Kaspersky áp dụng hệ thống Cloud-based Anti-false-positive


Do đâu mà dẫn tới antivirus nhận diện sai (false positive hoặc false detection) một file, program “sạch” nào đó là malware? Chủ yếu là do: human factor, technical flaws và actions of software developers.

Ví dụ, khi phân tích một mẫu malicious code thì phát hiện thấy một library được malware sử dụng. Nhưng library đó cũng được dùng trong nhiều ứng dụng hoàn toàn “sạch” khác. Điều này có thể khiến cho antivirus lầm tưởng rằng chương trình đó là malware, gây ra các cảnh báo sai cho người dùng.

Cơ chế auto-update signatures của các antivirus định kỳ theo giờ/ngày/tuần có thể dẫn tới khả năng false positive nếu tại thời điểm phát hiện file khả nghi, database của client chưa được full update.

Giải pháp của Kaspersky cho vấn đề này là “call home” trước khi quyết định có hiện alert/warning cho user hay không. Cụ thể, KAV sẽ gửi info về file khả nghi và signature tương ứng tới Kaspersky Security Network (một cloud-based service). Sau đó KSN sẽ check coi file đó có nằm trong whitelist và signature đó có phải là false positive hay không, rồi trả kết quả về cho client.

Độ nhanh nhạy và chính xác sẽ được nâng cao hơn với Cloud-based anti-false-positive system này.

manthang

Tham khảo:
[1] http://www.h-online.com/security/news/item/Kaspersky-applies-for-anti-false-positive-system-patent-1624415.html
[2] http://eugene.kaspersky.com/2012/06/20/fighting-false-positives/

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s