Heuristika vs. baze+brza reakcija

1

Heuristika vs. baze+brza reakcija

offline
  • Pridružio: 12 Jan 2005
  • Poruke: 484
  • Gde živiš: Beograd

Ovo pitanje me kopka vec duze vreme, sta je buducnost borbe protiv virusa: masivne baze sa brzim reagovanjem na pojave novih virusa ili napredne heuristike?

I da se ovo ne bi svelo na sukob izmedju Nodovaca i Kavovaca, hteo bih da napomenem da nije Nod patentirao heuristiku i da se jos drugih resenja pri vrhu ponude sluze endzinima baziranim na heuristici. Kao i da nije KAV jedini i uvek najbrzi u reakcijama Wink

Cini se da se i svetska javnost podelila, pa su oni blizi Virus Bulletinu opredeljeni za heuristiku, a drugi koji su uglavnom pri vodecim svetskim IT magazinima i institutima (sto ne podrazumeva automatski i autoritet u polju) skloniji masivnim bazama.

Koje je vase misljenje?



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Goran 
  • Prof.Mr.Dr.Sci. Traumatologije
  • Pridružio: 05 Maj 2003
  • Poruke: 9977
  • Gde živiš: Singidunum

Mišljenja sam da je najbitnije imati dobru bazu i tim koji radi na tome nego naprednu heruistiku.
Znaš li kolika je prednost kad imaš mogućnost "update"-a na sat vremena, ovako ceo dan neki virus ima mogućnosti da ti napravi dar mar u firmi i sve što ti ostaje je da se prekrstiš i uzdaš u heruisitku dal će odraditi posao kako treba.
Izvagaj sam logično, sa jedne strane magla odnosno heruistika možda radi i možda ne radi..... a sa druge veoma pipljiva stvar a to je brzo otkrivanje virusa u rekordnom roku i njegova eliminacija.



offline
  • SVITAC 
  • Legendarni građanin
  • Pridružio: 28 Apr 2003
  • Poruke: 5919
  • Gde živiš: Beograd

Ja sam za kombinaciju ova 2 sistema .. ni jedan ni drugi sistem detekcije nije dovoljno dobar .. tj. ima svojih mana .. mislim da je tako nešto moguće odraditi .. samo je pitanje kako bi to uticalo na resurse u OS'u.

Heruistika zahteva mnogo veću optimizaciju detekcije nego što je sada i možda jednog dana i postigne dovoljan stepen korisnosti .. za sada po meni nije dovoljno dobra ..

Baze opet zahtevaju redovnu dopunu i bez nje AV nije uspešniji od heruistike.
Jedini ko je to stvarno shvatio i primenio u praksi je KL .. ali opet krajnji korisnik je taj koji treba da izvrši update tako da je uspešnost AV sa bazama delimično ograničena samim korisnikom.

ps. nema potrebe da ovo tema bude sukob korisnika .. i sami AV Lab'ovi sarađuju među sobom zašto bi se korisnici prepucavali .. cilj je zajednički .. veća bezbednost naših kompjutera i podataka.

offline
  • SINGI
  • Pridružio: 22 Avg 2003
  • Poruke: 787
  • Gde živiš: Beograd

F-SECURE distributer ::Ovo pitanje me kopka vec duze vreme, sta je buducnost borbe protiv virusa: masivne baze sa brzim reagovanjem na pojave novih virusa ili napredne heuristike?
I da se ovo ne bi svelo na sukob izmedju Nodovaca i Kavovaca, hteo bih da napomenem da nije Nod patentirao heuristiku i da se jos drugih resenja pri vrhu ponude sluze endzinima baziranim na heuristici. Kao i da nije KAV jedini i uvek najbrzi u reakcijama Wink


Kolega, BRE Smile
Ispade iz ovog tvog da KAV nema heuristiku, nego da se samo oslanja na baze - a zapravo, samo su se odlucili da maksimizuju oba sistema - dobra heuristika i baza dopunjena svakog sata. A ovo je najcesce od svih Smile

E sad, dao si mi dobar slagvort za jednu vest koju cu sutra da postavim - a tice se "masivnih" baza.
Od sutra KAV ima novu strukturu baza, sa kojom ce update biti jos brzi nego sto je to sa ovom strukturom koja je jos danas aktuelna.
Sutra cu znati detalje - pa pisem Smile

offline
  • Peca  Male
  • Glavni Administrator
  • Predrag Damnjanović
  • SysAdmin i programer
  • Pridružio: 17 Apr 2003
  • Poruke: 23209
  • Gde živiš: Niš

a jeste li razmisljali o tome da zastita moze da se napravi na nivou OS-a?
pri svakom pokusaju menjanja nekog EXE fajla - da se korisnik pita?

ja mislim da je to moguce napraviti i na nivou antivirusa, samo je problem sto niko i ne zeli to da napravi, jer bi tako problem sa virusima bio resen za svagda, i antivirusnim kompanijama bi posao stao...

offline
  • SINGI
  • Pridružio: 22 Avg 2003
  • Poruke: 787
  • Gde živiš: Beograd

Peca ::a jeste li razmisljali o tome da zastita moze da se napravi na nivou OS-a?
pri svakom pokusaju menjanja nekog EXE fajla - da se korisnik pita?

ja mislim da je to moguce napraviti i na nivou antivirusa, samo je problem sto niko i ne zeli to da napravi, jer bi tako problem sa virusima bio resen za svagda, i antivirusnim kompanijama bi posao stao...


