Перейти к содержимому


Фото
- - - - -

Недостатки интерфейса Dr.Web


  • Please log in to reply
126 ответов в этой теме

#121 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 17 Март 2017 - 18:32

 

 

В таком случае, на твой вопрос ответ абсолютно такой же.

Все правильно. Информации 0 и весь сабж это набор ни на что не опирающихся умозаключений.

Просто, фича была удобственная, и хочется верить, что технические и технологические возможности с того времени выросли и ее можно вернуть,

Но психология пользователя с тех пор вряд ли поменялась.

"Я скачал кряк. На сайте было написано, что он проверен антивирусом xxx и вирусов в нём нет. А ваш антивирус детектит в нём вирус и уносит его в карантин, что, очевидно, является ложным срабатыванием. Поэтому отправляю этот файл вам, чтобы вы устранили это ложное срабатывание."

 

Думаю, такой пользователь не поленится отправить кряк в вирлаб и через форму.

А если все же страшно ленивый попадется, то поставит кряк исключения и запустит. :)



#122 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 825 Сообщений:

Отправлено 17 Март 2017 - 21:04

Какова вероятность, что файл, который никогда не был в вирлабе и прислан с диагнозом "ложняк" является сусликом?

Какова вероятность, что файл, который ещё не побывал в вирлабе, но содержащий суслика, пришлют роботу, чтоб снять детект без регистрации и смс?


Семь раз отрежь – один раз проверь

#123 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 17 Март 2017 - 21:40

 

Какова вероятность, что файл, который никогда не был в вирлабе и прислан с диагнозом "ложняк" является сусликом?

Какова вероятность, что файл, который ещё не побывал в вирлабе, но содержащий суслика, пришлют роботу, чтоб снять детект без регистрации и смс?

Думаю, об этом лучше спросить у аналитиков. Возможно у них есть статистика из реальности.

Ваш вопрос не сильно отличается от моего. Если вы имеете ввиду сознательную отправку суслика для снятия детекта, то вероятность невелика - проще, да и недежней будет обойти детект.



#124 ivsero

ivsero

    Newbie

  • Posters
  • 77 Сообщений:

Отправлено 17 Март 2017 - 22:02

Какова вероятность, что файл, который ещё не побывал в вирлабе, но содержащий суслика, пришлют роботу, чтоб снять детект без регистрации и смс?

 

Вероятность, безусловно, существует.

Если говорить о машинном обучении, то, можно попытаться подобрать набор признаков и соответствующие пороги таким образом, чтобы обеспечить достаточную точность, пусть и в ущерб полноте. Ну и, разумеется, постфактум контролировать точность и полноту классификатора, делая контрольные выборки с привлечением аналитиков.

 

Другой вопрос в том, что подготовка признаков сама по себе является не таким уж простым делом и может потребовать большого количества ручной работы. Выбор алгоритма и его подгонка тоже непростая задача; наверняка придется прибегать к использованию ансамбля классификаторов. Если признаков наберется очень много, то процесс обучения может осуществляться долго.Потом модели будут "протухать", потому что меняется мир вокруг. Соответственно, надо задумываться о процессе переобучения. В общем, есть своя специфика.

Я, честно говоря, до некоторых пор сам сильно сомневался, что ML работает. Оказалось, в некоторых случаях все-таки работает и весьма неплохо. Главное - вникнуть в природу данных и не воспринимать это как черный ящик, в который скормил набор векторов и получил чудесную формулу с наскока. 


Сообщение было изменено ivsero: 17 Март 2017 - 22:04


#125 Ky3bkuHaM@Tb

Ky3bkuHaM@Tb

    Newbie

  • Posters
  • 97 Сообщений:

Отправлено 18 Март 2017 - 07:16

Проще обойти детект другими способами , чем корячиться с пропихиванием суслика как ложняк с таким "большим количеством неизвестных".Уверен если кто и будет заморачиваться, то только какой нибудь энтузиаст ради интереса.

#126 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 825 Сообщений:

Отправлено 18 Март 2017 - 09:24

Пока речь про хэши файлов и примитивного робота, обход детекта тривиально автоматизируется.


Семь раз отрежь – один раз проверь

#127 АВаТар

АВаТар

    Advanced Member

  • Posters
  • 841 Сообщений:

Отправлено 20 Март 2017 - 15:28

В результате беседы в ЛС с действующим аналитиком компании выяснилось, что поставить окончательный диагноз бывает затруднительно. Правда, не знаю как часто.

Кроме того,

Никаких серверов не хватит, чтобы хранить у себя все варианты чистого софта.

 

Всё это существенно затрудняет внедрение.

Мы зря тут спорили, причину отказа моей схемы лучше видел и объяснил специалист компании. За что ему - большое спасибо! :)




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых