抓到所有的壞人,而不會抓到好人:防止誤判,防毒軟體該做些什麼?

回到惡意軟體還沒有那麼猖獗的時候,防毒軟體很大程度上是依賴病毒特徵碼的更新去偵測惡意程式。在那時,這樣的效果非常好,而誤報問題也非常少見的,除非是因為作業流程出錯而導致錯的病毒碼被發布出去。

抓到所有的壞人,而不會抓到好人:防止誤判,防毒軟體該做些什麼?
抓到所有的壞人,而不會抓到好人:防止誤判,防毒軟體該做些什麼?

最近幾年,因為地下經濟蓬勃的發展,我們看到惡意軟體以倍數地增長,功能也變得更加複雜。可能是因為網路犯罪份子會資助複雜惡意軟體的開發。先進的偵測躲避技術還有隱匿活動的能力也是今日惡意軟體的特徵,讓它更難以被偵測和追踪。

面對這些狀況,大多數防毒軟體廠商會不斷地創新,引進新方法來偵測更多惡意軟體,特別是在惡意軟體尚未擴散之前。大多數都是利用啟發式偵測來幫助防毒軟體分析判斷是否為病毒。但是這種做法是把兩面刃:有助於提高偵測率,也容易導致誤報。

誤報真的可能會造成傷害

誤報,也就是假陽性,就是當正常或乾淨的檔案被防毒軟體誤判為惡意或中毒的檔案。

在某些時候,誤報只是會很擾人,因為會在使用者螢幕上跳出警告訊息。但在其他狀況下,誤報是會極具破壞性的,尤其是當因為誤判而刪除系統檔案的時候(可以在這裡這裡找到一些例子)。如果這發生在企業環境中,對業務的影響可能會非常昂貴,在處理誤判問題以及回復的過程中,生產力也受到了影響。

你所用的防毒軟體精準度如何?

在理想世界裡,完美的防毒軟體可以偵測到所有的惡意軟體而沒有誤報。不幸地是,在現實世界中並非如此。

誤報對所有的防毒軟體來說是個共同的問題。實際上,要成為提供最佳防護的好防毒軟體,要盡可能偵測最多的惡意軟體,同時也讓誤報盡可能接近零。為了達到這個目標,需要做些事情來防止誤報。

大多防毒軟體只能被動地提供例外清單,讓使用者可以將被誤判的檔案加入清單,好讓它們不會再次被偵測到。使用者還可以將這些檔案提交給資安廠商作進一步的分析。但是這些方法對於防止發生誤判都還不夠好。

除了加入黑名單

為客戶提供更加準確的防護是趨勢科技的首要任務。為了實現這個目標,在大多數防毒軟體只著眼於傳統黑名單技術時,趨勢投資在白名單技術上,且不斷加以發展以提升我們的防護技術。

比方說,趨勢科技有GRID(Goodware Repository and Information Database)。GRID是收集所有已知正常軟體檔案的巨量資料庫。這些檔案是經由夥伴計劃以及自動收集工具所收集而來。趨勢科技自2009年來就開始使用GRID,以作為主動式雲端截毒服務  Smart Protection Network技術的一部分

所有檔案在進入GRID資料庫前,都先經過仔細地處理及分析,以確保檔案的正確性。GRID資料庫還保有軟體檔案副本,以及所有檔案的元資料和檔案脈絡資訊(如檔案如何被包裝、來源還有和其他檔案的關聯等)。

趨勢科技所提供的高品質防護

有了GRID的白名單技術,趨勢科技不僅擁有豐富的壞檔案(惡意軟體)資料,還包含了正常檔案的資料。這些資料會被用來加以比對,以確保趨勢科技產品所提供的高品質偵測能力。

此外,趨勢科技產品也可以在產品掃描時利用雲端白名單檢測。如果檔案出現在GRID,就意味這檔案是安全的,產品可以停止掃描特定檔案,並繼續掃描下一個檔案。這些動作是完全無縫連接的,不需要使用者的介入。

在今天的威脅環境裡,光有惡意軟體的知識是不夠的。能夠準確地區分正常和惡意,才能在保護客戶時起重要的作用。趨勢科技創新的白名單技術可以提供這種高品質保障,並且為大多數趨勢科技產品所應用(對象包括一般消費者、中小型企業以及大型企業)。

@原文出處:Catch All the Bad Guys, Not the Good Guys作者:Oliva Hou(趨勢科技產品經理)

【立即下載試用PC-clin 2012 雲端版 臉書地雷區 bye bye~

免費下載防毒軟體:歡迎即刻免費下載試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012 即刻按這裡下載

@參考推文

雲端系!史上最強防毒軟體現身
看更多<PC-cillin真的不一樣>

◎ 歡迎加入趨勢科技社群網站