什么是误报?
有时被写为f / p的假阳性是一个常用于网络安全的表达式,以表示文件或设置已被标记为恶意,而不是。
在统计数据中,误报称为I型错误,因为他们检查特定条件并错误地给出了肯定的(正面)的决定。与此相反是假阴性,或II型错误,其在特定条件下检查,实际上它是真的。在这个博客文章中,我们将专注于网络安全中的假阳性,但请注意,这一领域的假否定否定否则通常被称为“未命中”。因此,“未命中”是恶意文件或恶意行为,扫描仪或保护软件未检测到。
误报的可能原因
误报的最常见原因是:
- 启发式:决定是关于最小信息比特
- 行为分析:基于行为进行的决策,合法文件显示通常被视为恶意的行为
- 机器学习:有时我们会看到“垃圾进出,垃圾出局”或更礼貌地的影响,“培训没有考虑某些情况。”
让我们给出一些这些原因的例子。
启发式检测的示例规则可能是这样:如果此文件声称来自Microsoft,但它不是签使用Microsoft证书,然后我们假设该文件具有恶意意图。在微软忘记签署文件的罕见情况下,可能会出现假阳性。
发现勒索软件行为的一个检测矢量是程序是否开始删除卷影副本。一些赎金瓶家庭这样做是为了确保受害者没有备份。但是,您可以想象一个删除旧影子副本的清理实用程序,这可能被标记为显示恶意活动,右图?
通过馈送系统大量培训数据来完成机器学习。培训数据中的错误或歧义可能导致检测中的错误。
设计尚未恶意文件或行为的检测规则总是试图尽可能多地覆盖它们的平衡,而不会触发任何误报,并且可以有时会出错。
有趣的事实
错误检测的常见原因是刻意的假阳性。最着名的假阳性是EICAR测试文件,由欧洲计算机防病毒研究所开发的计算机文件,以验证的响应防病毒程序不必使用真正恶意软件。注意必威平台APPWindows的Malwarebytes.没有检测到EICAR文件和必威平台APPMalwareby for Mac.仅在特殊情况下检测到它。这是通过设计。
但历史也使我们刻意虚假阳性作为测试反恶意软件软件是否使用竞争对手的检测来测试的方法。
概括
误报是针对非特定文件或行为的警报,这些文件或行为被标记为恶意,而实际上则没有糟糕的意图。它们是由试图捕获尽可能多的恶意事件的规则引起的,这有时会通过拾取合法的东西而失败。
Pieter Arntz.
评论