في السعي لتحقيق مستوى عال من الكشف عن التهديدات السيبرانية، غالبا ما يتم نسيان الموضوع بشكل غير مستحق في صناعة أمن المعلومات. في الواقع، هذا موضوع غير مريح للغاية يحاول بعض المطورين عدم ملاحظته (أو حله بطرق مشكوك فيها) - حتى وقوع الحادث الخطير الأول الذي يمكن أن يشل عمل العملاء. لسوء الحظ، مثل هذه الحوادث تحدث. ولسوء الحظ، عندها فقط يأتي الفهم لذلك جودة عاليةالحماية من التهديدات السيبرانية لا تقتصر على الوقاية فحسب، بل إنها توفر أيضًا مستوى منخفضًا من الإيجابيات الكاذبة.

في حين أن موضوع التقليل من الإيجابيات الكاذبة قد يبدو بسيطًا، إلا أنه في الواقع يحتوي على العديد من التعقيدات والمزالق التي تتطلب استثمارات كبيرة ونضجًا تكنولوجيًا وموارد من المطورين.

السببان الرئيسيان للإيجابيات الكاذبة هما (1) البرامج والأجهزة والأخطاء البشرية من جانب المطور، (2) مجموعة متنوعة من البرامج القانونية ("النظيفة") التي تجتاز فحوصات الأمان. السبب الأخير يتطلب بعض التوضيح. والواقع أن البرامج يكتبها ملايين الأشخاص من مختلف المؤهلات (من الطلاب إلى المحترفين) في جميع أنحاء العالم، باستخدام منصات ومعايير مختلفة. يتمتع كل مؤلف بأسلوبه الفريد، كما أن "الكتابة اليدوية" لكود البرنامج تشبه في بعض الأحيان ملفًا ضارًا، وهو ما تعمل تقنيات الأمان ضده، خاصة تلك التي تعتمد على التحليل السلوكي والتعلم الآلي.

وبدون أخذ هذه التفاصيل بعين الاعتبار ودون تقديم تقنيات خاصة لتقليل النتائج الإيجابية الكاذبة، يخاطر المطورون بتجاهل مبدأ "عدم الإضرار". وهذا بدوره يؤدي إلى عواقب وخيمة (خاصة لعملاء الشركات)، مماثلة للخسائر الناجمة عن البرامج الضارة نفسها.

تعمل Kaspersky Lab على تطوير عمليات التطوير والاختبار منذ أكثر من عشرين عامًا، وتقوم أيضًا بإنشاء تقنيات لتقليل النتائج الإيجابية الكاذبة وحالات الفشل للمستخدمين. نحن فخورون بالحصول على واحدة من أفضل النتائج في الصناعة لهذا المؤشر (اختبارات AV-Comparatives وAV-Test.org وSE Labs) ومستعدون للحديث بمزيد من التفاصيل حول بعض ميزات "المطبخ الداخلي" الخاص بنا. . وأنا على ثقة من أن هذه المعلومات ستسمح للمستخدمين والعملاء من الشركات باتخاذ خيارات أمنية أكثر استنارة، كما ستسمح لمطوري البرامج بتحسين عملياتهم بما يتوافق مع أفضل الممارسات العالمية.

نحن نستخدم نظامًا لمراقبة الجودة ثلاثي المستويات لتقليل الإيجابيات الكاذبة: (i) التحكم على مستوى التصميم، (ii) التحكم عند إصدار طريقة الكشف، و(iii) التحكم في أجهزة الكشف التي تم إصدارها. وفي الوقت نفسه، يتحسن النظام باستمرار من خلال تدابير وقائية مختلفة.

دعونا نلقي نظرة فاحصة على كل مستوى من مستويات النظام.

التحكم على مستوى التصميم

أحد مبادئنا الرئيسية في التطوير هو أن كل تقنية أو منتج أو عملية يجب أن تحتوي مسبقًا على آليات لتقليل مخاطر النتائج الإيجابية الكاذبة والفشل المرتبط بها. كما تعلم، فإن الأخطاء على مستوى التصميم هي الأكثر تكلفة، لأن تصحيحها بالكامل قد يتطلب إعادة صياغة الخوارزمية بأكملها. لذلك قمنا على مر السنين بتطوير أفضل الممارسات الخاصة بنا لتقليل احتمالية حدوث أخطاء.

على سبيل المثال، عند تطوير أو تحسين تكنولوجيا الكشف عن التهديدات السيبرانية بناءً على التعلم الآلي، نتأكد من تدريب التكنولوجيا على مجموعات كبيرة من الملفات النظيفة بتنسيقات مختلفة. إن قاعدة معارفنا الخاصة بالملفات النظيفة (القائمة البيضاء)، والتي تجاوزت بالفعل 2 مليار كائن ويتم تحديثها باستمرار بالتعاون مع الشركات المصنعة للبرامج، تساعد في ذلك.

نتأكد أيضًا من تحديث مجموعات التدريب والاختبار لكل تقنية باستمرار أثناء عملية العمل. مناسبملفات نظيفة. تحتوي المنتجات على آليات مدمجة لتقليل النتائج الإيجابية الخاطئة في الملفات المهمة لنظام التشغيل. بالإضافة إلى ذلك، مع كل اكتشاف، يستخدم المنتج Kaspersky Security Network (KSN) للوصول إلى قاعدة بيانات القائمة البيضاء وخدمة سمعة الشهادة للتأكد من أنه ليس ملفًا نظيفًا.

ومع ذلك، بالإضافة إلى التكنولوجيا والمنتجات، هناك العامل البشري سيئ السمعة.

يمكن لمحلل الفيروسات أو مطور النظام الخبير أو محلل البيانات أن يرتكب أخطاء في أي مرحلة، لذلك هناك مجال هنا لمجموعة متنوعة من عمليات التحقق من الحظر، بالإضافة إلى التلميحات/التحذيرات/الحظر في حالة اكتشاف إجراءات خطيرة بواسطة الأنظمة التلقائية.

التحكم عند إطلاق طريقة الكشف

تمر طرق الكشف عن التهديدات السيبرانية الجديدة بعدة مراحل أخرى من الاختبار قبل تسليمها للمستخدمين.

إن أهم حاجز وقائي هو نظام البنية التحتية لاختبار النتائج الإيجابية الكاذبة، والعمل مع مجموعتين.

تتكون المجموعة الأولى (المجموعة الحرجة) من ملفات من أنظمة التشغيل الشائعة لمختلف الأنظمة الأساسية والترجمات، وتحديثات أنظمة التشغيل هذه، والتطبيقات المكتبية، وبرامج التشغيل، ومنتجاتنا الخاصة. يتم تحديث هذه المجموعة من الملفات بانتظام.

تحتوي المجموعة الثانية على مجموعة من الملفات التي تم إنشاؤها ديناميكيًا والتي تتكون من الملفات الأكثر شيوعًا حاليًا. يتم اختيار حجم هذه المجموعة بطريقة تحقق التوازن بين حجم الملفات الممسوحة ضوئيًا (وبالتالي عدد الخوادم)، ووقت هذا الفحص (وبالتالي الوقت المستغرق لتقديم طرق الكشف للمستخدمين) والحد الأقصى للضرر المحتمل في حالة وجود نتيجة إيجابية كاذبة.

يتجاوز حجم المجموعتين الآن 120 مليون ملف (حوالي 50 تيرابايت من البيانات). مع الأخذ في الاعتبار أنه يتم فحصها كل ساعة مع كل تحديث لقاعدة البيانات، يمكننا القول أن البنية التحتية تتحقق من أكثر من 1.2 بيتابايت من البيانات بحثًا عن نتائج إيجابية خاطئة يوميًا.

منذ أكثر من 10 سنوات، كنا من الأوائل في صناعة أمن المعلومات الذين قدموا طرق الكشف عن عدم التوقيع بناءً على التحليل السلوكي والتعلم الآلي وغيرها من تقنيات التعميم الواعدة. وقد أثبتت هذه الأساليب فعاليتها، خاصة ضد التهديدات السيبرانية المعقدة، ولكنها تتطلب اختبارات دقيقة بشكل خاص بحثًا عن النتائج الإيجابية الكاذبة.

