我看“云安全”– 补遗
作者 appleleaf | 2010-02-19 21:14 | 类型 专题分析, 网络安全 | Comments Off
|
过年我的360升级后突然要求进行云查杀,经过我的许可后,鼓捣了一个小时,杀完了,什么也没有查到。看来我的机器保养的还不错,不过查杀的速度较快。 突然想到前些天和同事讨论的一个问题,搜索引擎的查找和AV的查找有什么区别,恰好我知道。简而言之两者的区别是,搜索引擎的查找前对于可以查找的数据本身进行了索引,之后对于根据输入的未知特征进行匹配。而传统的AV杀毒则恰恰相反,输入的数据是随机的,而特征是已知的,且索引的。 我忘记了在那里看到了一眼,传统AV的匹配算法属于online算法,那么对应的搜索引擎应该就是offline了,不知道是否术语正确。假使如此我们可以看出,二者泾渭分明,井水不犯河水,相安无事多年了。 云查杀似乎有了改变,笔者猜测云查杀的实现可能是这样的: 上传本地文件的类型,大小以及hash值,在云端比较已有的白名单,如果匹配则该文件不用进行后继的黑名单查询了。但是笔者没有抓取报文分析,估计抓也没有用,流量应该是加密的,知情者如果方便可以公布一下。 如果真是这样,我们分析一下,查杀服务的提供者需要在云端对于被查杀的文件维护特征库,这符合offline的对于查找的数据进行检索。这勉强可以说是AV业界也在使用offline的检索技术了。 我的一点小思考,不知道是否正确。 | |
 (没有打分) |
