安天研发负责人日前在中国计算机协会YOCSEF论坛发表主题演讲《反病毒产品误报的机理以及误报构造》,对反病毒误报问题的成因等问题作了系统的介绍,并对近期的热点误报事件进行了分析。
在报告过程中,其对“反病毒厂商不重视误报问题”、“反病毒厂商为了提高查毒百分比故意添加规则正常程序”、“反病毒厂商以故意互相查杀相互倾轧”、“赛门铁克误报说明windows有后门” 等传闻进行了全面的否定。
以下是演讲的节录(由现场笔录整理,笔录不详尽之处,转引了报告人在《程序员》杂志第七期的文章原文作为了补充):
反病毒厂商是不是不重视误报事件?——误报是反病毒有最严格自我约束的指标
在漏报、错报和误报方面,实际上误报是厂商内测最严格的标准,错报(一种病毒报警为另一种病毒)一直没有明确的标准和定性,因此始终没有作为一个明确的要求。从漏报方面,其实各个厂商查毒能力差异很大,厂商不会因为因为有一些样本还查不出来,就不发布升级库,因此漏报率并不作为厂商推出产品和发布升级的强制约束条件。但误报则不然,只要白名单库里有任何一个文件误报,厂商必然做出调整。另外,从工程的角度,其实也提出过误报的标准,比如在某个非官方技术标准中,对反病毒的误报率作出了规定,即不能超过万分之零点五,即对十万个不同的检测对象,误报不能超过五个,但对此无论是公众还是反病毒工作者自己依然觉得不可接受,而希望达到零误报的境界。
为什么误报事件这么多?——这里面即有内因,也有外因,从外因的角度,是反病毒工程师面对了太多的干扰项。
反病毒工程师主要的三个主要工序,实际上是辨识命名、深度分析(如果有必要的话)、提取特征和编写查杀模块,从目前来看压力最大的实际上是辨识,因为深度分析和提取特征的任务基本上是收敛的,但面对每日大量的文件提交的辨识的压力很大,从某种意义上判定一个程序是病毒的很容易,但确定一个文件是绝对正常的,则很难。
关于判定争议——看流氓软件厂商如何骚扰反病毒软件厂商。
其实厂商面对的最大的压力实际是判定争议问题,也就是从反厂商的角度接到误报投诉后,2次验证依然认为这个程序是恶意的,这实际是标准上的差异。
比较常见的标准差异是广告件厂商与反病毒厂商经常发生的冲突和诉讼,由于装机量和广告件厂商的收入息息相关,因此广告件厂商往往采用一些比较极端的推广自己的方式、也包括页面注入和通过其他的广告件分发、甚至通过蠕虫或者僵尸网络分发。反病毒软件无疑成为了这种经济模式的天敌,一旦遭打反病毒软件的查杀,则它们的装机量就会骤然下降。因此,反病毒厂商最常见的误报投诉,往往来自这些厂商,伴随着误报投诉的则可能还包括律师函、直至法院的传票。
一些广告件厂商,惯常的作法是开始极端推广,达到满意的装机量后,为了逃避查杀,则马上去掉所有不规范之处,再找公正机构公证自己没有危害,然后向反病毒厂商交涉。在他们眼中,既然反病毒厂商并不是执法机构,自然也没有道理去清算“原罪”。
误报背后是否有商业竞争目的?——反病毒厂商不会为了市场目的添加规则查杀正常程序
主流的反病毒厂商是非常负责任的,过去没有发现有类似的情况。但有一个特殊的情况,就是部分厂商往往不得不添加规则去查杀一些垃圾文件,这确实是对市场压力的屈从。网上经常会流传一些垃圾样本集合,如所谓101种经典病毒、3000种经典病毒之类,但这其中不但所有的程序都没有主流操作系统的活性,而且有些根本就不是病毒,但往往很多普通用户则认为谁的检测率高,那种软件就好,因此反病毒工程师则可能在市场的压力下,违心的添加了这些垃圾规则。但这种添加不会给用户带来不良的影响,而且规则数的增加会影响反病毒软件的效率,这种添加是被迫的。
反病毒厂商的哪些失误会造成误报?——关于技术性误报的技术机理。
编者注:这是本次报告的重点,由于内容较多,未能尽录于此,但截取了报告用于说明技术性误报全景视图的图片。在第7期《程序员》杂志上,演讲者已经撰文对相关问题作了比较完整的诠释。
关于诺顿所报的微软文件是否有后门?——妖魔化微软不是振兴中国民族软件产业的必要条件。
听众:“网上广泛传闻赛门铁克误报windows文件,实际是因为匹配到了windows文件中的敏感代码,证明windows系统中确实带有后门,这是真的么?否则为什么只查中文的,不查英文的呢?这个事情是否继续证明了使用自己的操作系统的必要性。”
报告人:恰好安天刚接收用户的委托,对这两个文件进行了分析。从我们的分析上看,没有发现这两个文件有后门。需要说明的是,这是一次细腻的全代码分析,这种分析强度,是高于日常的样本分析力度的。这里还要进一步说明几点:
第一,英文版windows的两个动态链接库的函数比中文版的对应文件的函数更多,这是英文版文件大于中文版的原因之一(也不象网上传说的中文版比英文版更大),同时中文版中也不包含英文版没有的函数,从我们现在的分析力度上看,中英文版各个函数分支是基本一致的。
第二,赛门铁克对这两个文件的检测方式,分别时是全文件的散列检测,和0x0400之后的散列检测,根本不是特征匹配,所以所谓匹配到敏感代码的说法是不负责任的。
我乐于看到这一事件引发的关于呼唤和期待国产操作系统的呼声,但我非常想说一句,我们需要的热情和怀疑态度,但更需要科学实证精神和不懈的踏实努力,妖魔化微软不是振兴民族的信息产业必要条件。
反病毒厂商是否添加规则查杀竞争对手?——这种情况从未听说。
听众:“我们看到很多厂商相互误报的情况,我想问一下为什么反病毒厂商要这样互相倾轧呢?”
报告人:“市场竞争方面的舆论和经营策略相互碰撞是难免的,但从研发的角度看,作为一个从业多年的技术人员,我可以再次负责任的说,主流反病毒企业从没有发生过为了竞争将兄弟厂商的程序添加到规则库中或者有意添加某款正常程序以提升检出比率的行为。出现相互查杀的事情,还是在技术环节出现了一些失误。”
应该如何应对和改善误报问题?——体系与责任感
目前反病毒工作者们都在通过一套技术体系和耐心的工作来降低反病毒产品的误报事件的发生。
反病毒厂商都是小心翼翼的,大家不仅要避免将正常的程序报警为病毒为用户和软件作者带来的不良影响,也要积极回避检测一些有争议程序可能导致的法律风险。下面我们来看看反病毒厂商通常使用的手段。
白名单测试
开放β库测试
辅助判定标志
选项检测
检测结果加入前/后缀标志
更细腻的加权采集点
编者注:上述内容也是本次报告的重点,由于内容较多,亦未能尽录于此,在第7期《程序员》杂志上,演讲者已经撰文对相关问题作了比较完整的诠释。
最后需要说明的是,我们需要一个更完备的体制和更先进的方法,但我们也清楚,任何制度和方法都无法代替反病毒工程师的水平、耐心与责任感。