على سبيل المثال، يتيح لك اكتشاف السلوك حظر برنامج ضار يعرض عناصر السلوك الضار أثناء التشغيل. لمنع النتائج الإيجابية الخاطئة من سلوك الملفات النظيفة، أنشأنا "مزرعة" من أجهزة الكمبيوتر التي تنفذ مجموعة متنوعة من سيناريوهات المستخدم.

تقدم "المزرعة" مجموعات مختلفة من أنظمة التشغيل والبرامج الشائعة. قبل إصدار طرق جديدة للكشف عن عدم التوقيع، يتم اختبارها ديناميكيًا في هذه "المزرعة" في سيناريوهات قياسية وخاصة.

أخيرًا، لا يسعنا إلا أن نذكر الحاجة إلى التحقق من النتائج الإيجابية الخاطئة لفحص محتوى الويب. يمكن أن يؤدي الحجب الخاطئ لموقع ويب أيضًا إلى انقطاع العمل من جانب العميل، وهو أمر غير مقبول في عملنا.

لتقليل هذه الحوادث، تقوم الأنظمة الآلية يوميًا بتنزيل المحتوى الحالي من أكثر 10 آلاف موقع إنترنت شيوعًا وتفحص محتواها باستخدام تقنياتنا للتحقق من النتائج الإيجابية الخاطئة. لتحقيق أدق النتائج، يتم تنزيل المحتوى بواسطة متصفحات حقيقية للإصدارات الأكثر شيوعًا، كما يتم استخدام الوكلاء أيضًا للتخلص من توفير المحتوى المعتمد على الموقع الجغرافي.

السيطرة على أجهزة الكشف الصادرة

تتم مراقبة طرق الكشف المقدمة للمستخدمين على مدار الساعة طوال أيام الأسبوع بواسطة أنظمة آلية تراقب الحالات الشاذة في سلوك أجهزة الكشف هذه.

والحقيقة هي أن ديناميكيات الاكتشاف التي تسبب نتيجة إيجابية كاذبة غالبًا ما تختلف عن ديناميكيات اكتشاف الملفات الضارة حقًا. تراقب الأتمتة مثل هذه الحالات الشاذة، وفي حالة ظهور شك، تطلب من المحلل إجراء فحص إضافي للاكتشاف المشكوك فيه. وإذا كانت هناك شكوك قوية، فإن الأتمتة تعطل هذا الكشف بشكل مستقل عبر KSN، مع إبلاغ المحللين بشكل عاجل بهذا الأمر. بالإضافة إلى ذلك، تقوم ثلاثة فرق من محللي الفيروسات المناوبين في سياتل وبكين وموسكو بمراقبة الوضع في نوبات على مدار الساعة وحل الحوادث التي تنشأ على الفور. في العمل.

بالإضافة إلى الاكتشافات الشاذة، تقوم الأنظمة الآلية الذكية بمراقبة مؤشرات الأداء وأخطاء الوحدة والمشكلات المحتملة بناءً على البيانات التشخيصية المرسلة من المستخدمين عبر KSN. يتيح لنا ذلك اكتشاف المشكلات المحتملة مبكرًا وإصلاحها قبل أن يصبح تأثيرها ملحوظًا للمستخدمين.

في حالة وقوع حادث ولا يمكن إغلاقه عن طريق تعطيل طريقة اكتشاف منفصلة، ​​يتم اتخاذ تدابير عاجلة لتصحيح الموقف، مما يسمح لك بحل المشكلة بسرعة وفعالية. في هذه الحالة، يمكننا "استرجاع" قواعد البيانات على الفور إلى حالة مستقرة، وهذا لا يتطلب اختبارات إضافية. في الحقيقة، لم نستخدم هذه الطريقة أبدًا في الممارسة العملية - لم يكن هناك أي سبب. فقط خلال التمارين.

