爭奇斗艷360與金山的云查殺技術

金山毒霸2012正式推出時，有一個非常轟動的宣傳字眼：30核，即通過30種不同的病毒查殺引擎保護系統的安全。單從數字上看，貌似30核的交叉查殺遠比360的4引擎更為穩妥和先進，但實際上到底是怎么一回事呢？今天我們就要來揭開隱藏在云端下兩種不同查殺技術的真相。

其實在金山毒霸和360殺毒中，云查殺已經占據了越來越重要的地位，而前文所說的30核其實也是云查殺的一部分，但金山毒霸和360殺毒兩者在云查殺上使用的技術卻完全不同。

360殺毒的QVM

如果留意的話，會發現360殺毒并沒有以往殺毒軟件必須的病毒特征庫，這是由于360殺毒拋棄了傳統殺毒軟件“引擎+特征庫”的架構，直接與服務端的360云安全數據中心組成云安全體系。在本地進行文件掃描時，360殺毒的四引擎之一360QVM人工智能引擎將發揮作用。QVM 即Qihoo Support Vector Machine 的縮寫，是360完全自主研發的第三代引擎，2010年11月12日推出，集合在360殺毒2.0正式版中。

從本質上講，QVM是一種啟發式引擎，也可以說是啟發式鑒定器。從運作方式上來看，QVM要從文件中提取某些特征，諸如文件的大小、需要調用哪些API、是否自解壓等等，然后再根據這些特征比對海量的黑白樣本來判斷此文件是否安全。就好比警察抓小偷，警察抓了很多的小偷和很多好人，發現小偷一般都賊眉鼠目，好人都是大方坦蕩。而且，通過不斷的掃描樣本，QVM引擎不斷地擴大自己對已知黑白文件特征的特性數據庫，進而判斷未知文件的黑白屬性，逐步提高對病毒的檢測率和降低對白文件的誤報率，使得“抓小偷”的結果更為精準和可信。

QVM引擎不像以往被動的行為防御，小偷伸手了才確認去抓住它，也不像病毒特征碼，等確認后才去抓。它不在乎文件的具體細節，而是通過一個數學統計的方式宏觀地判斷一個文件的黑白。

如果遇到拿不準的文件，本地QVM引擎提取文件特征后會上傳，上傳的特征數據量很小，所以很快就能完成，最后通過云端的三款QVM鑒定器檢查。因云端的QVM每天掃描的是海量樣本，總結了更多的經驗，所以比本地查殺更加準確，瞬間得出結果后就會反饋到本地。

金山毒霸的云鑒定

金山毒霸2012采用了邊界防御的方式，對每一個進入電腦的文件都會驗證它的黑白，而對于未知的文件就上傳到云端進行鑒定。

金山毒霸的云鑒定體系采用了與360的云QVM完全不同的方式。毒霸的云采用的是微特征的方式，在云端通過病毒特征庫中的微特征與文件對應的方式來判定一個文件的黑白。毒霸的云鑒定可以用“微觀”來表示。

毒霸云端目前有30多款鑒定器，有啟發式的，也有行為判定的，還有其它的專門針對某些病毒的鑒定器。這些鑒定器是在每天更新甚至更換，但是絕對不是想象中簡單的多引擎掃描。金山的云端鑒定器用各種不同的方式鑒定一個樣本的安全性，然后通過加權或者其它的算法給出一個總評，最終判斷文件的安全性。

一般一個未知文件進入用戶的電腦，如果用戶沒有手動鑒定，那么這個文件將會被自動上傳并返回結果。如果用戶主動上傳，99秒內就返回結果。金山毒霸的查殺率體現在云端，就是所有上傳過來的文件，必須要趨近于100%的鑒定準確率，如果鑒定器鑒定不出來的，就會轉人工，由金山工程師判斷。

各自的優缺點

這里的比對并不意味著我們推薦使用某一款殺毒產品，因為兩種云都各有特色，360殺毒的本地和云端QVM對于變種或新型病毒有較好的防御能力（90%以上），金山毒霸追求的是精確且占用資源更少，但完全不能離開網絡環境。