反病毒误报问题机理技术蓝皮书(六)

六、未知检测环节

未知检测机理的误报与前面的环节都是不同的，前面的环节是由一个从样本出发、到特征提取、到病毒库升级的链条过程产生的，而未知检测则完全是依靠反病毒软件自带的经验模型在客户端智能判定程序的有害性。

未知检测的机理，很多文章都判定过，就是加权判定法，通过程序的行为或者一些静态特性设置标志，每个标志有不同的权值，通过根据程序标志取值的累加，就可以形成程序的风险值，如果超过了阈值，就会报警。这个机理说起来简单，但操作起来则是一个复杂的体系。其中重要原因之一就是因为未知病毒检测机制的误报指标与已知病毒检测技术的误报指标是完全相同的，而未知检测由于没有样本确认和提取过程，从而变得十分尴尬。

例子：某硬盘保护程序曾被我们的VCS抓毒精灵机制误报，误报的原因很简单，就是他确实和太多的病毒行为标志重合了。确实这些系统底层的保护程序，往往难以回避一些与病毒相近的特性。