這是proll寫的文章！
覺得他寫的不錯，轉上來讓大家參考一下

引用:

Panda Security 2009已經面試1周有餘，在這1周的時間裡面，我和眾多網友已經感受到了新版本帶來的衝擊，不僅僅是視覺上的，更是在效果上有很大進步。
或許大家覺得我可能對Panda總是報喜不報憂，其實不然，對於Panda 2009的變化，用戶的批評和激勵起了至關重要的作用，所以我覺得報憂比報喜好，在現在AV大環境不好的情況下，憂患意識應該是必須具有的。

言歸正傳，首先說2009beta到目前為止發現的Bug。
1.實時監控的「監控壓縮包」功能失效。
不論此選項是否選擇上，實時監控都會掃瞄壓縮包中的文件，根據目測，.Rar與.Zip都被監控。
2.「自我檢測」選項失效
不論此選項是否選擇，Panda 2009beta都會定時對自己的保護程序開啟狀況進行檢查，並提示用戶進行相應操作。
3.隔離區裡面有大量文件的時候，隔離區內操作速度非常緩慢。如果一次性刪除大量隔離區內文件，可能導致Panda程序的GUI出現假死。
4.刪除隔離區內部分文件偶爾會提示出錯。
5.「反欺詐網頁」功能過於敏感
即使將該功能選擇為「低」級別敏感度，仍然會產生「誤報」。
6.右鍵掃瞄的時候，如果對隔離區內文件採取「上報可疑文件」的操作，右鍵掃瞄功能很可能出現假死，並且無法恢復（恐怕和Collective Intelligence聯網與上報文件聯網衝突有關係）
7.日誌中經常性疏漏Collective Intelligence報出的Suspicious（可疑文件）。
8.全新安裝Panda internet security 2009 beta之後，在初次重啟機器後，Panda Permanent protect實時監控經常性提示出錯隨機自動關閉。重啟機器可以解決。
9.掃瞄某些特定文件的時候掃瞄器會卡住，導致掃瞄器卡死。在任務管理器中關閉掃瞄器，重新開啟掃瞄可以解決。

上面說了一些我總結的Bug，下面來說說2009版的優點
1.開機後，所有程序加載完畢，系統穩定後，系統運行速度流暢，相比2008流暢度提高很多，從Panda blog看，是Panda採用了白名單庫，這樣甚至可以不用檢測系統的以及常用軟件，大大提高檢測效率。
2.系統GUI打開、關閉、切換速度明顯加快。相比2008，2009的界面打開、關閉以及切換速度變的相當迅速，並且「應用」所選項目後也不會出現短暫卡機的情況。
3.GUI分佈合理，界面更加人性化。隔離區操作相比之前更加方便，看上去非常簡潔。
4.自動在線更新頻率增加。
5.樣本自動上報系統比之前效率提高。
6.解決了P2P軟件不兼容的問題，但由於防火牆規則問題，使用P2P相關軟件仍然會出現偶爾斷流的現象，但速度在一小段時間之後仍然會恢復。
7.大家最關心的檢測率方面，Panda 2009檢測率大幅度提高。


下面說說Panda的Collective Intelligence（以後簡稱CI）。
早在去年，我就在Blog轉貼了官方相關CI的文章，文章裡面已經將CI的研發目的介紹的比較清楚。但是設計企業機密的具體的實現CI的技術手段並未詳細介紹。說實話我也沒想到CI會在2009中就整合在一起，因為Nano Scan、Active Scan 2.0也都是剛剛發佈不久，這些東西恐怕已經差不多人忘記了還在Panda labs中緊鑼密鼓的開發著的CI。

CI的理念比較符合目前計算機發展趨勢，將每台Computer中大量繁重的計算，交給一台高性能的計算機網絡服務器來進行計算，然後分發給所有客戶端，這樣的方式，優化了效率，減少了重複工作量，當然這樣的技術對我們的聯網質量有一定的要求。有一定的要求並不是說要求很高，對於現在普及了1MB ADSL的中國來說，已經完全具備了這樣的條件。

現在每天都有成千上萬到新惡意軟件誕生，這裡面，絕大多數都是所謂的「變種」，大多數還都是通過修改部分樣本的代碼、殼特徵等方式對惡意軟件進行「改頭換面」，如果2008年的安全軟件還是像2005年之前那樣，僅僅將每個樣本的特徵碼提取出來，加入病毒庫，那病毒庫中將充斥滿垃圾代碼，而且會以幾何級的倍數增長。面對這樣的情況，先知先覺的安全廠商就著手多這些「改頭換面」而來的新樣本進行重點突擊。研究者發現，這些威脅有共有的特徵，他們要麼是有很奇怪的殼保護在真實程序之外，要麼就是有共同的「動作」特徵。
隨後研究者開發出來了各種對付這些威脅的方法，比如對可疑加殼方式的偵測，或採用虛擬機的方法模擬程序運行，通過程序的「動作」判斷程序是否是威脅。
當採用這些新方法之後，安全廠商發現安全軟件對惡意威脅的檢測率是有一定程度的提高，但這些方法都並非基於準確的唯一特徵定位法，會對一些「無毒」文件產生一些誤報，導致不良的後果。

對於用戶來講，檢測率的提高可以很大程度提高系統安全度，每當安全軟件提醒用戶發現「可疑文件」的時候，這文件很大程度就是新威脅，用戶一般都會聽從軟件的建議對「可疑文件」進行處理。這個過程當中，就產生了隨之而來的新問題。

當安全軟件將一個「乾淨」的文件是可疑文件的時候，用戶一旦按照提示操作，有可能安全軟件就將此文件刪除，或者移動到隔離區中。誤判會對系統或相應軟件的正常運作產生影響。如果這個時候，用戶可以安全軟件廠商立刻聯繫，在幾分鐘之內就解決這個問題，這種情況用戶就會將誤報遭受的損失降低到一個很小的程度。

常規的方法，需要用戶將被誤報的文件提取後，加密壓縮，並發送到安全廠商相應的郵箱內，等待廠商分析，然後發佈新病毒庫，用戶更新病毒庫解決。這個流程，短則2、3個小時，長則可能1個多星期甚至更久。

破位麻煩的解決流程，讓軟件使用者煩惱不已，而安全廠商也開始另闢蹊徑。

Collective Intelligence就是在這樣的情況下誕生。CI是一個網絡，這個網絡覆蓋了Panda病毒分析實驗室的服務器和所有使用Panda的用戶的機器，這些機器可以隨時通過Panda的安全軟件進行通訊。

Panda的服務器是「上位機」，所有的用戶的機器是「下位機」，上位機和下位機之間是雙向通訊的，下位機之間不可以直接通訊。

現在來模擬一下CI的工作方式：用戶user1的機器上，Panda報告發現「可疑文件」，用戶根據提示，發現文件已經被Panda放入隔離區內。然後 Panda根據用戶的設置，自動上報可疑文件（或者用戶在隔離區內，單擊5次鼠標就可以完成一次完整的自動上報），文件會在幾秒鐘內上報到CI服務器，文件當即就在CI服務器上被自動分析，然後在1、2秒鐘之內，CI服務器會給用戶的Panda反饋一個消息，這個消息有2種情況：
情況一：當這個文件不是首次上傳，而是之前有其他用戶上傳過
由於之前有其他用戶上傳過，所以CI只需要將之前分析的結果反饋給user1的Panda，user1的電腦中的Panda軟件的隔離區會立刻顯示出戶這個文件是否是真正的威脅，或者是「乾淨」的文件。
情況二：user1上傳到文件CI還未曾分析過
CI處理完user1的文件之後，這個可疑文件就已經被CI所「記錄在案」。當user2的機器也發現同樣的文件，被Panda隔離起來，user2也自動上報CI分析是否是威脅，CI就可以在1、2秒之內立刻告訴use2，這個是「威脅」！或者是「乾淨」的！

你可以仔細想想，Panda的引擎檢測出的「可疑文件」中，誤報的幾率有多少，其實是相當的少。所以上報給CI的「可疑文件」大多數都是真正的威脅，user3、user4……等等用戶的Panda發現了」可疑文件」，通過上報，可以非常迅速的知道哪些是威脅，哪些不是威脅。再多轉幾圈腦筋，實際上用戶只需要從所有「可疑文件」中還原出「乾淨」的文件，並不需要費力的確定每個「可疑文件」具體是什麼病毒或木馬，叫什麼病毒名，有什麼特性，這些對大多數用戶都毫無意義，而如果像卡巴斯基一樣，把所有的「可疑文件」都分析後，加入病毒庫，那病毒庫何時是個盡頭？特別是在用戶的機器上的病毒庫會不斷變大，直到臃腫不堪，那安全軟件行業就算走到盡頭了。
Panda研發CI的目的，就是要將這些新威脅（特別是木馬變種）通過用戶機器的一個具有「啟發式」掃瞄引擎的Panda安全軟件掃瞄出來，然後在所有的「可疑軟件」中只將「乾淨」的文件過濾出來，其他一切「可疑文件」都無需知道具體什麼名字，只要知道他是威脅，通通給隔離起來就好了。防止用戶機器上的安全軟件的病毒庫的無限擴大。


CI的任務不僅如此。按照Panda Security公司的設計，從2009版本開始，Panda的單機版的病毒庫，將分為2部分：「客戶端部分」和「CI部分」。

用戶機器上安裝的Panda安全軟件的病毒庫，只需要保留「惡意Rootkit」、「In the wild」的樣本，以及「感染性的病毒」樣本的特徵，以防止文件被病毒感染後需要本地病毒庫來修復被感染的文件。可以想像用戶機器裡面的病毒庫會縮減多少，安全軟件對系統影響會降低到一個很客觀的程度。

而CI上面的病毒庫，將是一個「巨型」病毒庫，這個病毒庫收集所有的「木馬」、「不可修復病毒」、「殭屍病毒」，包括了所有的通過用戶機器上的panda上報上來的「可疑文件」的分析結果。

總結。Collective Intelligence的實踐是安全軟件企業走向成熟後的大膽嘗試，這樣的嘗試會將「越來越看不到希望的」安全軟件帶入到一個新的境界，希望Panda等嘗鮮者，一路走好。

http://www.prollblog.cn/read.php/293.htm

同時同分同秒發同帖,太妙了吧 .

哇

我真的不是有意的哦