正在阅读：比病毒传播更快？云鉴定器若干问题探讨比病毒传播更快？云鉴定器若干问题探讨

　　杀毒软件的本质是对文件进行鉴定，判断文件是安全或是危险。

　　以往杀毒软件鉴定目标文件，是将杀毒软件安装在本地计算机上，升级病毒特征库之后，将目标文件的特征和病毒特征相匹配，若匹配上某个病毒文件的特征，就判定这个文件是病毒。若未匹配上本地特征库里所有病毒的特征，就判定目标文件不是病毒。

金山网络李铁军的博客

　　这种传统的特征码鉴定有几个缺点：

　　1.本地必须有杀毒软件的特征库，判断的准确性取决于特征库是否全面，是否升级。

　　2.特征库需要频繁升级，过期的病毒库鉴定能力无法满足安全需求。

　　3.病毒种类增长很快，本地特征库也在迅速膨胀，使得杀毒软件的扫描效率下降，杀毒软件对系统资源的需求也在不断增大。

　　4.对新病毒没有鉴定能力。

　　为弥补传统特征码鉴定的不足，杀毒软件引入了行为判断的技术理念，希望分析出目标文件的行为特点，来避免特征库过于庞大，且无法鉴定未知新病毒的问题。

　　行为鉴定的不足：

　　1.病毒程序的行为，许多正常软件也有，不能很好地从行为本身来断定善恶。

　　2.行为鉴定有较多误报，需要频繁增加排除名单（白名单）

　　3.行为鉴定的结果不清晰，过于专业，普通用户看了不置可否。

　　行为鉴定经常会告诉用户，某程序可能有危险，是否可以运行。用户就傻了，你是杀毒软件，你问我，我问谁去。

　　为求更准确鉴定目标文件，避免特征码查杀的效率下降和行为查毒的模棱两可，经验丰富的用户会采取下面的方法：

　　1.多种方法重复检查，比如多引擎查毒，把一个文件用几十个杀毒软件分别扫描。

　　2.沙盘分析，虚拟机分析检查文件执行后的结果

　　3.专业人员使用专业工具分析程序行为

　　上述三种方法也存在缺点：

　　1.重复检查，太耗时，一台电脑安装太多安全软件，系统资源无法承受。且，用的杀毒软件越多，误报也越高。

　　多引擎扫描的误报率就等于所有杀毒软件误报率的总和。

　　2.沙盘、虚拟机，非专业人员不会用，更别提专业病毒分析师的分析结果。

　　云鉴定器的解决思路：将复杂的文件鉴定放在云端处理，由性能强大的服务器使用数十种鉴定方法（包括特征码和行为识别技术）并行鉴定，客户端只需要到云端查询匹配结果。

　　云鉴定器的优点：

　　1.服务端强大的性能支撑，解决了客户端不可能解决的效率问题，资源问题。

　　99秒内可以鉴定99%的任意文件，一半文件的鉴定耗时不到1秒。

　　2.客户端工作简单，只需要告诉用户对目标文件的鉴定结果，安全还是危险。

　　3.云鉴定器不需要客户端定时下载特征库，客户端只要能联网，就不存在特征库过期的问题。

　　使用云鉴定器的时机：

　　在计算机与外界发生数据交换时调用云鉴定器。包括以下场景：

　　1.下载（浏览器、聊天工具、下载工具，局域网共享等）；

　　2.同U盘等移动存储介质交换数据。

　　手动鉴定的场景：

　　用户自行提交任意可疑文件到云端。

　　云鉴定的意义：

　　1.大大改善了用户使用电脑的体验：

　　网民不再因为杀毒软件过期而中毒；

　　电脑因为杀毒软件不再需要庞大的本地特征库而损失性能；

　　网民不会因为看不懂杀毒软件的提示框而束手无策。

　　2.极大地提升了杀毒软件控制病毒传播的能力：

　　杀毒软件终于可以做到比病毒传播反应更快，在任意一台电脑截获的新病毒，云端快速响应之后，鉴定结果在极短时间内到达所有用户。

　　原文链接