Pagina 1 van 1

False Positives & heuristiek

Geplaatst: 23 sep 2010 15:37
door Maxstar
False Positives bij anti malware scanners.
Een false positive is een bestand dat onterecht als 'kwaadaardig' word aangezien door aan antivirus of anti-malware programma, dit heeft vooral te maken met het feit dat er gescand word op basis van 'signatures', indien deze niet in de gebruikte AV (antivirus) MW (malware) database zijn opgenomen kan een bepaald bestand aangezien worden als een bedreiging.
Het scannen en analyseren op basis van 'signatures' heeft als voordeel dat niet het volledige bestand geanalyseerd hoeft te worden.
Deze methode van scannen heeft in de basis te maken met 'snelheid', als een antivirus of anti-malware programma elk bestand compleet zou moeten analyseren is het scannen van de gemiddelde computer monnikenwerk en zeer tijdrovend, vandaar dat antivirus of anti-malware programma gebruik maken van een 'virusdefinitie database' met handtekeningen (signatures), waardoor bestanden snel geanalyseerd kunnen worden.
Maar soms gaat dit fout en geeft het antivirus of anti-malware programma de melding dat er een kwaadaardig bestand is gedetecteerd.

Als extra controle kunt u het bestand natuurlijk online laten scannen op b.v. de onderstaande websites. Belangrijk!!!
De bestanden die u hier (online) laat scannen worden verstuurd naar de bedrijven van de gebruikte virusscanners, dus als u privacy gevoelige bestanden wilt laten scannen kunt u dit beter niet doen.
Omgekeerd is dit natuurlijk ook van toepassing als er bijvoorbeeld een 'kwaadaardig' bestand niet gedetecteerd word door de scanner, in dit geval word er gesproken van een "False Negative".


Heuristisch scannen (heuristiek)
Naast de gewone scan methode om potentiële malware op te sporen en te detecteren, word er ook vaak gebruik gemaakt van een heuristische detectie methode, op deze manier kan potentiële malware opgespoord en gedetecteerd worden voordat deze malware varianten zijn opgenomen in de virusdefinitie database's.
De heuristische detectie werkt op basis van een set richtlijnen wat eigenlijk het makkelijkst is te omschrijven als een detectie op basis van gedrag, een van de voordelen van deze manier van malware detecteren en opsporen is dat nieuwe en gewijzigde 'malware' varianten sneller gedetecteerd worden.

Het scannen op basis van gedrag kunt u als simpel voorbeeld vergelijken met het controleren van uw mail-berichten, indien er hier vreemde afzenders en onderwerpen tussen staan vraagt u zich af of dit wel te vertrouwen is, dit is het menselijk gedrag in dit geval.
Maar deze vorm van detecteren (bekijken) is er ook digitaal, echter is dit moeilijk te omschrijven in duidelijke taal, maar beknopt omschreven werkt dit op basis van de onderstaande methode.

De heuristische detectie methode is onder te verdelen in twee varianten.
  • Passieve heuristiek
Het passief heuristisch analyseren van een mogelijke potentiële bedreiging gebeurt op basis van patronen de voor ingestelde (set richtlijnen) en gebruikte routines, in principe word er door middel van deze methode niets meer gedaan dan alleen analyseren van een eventueel kwaadaardig iets.
  • Actieve heuristiek
Deze methode is eigenlijk onlosmakelijk verbonden met de 'passieve heuristiek', bij deze methode vind er een observatie plaats van de heuristische detectie met als doel de eventueel kwaadaardige activiteiten te identificeren.

Het heuristisch scannen is dan ook een zeer goede methode voor het opsporen van malware, alleen het scannen op basis van zogenaamde 'signatures' is dan ook niet meer afdoende.
Deze methode word niet alleen gebruikt om te detecteren, maar natuurlijk ook om te neutraliseren.
Maar aan het heuristisch scannen zitten soms ook nadelen, zodat er bijvoorbeeld legitieme bestanden als kwaadaardig worden aangezien, zeg maar de 'false positives', wat inhoud dat een bestand onterecht als 'kwaadaardig' zowel gevaarlijk word bestempeld, en in het slechtste geval in quarantaine word geplaatst of geheel verwijderd.