بالمناسبة، عن التعاليم.

الوقاية خير من العلاج

لا يمكن توقع كل شيء، وحتى لو كان كل شيء متوقعاً، فمن الجيد أن نعرف كيف ستعمل كل هذه التدابير في الممارسة العملية. وللقيام بذلك، لا يتعين عليك انتظار وقوع حادث حقيقي – فمن الممكن محاكاته.

لاختبار الاستعداد القتالي لأفرادنا وفعالية أساليب منع الإنذارات الكاذبة، نقوم بإجراء تدريبات داخلية بانتظام. تتلخص التدريبات في محاكاة كاملة لسيناريوهات "قتالية" مختلفة من أجل التحقق من أن جميع الأنظمة والخبراء يعملون وفقًا للخطة. ويشارك في التمرين عدة وحدات من الأقسام الفنية والخدمية، ومن المقرر إجراؤه في عطلة نهاية الأسبوع ويتم إجراؤه بناءً على سيناريو مدروس بعناية. بعد التمرين، يتم تحليل عمل كل قسم، وتحسين التوثيق، وإجراء تغييرات على الأنظمة والعمليات.

في بعض الأحيان، أثناء التمرين، قد يتم تحديد خطر جديد لم يتم ملاحظته من قبل. يتيح لنا العصف الذهني المنتظم للمشاكل المحتملة في مجال التقنيات والعمليات والمنتجات تحديد هذه المخاطر بشكل أكثر منهجية. ففي نهاية المطاف، تتطور التقنيات والعمليات والمنتجات باستمرار، وأي تغيير يحمل معه مخاطر جديدة.

أخيرًا، بالنسبة لجميع الحوادث والمخاطر والمشاكل التي حددتها التمارين، يتم تنفيذ عمل منهجي لإزالة الأسباب الجذرية.

وغني عن القول أن جميع الأنظمة المسؤولة عن مراقبة الجودة يتم نسخها ودعمها على مدار الساعة من قبل فريق من المسؤولين المناوبين. يؤدي فشل رابط واحد إلى الانتقال إلى تصحيح مكرر وسريع للفشل نفسه.

خاتمة

من المستحيل تجنب الإيجابيات الكاذبة تمامًا، ولكن يمكنك تقليل احتمالية حدوثها بشكل كبير وتقليل العواقب. نعم، يتطلب هذا استثمارات كبيرة ونضجًا تكنولوجيًا وموارد من المطور. لكن هذه الجهود تضمن تجربة سلسة للمستخدمين وعملاء المؤسسات. تعتبر هذه الجهود ضرورية وجزء من مسؤوليات كل مورد موثوق للأمن السيبراني.

الموثوقية هي عقيدتنا. بدلاً من الاعتماد على تقنية أمان واحدة، نستخدم نظام أمان متعدد الطبقات. تم تصميم الحماية ضد النتائج الإيجابية الكاذبة بطريقة مماثلة - فهي أيضًا متعددة المستويات ومتكررة عدة مرات. لا توجد طريقة أخرى، لأننا نتحدث عن حماية عالية الجودة للبنية التحتية للعملاء.

وفي الوقت نفسه، تمكنا من إيجاد والحفاظ على التوازن الأمثل بين أعلى مستوى من الحماية ضد التهديدات السيبرانية ومستوى منخفض جدًا من النتائج الإيجابية الزائفة. ويتجلى ذلك من خلال نتائج الاختبارات المستقلة: في نهاية عام 2016، حصل Kaspersky Endpoint Security على ثماني جوائز من مختبر الاختبارات الألماني AV-Test.org، بما في ذلك "أفضل حماية" و"أفضل سهولة استخدام".

في الختام، أود أن أشير إلى أن الجودة ليست نتيجة يتم تحقيقها مرة واحدة. وهذه عملية تتطلب مراقبة وتحسينًا مستمرين، خاصة في الظروف التي يكون فيها ثمن الخطأ المحتمل هو تعطيل العمليات التجارية للعميل.

