的环境中,360杀毒也能够顺利实现快速“1秒云鉴定”。
基于MD5指纹的云鉴定,文件一个字节改变,都会导致其MD5指纹变化,对于鉴定引擎来说,就相当于一个新文件,需要上传新文件重新进行分析鉴定。对于变形、加壳文件,其鉴定效率并不优秀。而采用模糊向量鉴定技术后,文件的变形、加壳对于鉴定引擎基本失效,因此只要是同一家族、类型的文件,无论其如何变形,对于鉴定引擎而言都可以根据其信息点进行判定,而不需要上传文件的每一个变种。
“云QVM”与所谓“微特征”技术也有本质的区别。微特征本质上还是基于Hash(类似MD5)的算法,只是对Hash算法做了选块处理,以避免修改一个字节就改变微特征的问题,同时提高了计算速度。但是,由于微特征是一个Hash值的固有属性,其信息丢失严重,无法通过微特征去发掘数据内部规律,因此只能用作数据指纹比对。也就是说,微特征是无法通过自身来鉴定黑白的,而是将文件的微特征与服务器上由其他鉴定器提取的恶意样本微特征进行比对。
因此,微特征不是一种识别手段,而是一种标注手段。对于新的样本,由于服务器上并不存在对应的微特征,仍需要上传文件由鉴定器进行鉴定并抽取新的微特征。而QVM模糊向量鉴定技术是一种识别手段,可以直接运算信息点鉴定文件黑白,两者性质完全不同。
类似生物DNA鉴定技术,“云QVM”也可能会存在误判情况。尽管这个比例远远低于常规杀毒引擎,但是为了防止误判,并对文件做更精准的全面分析,360安全中心在用户许可的情况下,仍然会上传一部分云服务器中不存在的文件样本。
(本文不涉密)
责任编辑: