高级启发式引擎反馈 ver2.0

sysdiag.sys

你们目前已经全面上线第二代高级启发式引擎

建议第三代高级启发式引擎适当给机学参数模型扩展到150MB，仅仅是20MB左右不会对99.9%的用户计算机造成任何负担，想要协助火绒测样本的电脑玩家连512GB固态都买不起吗。150MB这是完全是可接受范围，这远比自定义防护 联网控制开启大量规则后占用的少。在攻坚AI检测技术的同时还是希望适当利用大力出奇迹、以量变换质变的手段

设计需求：在勾选高级启发式选项后，该机学参数模型及高级扫描引擎组件通过HRUpdate进行下载到本地。用户取消勾选后，自动清除该文件及相关引擎组件以腾出磁盘空间

sysdiag.sys

我深刻认知到从不及格到及格，对于差生而言相对容易
但从99分努力攻坚到99.5分，对于好学生而言，真的很难
我希望你们对于高级启发式引擎，努力从90分攻坚到97分

火绒运营专员

sysdiag.sys 发表于 2025-11-18 11:57
我深刻认知到从不及格到及格，对于差生而言相对容易
但从99分努力攻坚到99.5分，对于好学生而言，真的很难
...

您好，我们确认一下哦

纷扰的互联网

火绒运营专员 发表于 2025-11-18 12:01
您好，我们确认一下哦

对 我也要说这个 你们追求“小而美”给人感觉已经到“变态”或者是“钻牛角尖”的程度 这样真的好吗

UnknownOoo

建议第三代高级启发式引擎适当给机学参数模型扩展到150MB，仅仅是20MB左右不会对99.9%的用户计算机造成任何负担

模型文件体积的增大似乎在你看来只会多一点磁盘占用的感觉（？
你有没有考虑过训练模型、运行模型、整理更多的训练数据等成本？就用户端而言，光是现在就已经有很多人在提火绒性能影响大的问题了

你猜为什么卡巴斯基、360等杀毒软件都把全量机器学习模型部署在云端？只在本地部署精简化后的模型？（卡巴斯基似乎连本地机学模型都没有，全在云端，360的话有个拉的不行的QVM08好像）

另外一个帖子也在这里回复好了：

期待最终7.0内测给第四代高级启发式引擎用于动态HIPS防护

emmmm...u1s1我不是很理解你说的这话是什么意思...

首先，应用于文件扫描的高级启发式模型和应用于行为模式检测的 “高级启发式模型”完完全全是两个东西
（从模型参数，训练数据甚至模型架构都不一样，开发基于机学模型的行为防护和现在的高级启发式完全是两回事）

然后，你首先得“看得见”，然后才能把捕获到的行为数据处理后输入模型进行评估，就火绒几乎仅依靠ob回调的可视性能看见啥（

有这功夫不如催催火绒，该接入etw-ti啦 还是先把AM-PPL端上来吧）

Dzrjks6606

https://bbs.huorong.cn/forum.php?mod=redirect&goto=findpost&ptid=157197&pid=1057764

Dzrjks6606

UnknownOoo 发表于 2025-11-18 14:11
模型文件体积的增大似乎在你看来只会多一点磁盘占用的感觉（？
你有没有考虑过训练模型、运行模型、整理更 ...

EDR不使用ETW-TI，，无话可说（）

sysdiag.sys

UnknownOoo 发表于 2025-11-18 14:11
模型文件体积的增大似乎在你看来只会多一点磁盘占用的感觉（？
你有没有考虑过训练模型、运行模型、整理更 ...

我的意思就是后续7.0内侧~公测期间肯定要开测给AI技术拓展到动态HIPS单步主防，并且该世代适用于文件病毒的高级启发式扫描引擎已经可选用于文件系统实时保护，这也是最基本的需求。

盲猜7.0最早2028年，最晚2031年，那么长的长**期足够技术攻坚了。除了误报和检出率两者互相技术攻坚，其外就是DX12硬件加速

我的意见是7.0肯定要开局就攻坚高级启发式引擎用于文件系统防护（这是火绒爱好者对火绒最低要求了），至于恶意行为、系统加固和内存防护 这类动态HIPS单步主防，这要看他们底蕴储备了，没法强求。

火绒6.0现有的高级启发式引擎迭代到第三代我的基本要求是全盘查杀实装，下载保护 Web扫描 U盘保护随缘。后续若涉及区分全量模型和蒸馏模型，可以限定全量模型仅Win11支持，在正常跑Win11的机子没几个配置特别低的