Mislim da bi tada na scenu stupio socijalni inzenjering kojim bi se korisnik ubedjivao da bas treba da prihvati menjanje EXE fajla, pa bi opet bili na istom.
Uostalom, 95% email crva se ne bi sirilo kada radoznali ne bi kliknuli bas zato sto im pise da obavezno kliknu Wink

offline
  • Peca  Male
  • Glavni Administrator
  • Predrag Damnjanović
  • SysAdmin i programer
  • Pridružio: 17 Apr 2003
  • Poruke: 23209
  • Gde živiš: Niš

KAV distributer ::
Mislim da bi tada na scenu stupio socijalni inzenjering kojim bi se korisnik ubedjivao da bas treba da prihvati menjanje EXE fajla, pa bi opet bili na istom.
Uostalom, 95% email crva se ne bi sirilo kada radoznali ne bi kliknuli bas zato sto im pise da obavezno kliknu Wink


potrebna je daleko manja edukacija korisnika, za takav sistem zastite.
uostalom, kada OS/AV pita korisnika da li ce dozvoliti da se taj_i_taj EXE izmeni, dovoljno ce biti da se, pored pitanja, u poruci napomene da bi ovo mogao da bude virus.
pa da vidimo ko ce, iz radoznalosti, da klikne na Accept...

offline
  • Goran 
  • Prof.Mr.Dr.Sci. Traumatologije
  • Pridružio: 05 Maj 2003
  • Poruke: 9977
  • Gde živiš: Singidunum

Postoje već programi sličnog tipa u Spybot-u i ovom novom Microsoftovom čistaču al te pita samo za smeštanje u "startup"-u, ostaje znači da treba se odradi za bilo koji "exe" fajl i stvar bi bila rešena.

offline
  • Peca  Male
  • Glavni Administrator
  • Predrag Damnjanović
  • SysAdmin i programer
  • Pridružio: 17 Apr 2003
  • Poruke: 23209
  • Gde živiš: Niš

i onda bi AV kompanije propale, bez posla Razz

offline
  • Pridružio: 12 Jan 2005
  • Poruke: 484
  • Gde živiš: Beograd

KAV distributer ::

Kolega, BRE Smile
Ispade iz ovog tvog da KAV nema heuristiku, nego da se samo oslanja na baze - a zapravo, samo su se odlucili da maksimizuju oba sistema - dobra heuristika i baza dopunjena svakog sata. A ovo je najcesce od svih Smile



Ja se izvinjavam kolega Very Happy No uglavnom su ljudi koji zastupaju baze kod nas na forumima (citaj ES) na KAV-u a ovi drugi NODovci... pa stoga takav moj komentar.

A ja se slazem sa Svicem, to je i moje licno misljenje a i zvanicno kompanijsko jer se takvo resenje primenjuje u F-Secure AV-u.

Iako ima ucenih ljudi koji ne vole kombinacije endzina, jer to usporava sken, ja verujem da je tu buducnost i velike AV kompanije to prepoznaju.
F-Secure, recimo, koristi 3 endzina, Libru za macro viruse, AVP za polimorfne do leta 2004. a od leta FSAV ali i Orion koji je potpuno zasnovan na heuristici i ne konsultuje bazu. Zato i jeste detekcija na tako visokom nivou.

I da, tu jeste zrtvovana brzina skena, ali i dalje pici 1,5GB ispod 7 minuta Smile

E sad, posle ove reklamne poruke, i infoa da i KAV koristi heuristiku, koji argument ostaje za samostalna heuristicka resenja? Jedino brzina skena (gde je NOD jos uvek nenadmasan) i neopterecivanje resursa (problem koji su resili i vecina ostalih AV osim Nortona). Da li je to dovoljno za dobru zastitu?

Sa druge strane ni resenja koja se zasnivaju samo na bazama i brzini reakcije (momentu pustanja punog apdejta vise nego formiranju same definicije virusa jer izmedju ta dva moze da prodje i vise od 24 sata) ne mogu se pohvaliti uspesnom 2004. godinom kada smo imali vise zaraza nego ukupno do tada i kada su se upravo resenja sa kombinovanim "sistemom" izdvojila od ostalih (ima o tome dosta na av-test.org).

Ko je trenutno na forumu
 

Ukupno su 685 korisnika na forumu :: 35 registrovanih, 2 sakrivenih i 648 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: _Sale, A.R.Chafee.Jr., bbogdan, Bob1312, Bobrock1, darkstar101, Dorcolac, ekser222, gagidjuric, goxin, HrcAk47, hyla, lelemud, LonelyWolf, maiden6657, MB120mm, mgolub, mikrimaus, Mixelotti, mnn2, nenad_l, pacika, samsung, sickmouse, Srle993, Srpska zauvjek, Tas011, Toni, Trpe Grozni, vandrej, vasa.93, voja64, vukovi, W123, Žukov