عناوين للإبلاغ عن النتائج الإيجابية الكاذبة لبرامج مكافحة الفيروسات ​

تخيل أنك كتبت برنامجًا غير ضار وغير ضار ومجاني.
لقد كنت تستخدمه لمدة ستة أشهر ثم قرر برنامج مكافحة الفيروسات المفضل لديك إزالته

أو:لقد قمت بتنزيل الأداة المساعدة، وقمت، كالمعتاد، بفحصها على خدمة VirusTotal.com أو Jotti أو VirSCAN.
النتيجة: 3 من 41 يجيبون بأنه فيروس.
لدينا الخيارات التالية:
- إما أن الفيروس جديد ولم يدخل بعد إلى بقية قواعد البيانات؛
- أو هذه نتيجة إيجابية كاذبة.

إذا كنت متأكدًا من أن هذه نتيجة إيجابية كاذبة، فإننا نرسل العينة إلى مختبر مكافحة الفيروسات.
احرص: غالبًا ما يكون هناك عنوانان مختلفان للنماذج أو رسائل البريد الإلكتروني:
- للرسائل حول الفيروسات الجديدة؛
- بالنسبة للرسائل المتعلقة بالنتائج الإيجابية الكاذبة (وهذا ما نتحدث عنه في هذا الموضوع).

لماذا تحدث نتائج إيجابية كاذبة؟
تظهر البرامج الضارة الجديدة بسرعة كبيرة بحيث لا يتمكن البشر من تحليل كل حالة بشكل مستقل. تقع الثقة على الأنظمة المتخصصة المشابهة لـ HIPS والتي تقوم بتحليل الملف بناءً على معايير متعددة تلقائيًا.
يمكن لمثل هذه الأنظمة في كثير من الأحيان إنشاء نتائج إيجابية خاطئة لأغلفة محددة وتسلسلات وظائف واجهة برمجة التطبيقات (API) ومجموعة من العوامل الأخرى. يقسم البعض ببساطة لأن البرنامج نادر الاستخدام ولا توجد إحصائيات مهمة عنه.
ونتيجة لذلك، ينتهي الأمر بالبرنامج في قواعد بيانات الملفات الضارة/المشبوهة.

كيفية إرسال برنامج إعادة الاختبار إلى المختبر بشكل صحيح؟
لدى كل شركة مصنعة لمكافحة الفيروسات عناوين بريد إلكتروني خاصة (أو نماذج على موقع الويب) حيث يمكنك إرسال عينة.
ملحوظة، في كل حالة من المهم جدًا قراءة قواعد الخدمة:

• ما نوع الأرشيف الذي يجب أن أحزم فيه العينة؟
• ما هي كلمة المرور التي يجب تعيينها (عادة فيروس أو مصاب)
• ما هي المعلومات الإضافية التي يجب تقديمها في الرسالة. هذا عادة ما يكون:

1. كلمات : تقديم إيجابي كاذب
2. كلمة المرور للمرفق هي كلمة المرور المستخدمة لتشفير الأرشيف

قائمة المختبرات والعناوين:

360 أمن الإنترنت (الأمن الشامل) (Qihoo-360)
بريد: [البريد الإلكتروني محمي](الأرشيف بصيغة ZIP. اسم الموضوع: "التقديم الإيجابي الخاطئ")
النموذج (بالروسية): أرسل الملف للتحقق - 360 Total Security
النموذج (موقع المكتب على الويب): 360杀毒_样本上报 (اختر 误报文件)
الإرسال عبر نموذج في أرشيف بتنسيق RAR وZIP و7Z بدون تشفير. يجب أن يكون حجم الملف أقل من 20 ميجابايت.

أفاست!
نموذج الدعم الفني: Avast اتصل بنا
في برنامج مكافحة الفيروسات نفسه: في علامة تبويب الحجر الصحي.
بريد إلكتروني: [البريد الإلكتروني محمي]
قم بتعبئة الملفات في أرشيف ZIP مع كلمة المرور المصابة. يرجى الإشارة إلى "إرسال إيجابي كاذب" في سطر موضوع البريد الإلكتروني.

