对于“误报”的一些思考的总结

nkspark

问题缘起于本首席写的一个小工具（云查杀客户端小工具 ，http://bbs.kafan.cn/thread-944466-6-1.html），本首席用此小工具对VT作了一些测试（VT误报测试，http://bbs.kafan.cn/thread-948390-1-1.html），并对测试区提出了增加误报测试的建议（[建议意见] 建议本版增加误报测试内容＂http://bbs.kafan.cn/thread-948687-1-1.html）。

但似乎很多同学对误报问题认识不深．

首先，我们应该看到：
1、不考虑误报时，100%查杀率是很容易实现的；
2、小幅度改善误报率，也会导致查杀率的大幅降低；
3、对于某些杀毒软件，由于架构原因，降低误报率是很难的；

对于第一个论点：不考虑误报时，100%查杀率是很容易实现的；本首席举个简单例子：
假设卡饭的病毒样本包，100个样本文件，其中80个正常文件，20个病毒文件。
反病毒厂商一条规则就可以达到查杀率100%，例如“凡是属于卡饭病毒包的样本，都是病毒”。

是不是很简单，100%的查杀率。 (有同学给出了更极端的例子:传统查毒软件秒杀云安全，100%查毒软件免费放送)


对于第二个论点：小幅度改善误报率，也会导致查杀率的大幅降低；
例子稍微复杂点儿：
假设卡饭的病毒样本包，100个样本文件，其中80个正常文件，20个病毒文件。其中10个病毒文件是常规PE格式，10个病毒文件是RAR打包；
考虑到误报，反病毒厂商修改规则为“凡是属于卡饭病毒包的常规PE格式文件，都是病毒”。
这时的查杀率一下就从100%降到了50%。


对于第三个论点：对于某些杀毒软件，由于架构原因，降低误报率是很难的；
可直接以某同学的帖子为例，传统查毒软件秒杀云安全，100%查毒软件免费放送，对此同学的100%查杀软件，即使要求其降低1个百分点的误报，此同学都会宁愿选择吐口唾沫淹死自己，更容易些。


所以这里本首席给出结论：
在不考虑误报的情况下，单纯的考察一款反病毒产品的查杀率是没有意义的．


如何对待误报问题，可以从两个角度考察：
1、从用户的角度，是否有足够的容忍度。相对来说，国内的用户比国外的用户容忍度高；免费的用户比付费用户的容忍度高。
2、从厂商的角度，误报更多的是考验一个反病毒厂商的商业素养。不负责任的厂商可能会一直高调宣扬查杀率而对误报漠然视之。负责任的厂商可能会考虑用户的感受，自行承担降低误报导致的相对低的查杀率排名压力。


（注：为满足本版对原创标准的要求，本首席声明1楼中文文字为106楼英文的翻译。）

xwxFirst

楼主的讲座系列得罪了数字党，想加精是不可能的喽。

zts0128

回复 1楼 nkspark 的帖子

这才叫有理性！卡饭很多 白白 只会看查杀率……或者什么杀软都装满一片……

zts0128

回复 2楼 xwxFirst 的帖子

这个和数字有关系么？小水水？小白白？没看懂意思？你再看看文章说什么好不……

aiyooo

你又来了,估计又要开展了

5230

nkspark 发表于 2011-4-2 13:29
问题缘起于本首席写的一个小工具（云查杀客户端小工具 ，http://bbs.kafan.cn/thread-944466-6-1.html），本 ...

“凡是属于卡饭病毒包的样本，都是病毒”我也想到了

fuqiangwt5213

反正看到 您这个讲座 我多了 很多了乐趣

jefffire

“反病毒厂商一条规则就可以达到查杀率100%，例如“凡是属于卡饭病毒包的样本，都是病毒”。


太妙了，我佩服的五体投地
首席一席话，令不才醍醐灌顶，茅塞顿开。经本不才深思熟虑之后，一条绝世规则从此诞生，100%查杀，0%误杀不再是梦想。
那就是：凡是病毒木马作者写的样本都是木马病毒

本不才表示，以后天下无毒。

xzhlksh

不知楼主哪路神仙，居然对“内情”如此了解。。。

dddm

真的很妙！