Иван

Тестирование связки KAS 3.0 и KAV для WKS - фильтрация спама

В этой теме 9 сообщений

Вводные следующие:

на мой рабочий ящик приходит в среднем 150-200 спамерских писем в день.

стоит связка KAS 3.0 и KAV для WKS.

решил посчитать какой реально процент спама обнаруживается связкой

результат за первую неделю ниже, фолсы когда будут - опубликую отдельно, за прошедшую неделю не было

забавно, что пока самый страшный день вторник

по итогам недели средний детект - 96,31%

antispam.PNG

post-10-1209471409_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У нас в организации такое решение установлено...

Процент 98+ я бы сказал. На рабочих станциях вопрос использования и обучения АС лежит на плечах сотрудников поэтому у некоторых проскакивает. Используется уже более года.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У нас в организации такое решение установлено...

Процент 98+ я бы сказал. На рабочих станциях вопрос использования и обучения АС лежит на плечах сотрудников поэтому у некоторых проскакивает. Используется уже более года.

да, я забыл сказать - антиспам WKS обучать начал только в прошлый понедельник, прогресс есть :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
да, я забыл сказать - антиспам WKS обучать начал только в прошлый понедельник, прогресс есть :rolleyes:

я так и понял из первого поста

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я как-то предложил DVi на фолсы ставить штрафные баллы продукту. И назвать это деструктивной работой. Все-таки АС создан для ловли спама. Если ловит - 1 балл, если сфолсит -2...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я как-то предложил DVi на фолсы ставить штрафные баллы продукту. И назвать это деструктивной работой. Все-таки АС создан для ловли спама. Если ловит - 1 балл, если сфолсит -2...

в какое место продукту ставить штрафные баллы? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

При подсчете:

DVi, 24.03.2008 13:30:51:

М.б. ты сохранить забыл?

Или при конвертации из ОО потерялось?

Umnik, 13:31:02:

Второе очень возможно, кстати...

DVi, 13:31:19:

А, вижу - график спрятался на втором листе

Umnik, 13:31:25:

Вот-вот

DVi, 13:32:14:

Давай, начинай мне объяснять значения колонок

DVi, 13:32:31:

Прямо с первой начинай: что такое "Тридцатка..."?

Umnik, 13:33:08:

Я брал для анализа пачки по 30 писем. Цифры в остальных столбцах - это такое количество из 30

DVi, 13:34:00:

Э-э... Откуда ты взял такое нормирование?

DVi, 13:34:34:

Т.е. ты считаешь важным брать по N писем? Или все-таки нормировать по времени?

Umnik, 13:34:43:

С потолка. Можно было бы сделать изначально форуму, по которой был бы пересчет удобный. Только это сильно усложнило бы работу мне.

DVi, 13:35:02:

Итак: нормирование по количеству или по времени?

Umnik, 13:35:08:

Брать по N писем, т.к. за день может прийти гора, а за неделю ни одного потом.

DVi, 13:36:01:

Итого: ты считаешь правильным нормирование по количеству.

Ок, смотрим дальше

DVi, 13:36:47:

Что ты откладываешь в графу "Ложные срабатывания"? Те письма, на которых юзер нажал "Не спам"?

Umnik, 13:37:24:

Именно. Ложный детект и ложное подозрение. Ложный детект опаснее, потому ему коэффициент деструктивности больше.

DVi, 13:38:30:

"Верное срабатывание" - это общее количество распознанных в пачке спам-писем (за вычетом тех, на которых юзер нажал "Не спам")?

Umnik, 13:39:23:

Да

DVi, 13:40:09:

Что такое "Коэффициенты поправки дефективности"?

Я там вижу только три цифры: 8, 6 и 5

Umnik, 13:42:54:

Да. Ложные подозрения и срабатывания, а так же пропуски - это дорого. Может улететь важное письмо при ложняке или сотрудник будет пялиться в спам-письма в рабочее время при пропуске. Потому этим опасностям присвоил коэффициенты дефективности работы компонента. На сколько опасны для конечного пользователя ложняки и пропуски может решить он сам (либо администратор средствами АК).

DVi, 13:43:53:

На сонове каких данных он будет принимать решение об этих цифрах?

Umnik, 13:45:42:

Да сам решит. Я вот оцениваю во столько-то, а я во столько. Конечно, при явных завышениях можно и сказать, что нужно совесть иметь.

Можно сделать дефолтные, при чем для WKS они будут выше, чем для KIS, т.к. для организации эти потери дороже.

DVi, 13:56:12:

Кхм.... Т.е. гадание на кофейной гуще.

DVi, 13:56:30:

Смотрим дальше: что такое "Дефективность работы компонента"?

Umnik, 13:59:15:

> Кхм.... Т.е. гадание на кофейной гуще.

Исключительно толка ради. Если АС неэффективен, то это дорого. Нужно заменить, дабы экономить. К тому же я говорил в письме о рекомендациях для меня. Значит нужно видеть, имеют ли эти рекомендации толк

> Смотрим дальше: что такое "Дефективность работы компонента"?

А это уже расчетные величины. Строятся на на фактических данных с учетом коэффициентов дефективности

DVi, 13:59:41:

По какой формуле?

Umnik, 13:59:52:

Там же ее видно.

Umnik, 14:00:23:

У меня под рукой нет файла сейчас

DVi, 14:00:58:

Я не вполне понимаю синтаксис Эксела

Там написано:

=B4*H$3/30

DVi, 14:01:58:

Что означает знак доллара в середине формулы?

Umnik, 14:02:49:

Это закрепление. Значит, что третья строка будет всегда. В то время как у В четвертая строка будет меняться все время по счетчику

DVi, 14:04:36:

Итого:

% ложный срабатываний = количество ложный срабатываний * коэффициент дефективности для ложных срабатываний / количество писем в пачке

Так?

Umnik, 14:04:57:

Да

DVi, 14:05:36:

Теперь объясни, как в ячейке M23 оказалась цифра "200%"?

Umnik, 14:05:55:

Потому что так вот получилось из-за дефективности.

Umnik, 14:06:12:

АС отработал плохо. Проследи ячейки

Umnik, 14:06:32:

Поставь курсор в Экселе в строку ввода форумулы и ячейки подкрасятся цветами. Будет удобнее

DVi, 14:07:21:

12*5/30 = 2

DVi, 14:07:52:

Разве бывают цифры больше 100%?

Umnik, 14:08:12:

Это же с учетом поправки дефективности.

Umnik, 14:08:28:

Отрицательная эффективность - значит АС прибивает полезные письма

DVi, 14:10:05:

Э-э..... Бред. У тебя в строке 23 нет ни одного ложно распознанного письма - но эффективность получилась = -100%

Umnik, 14:10:50:

А что там у меня? Считал-то не руками

DVi, 15:30:49:

У тебя там 12 нераспознанных спам-писем, одно верное срабатывание и 2 верных подозрения

Никак не должна выходить эффективность -100%

ИМХО идея к коэффициентами дефективности не лишена

DVi, 15:41:41:

ИМХО идея к коэффициентами дефективности не лишена здравого смысла, но к перехлесту 100% она не должна приводить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...