反病毒误报问题机理技术蓝皮书

二、误报的类型

看待误报，可以有很多种角度，从技术角度，误报可能是一个bug，而从另外一些角度来看，误报则是一种争议，这种争议比较主要的在于什么是病毒或恶意代码这样的一个标准的不同认识。

对某一个程序，在发生误报的争议后，反病毒厂商分析确认依然认为是病毒的情况。这种情况通常不是技术的问题，而是判定病毒或更广泛的恶意代码的标准。在现实生活中，其实这种情况要比从技术上的误报更普遍。

比较常见的标准差异是广告件厂商与反病毒厂商经常发生的冲突和诉讼，由于装机量和广告件厂商的收入息息相关，因此广告件厂商往往采用一些比较极端的推广自己的方式、也包括页面注入和通过其他的广告件分发、甚至通过蠕虫或者僵尸网络分发。反病毒软件无疑成为了这种经济模式的天敌，一旦遭打反病毒软件的查杀，则它们的装机量就会骤然下降。因此，反病毒厂商最常见的误报投诉，往往来自这些厂商，伴随着误报投诉的则可能还包括律师函、直至法院的传票。

一些广告件厂商，惯常的作法是开始极端推广，达到满意的装机量后，为了逃避查杀，则马上去掉所有不规范之处，再找公正机构公证自己没有危害，然后向反病毒厂商交涉。在他们眼中，既然反病毒厂商并不是执法机构，自然也没有道理去清算“原罪”。

还有一种标准差异的情况在于对一些与安全攻防相关工具的定性，比如一些后门程序的作者，都坚称自己开发的不是后门或木马，而是网络远程管理工具。但对反病毒企业的基本技术标准来看，远程控制管理工具和后门的根本区别是前者对被控端至少是可见（如有托盘图标）的，并且是需要有安装确认过程的。

此外，在部分安全工作者中还有这样的一种认识，即反病毒软件应该查杀对所运行主机有害的东西，而无须考虑运行结果是否危害其他主机。比较突出的观点就是在BO后门开始流行后，一些人认为反病毒厂商不应该查用于控制受害主机的Client端。

被迫的误报：对反病毒工程师角度来说，还会有一些不得不添加规则去查杀一些并非病毒的东西，这往往是对市场压力的屈从。网上经常会流传一些垃圾样本集合，如所谓101种经典病毒、3000种经典病毒之类，但这其中不但所有的程序都没有主流操作系统的活性，而且有些根本就不是病毒，但往往很多普通用户则认为谁的检测率高，那种软件就好，因此反病毒工程师则在市场部门的压力下，违心的添加了这些垃圾规则。

上述的情况虽然也可能被认为误报，但从反病毒厂商的技术流程角度，不能称为误报，因为反病毒软件报警了他们主观想要报警的东西，这个过程没有技术上的问题。

我们需要分析的误报，则是一个检测对象被反病毒软件报警了，但经过反病毒厂商自身确认后，认定不是病毒的检测对象。

通常来说可能带来误报的环节有四个：样本分析与判定环节、特征提取环节、引擎工作机理环节、未知判定环节。

如果说的更明确一些，让我们来看一下误报构成的通路。

情况一：样本判定环节厂商把一个入库的非病毒样本误判定为病毒，导致这个文件被误查。

情况二：厂商把一个入库的非病毒样本误判定为病毒，导致这个文件以及这个文件同源的文件被误查。

情况三：厂商在一个入库的病毒样本上提取病毒特征，但这个特征可能在其他正常程序上能够匹配到。

情况四：厂商的未知病毒检测机制（如行为加权）判定一个可执行程序风险超过阈值，从而告警，而实际上这是一个正常程序。

当然还有一种极端的情况，即构造者根据厂商的病毒特征构造出一个能被报警的无毒文件。

图：误报的类型