网络安全是保护计算机系统、移动设备、服务器等免受恶意攻击的技术分支。各种恶意行为者执行这些恶意攻击。恶意行为者的目的是访问或破坏用户的敏感信息。安全软件保护用户免受网络威胁。杀毒软件是使用最广泛的安全软件。误报术语是网络安全领域最常用的术语。在这篇文章中,我们将谈论什么是网络安全中的假阳性。
什么是网络安全中的假阳性?
假阴性和假阳性是网络安全领域最常用的术语。你们中的一些人可能听说过这些术语。这篇文章讨论了什么是反病毒和安全软件检测到的假阳性和假阴性,以及如何将此类检测列入白名单。
误报是由杀毒软件或其他安全软件生成的假警报。简单地说,当反病毒或安全软件认为真正的文件或程序是恶意的时,它被称为假阳性标志。
如果您的系统上安装了防病毒软件,则可能会遇到防病毒软件阻止正版文件或程序的问题。在这种情况下,被阻止的程序无法正常运行或拒绝启动。误报标志总是不正确的。
假阳性是如何发生的?
杀毒软件的工作方式各不相同。这些方法包括基于签名的恶意软件检测、基于行为的恶意软件检测等。在基于签名的恶意软件检测技术中,反病毒软件使用签名来识别文件或程序是真实的还是恶意的。这些签名也称为定义。防病毒软件通过下载供应商发布的更新来接收最新的病毒定义。
在基于行为的恶意软件检测技术中,防病毒软件监控程序的行为。如果它发现该程序的行为是恶意的,它就会阻止该程序。基于行为的恶意软件检测技术可能会生成误报标志。例如,如果防病毒程序检测到可疑程序的行为,它会阻止该程序。
什么是网络安全中的假阴性?
假阴性标志与假阳性相反。当防病毒软件或安全软件未能检测到恶意文件或程序时,就会出现漏报。一些恶意软件使用高级技术隐藏自身,因此防病毒软件无法检测和隔离它们。这些未被捕获的恶意威胁仍然活跃在用户的系统上,并具有安全威胁。
假阴性是如何发生的?
假阴性通常发生在您没有更新防病毒程序时。防病毒程序需要定期更新以检测新发布的威胁。如果您使用过时的病毒定义运行防病毒软件,您的系统将容易受到更新的威胁或恶意软件攻击。这是因为新的病毒特征码对您的防病毒软件是未知的。假阴性对您的系统来说是一个严重的安全风险。
如何辨别它是病毒还是假阳性?
如果您的防病毒软件阻止了一个文件或程序,而您需要该文件或程序,您可以使用一些方法来识别该文件或程序的真实性。我们在下面描述了这些方法。
- 使用VirusTotal
- 在线搜索文件
- 查看文件签名
使用VirusTotal
识别文件或程序真实性的第一种方法是在VirusTotal或其他类似的云服务上扫描它。VirusTotal是一项拥有多个反病毒引擎的云服务。当您扫描VirusTotal网站上的文件时,这些防病毒引擎会扫描该文件,然后VirusTotal会生成报告。
如果您的防病毒软件已将正版程序或文件标记为恶意,您可以在VirusTotal上对其进行扫描并查看报告。此报告将让您了解其他防病毒软件是否将该文件标记为恶意文件。
已阅读:如何在Windows上检查文件是否为恶意文件
在线搜索文件
您可以用来识别文件或程序是否恶意的下一种方法是在线搜索。您可以使用不同的关键字进行在线搜索。
例如,如果您的防病毒程序标记并隔离了一个DLL文件,比如rundll32.exe,您可以使用不同的关键字在线搜索其真实性,例如:
- 什么是rundll32.exe进程
- Rundll32.exe安全吗?
- Rundll32.exe是恶意的吗?
在网上搜索时,您将看到指向各种网站和论坛的链接。为了获得真实的信息,可以考虑访问像TheWindowsClub这样值得信赖的网站。你也可以阅读不同用户在不同论坛上提交的评论。这也将帮助您了解文件或程序的真实性。
查看文件签名
另一种有效的方法,你可以用来知道一个文件或程序是恶意的或误报是通过查看其签名。真正的文件由其供应商进行数字签名。您可以在文件属性中查看此信息。
以下步骤将帮助您做到这一点:
数字签名选项卡可用于可执行文件和服务。现在,您可以在数字签名选项卡下查看签名者的姓名。上图显示AI主机文件Ai.exe由微软数字签名。因此,这是一个真正的文件。
如果您的防病毒软件已将某个程序标记为恶意程序,并且您想要查看其数字签名,则通过从桌面快捷方式打开其属性将找不到数字签名选项卡。在这种情况下,您必须从安装位置打开其可执行文件的属性。要执行此操作,请右键单击桌面快捷方式,然后选择打开文件位置。
阅读:测试防病毒软件是否工作。
如何修复Windows Defender的误报操作?
如果Microsoft Defender为文件或程序生成误报标志,您可以通过将该文件或程序添加到Microsoft Defender的排除列表中来告知Microsoft Defender该文件或程序的真实性。在此之后,Microsoft Defender将停止向您发出有关该程序的警报或停止阻止该程序。
将文件或程序添加到例外或排除列表的选项在所有防病毒程序中都可用。因此,如果您使用第三方防病毒软件,则可以将该文件添加到其例外列表中。由于用户界面的不同,排除文件或程序的过程在不同的第三方防病毒程序中也不同。
阅读:如何准确判断你的电脑是否有病毒?
您在哪里向Microsoft报告假阳性/假阴性?
向Microsoft报告误报和漏报将有助于Microsoft纠正检测。这将减少误报标志的生成,并降低恶意软件未被检测到的机会。
要向Microsoft报告误报或漏报(或恶意软件),您必须访问示例提交门户并在那里提交文件。现在,从以下选项中选择最合适的选项:
- 家庭客户
- 企业客户
- 软件开发人员
之后,单击继续并使用正确的帐户凭据登录。现在,填写所需的详细信息,附加文件,然后单击继续。
我希望这能帮到你。
是什么导致了假阴性结果?
通常,由于防病毒软件的病毒定义过时而导致假阴性结果。防病毒供应商通过定期更新发布病毒定义。您应该定期下载并安装这些更新。
什么是网络安全中的真阳性和假阳性?
在网络安全中,True Positive指的是反病毒程序或安全软件正确检测到威胁。另一方面,假阴性是对威胁的错误检测,即反病毒或安全软件已将正版文件检测为恶意文件。
Read next: EDR vs Antivirus: Which is best and why?