إيكاروس
في البرنامج نفسه: في علامة تبويب العزل.
بريد إلكتروني: [البريد الإلكتروني محمي]
قم بتعبئة الملفات في أرشيف ZIP مع كلمة المرور المصابة. في الرسالة، أشر إلى "الكشف الإيجابي الكاذب" وكلمة المرور للأرشيف.
[البريد الإلكتروني محمي]

كاسبيرسكيفي أرشيف مضغوط/rar بكلمة المرور "virus" أو "infected"
النموذج: Kasperky Virus Desk (اختر "تنظيف").
البريد الإلكتروني: newvir [البريد الإلكتروني محمي]يرجى الإشارة إلى "احتمال وجود نتيجة إيجابية كاذبة" في سطر موضوع البريد الإلكتروني.
إذا كان لديك ترخيص - من خلال طلب فني. الدعم (من حسابك الشخصي/حساب الشركة).

شبكات بالو ألتو
قم بإنشاء موضوع منتدى باستخدام هذا القالب.

سوفوس
النموذج: إرسال عينة
بريد إلكتروني: [البريد الإلكتروني محمي]

Spybot البحث والتدمير
النموذج: Forensics Lab - Spybot Anti-malware and Antivirus
بريد إلكتروني: [البريد الإلكتروني محمي]
في أرشيف مضغوط بكلمة المرور "مصابة" إذا تم إرسالها عبر البريد، قم بالإشارة إلى "إرسال إيجابي كاذب" في سطر موضوع الرسالة.
يرجى الإشارة في الرسالة نفسها إلى ما يلي: كلمة المرور الخاصة بالمرفق مصابة

SUPERAntiSpyware
المنتدى: الإيجابيات الكاذبة
(أو استخدم نموذج خاص داخل البرنامج نفسه)

الهاكر (الهاكر)
بريد إلكتروني: [البريد الإلكتروني محمي]
(لم يتم التحقق)

مسار التهديد
استمارة:

تينسنت
لا يوجد سوى المنتدى. يمكنك إنشاء موضوع في هذا القسم.
لتسجيل الدخول، عليك أولاً التسجيل من خلال خدمة qq عن طريق تحديد حساب البريد الإلكتروني.
في المستقبل، استخدم عنوان بريدك الإلكتروني لتسجيل الدخول.

الدفاع الشامل
بريد إلكتروني: [البريد الإلكتروني محمي]
في أرشيف مضغوط بكلمة المرور "مصابة" إذا تم إرسالها عبر البريد، قم بالإشارة إلى "إرسال إيجابي كاذب" في سطر موضوع الرسالة.
يرجى الإشارة في الرسالة نفسها إلى ما يلي: كلمة المرور الخاصة بالمرفق مصابة

الترامبين
النموذج: شركة TRAPMINE - اتصال
بريد إلكتروني: [البريد الإلكتروني محمي](غير مجرب)

تريند مايكرو
النموذج: إلغاء حظر موقع الويب - دعم إعادة تصنيف عنوان IP - Trend Micro USA
تنبيه: أرسل النموذج معبأ بصيغة RAR أو ZIP مع كلمة مرور. يرجى الإشارة إلى كلمة المرور في الرسالة. داخل الأرشيف، يجب أن يكون للملف امتداد EXE.
النموذج: http://esupport.trendmicro.com/srf/srfemea.aspx?en-jm&locale=en-gb&ic=Virus False Alarm (مستخدمو Trend Micro فقط))
اختر اسم المنتج " الإصدار المستضاف من Housecall"، الحقول المتبقية هي بيانات عشوائية.
البريد الإلكتروني: sec [البريد الإلكتروني محمي](مستخدمي تريند مايكرو فقط)
أرسل الملف في أرشيف ZIP أو RAR بكلمة المرور "virus". يجب ألا يتجاوز حجم الملف 50 ميجابايت.

TrojanHunter
بريد إلكتروني: [البريد الإلكتروني محمي]
في أرشيف مضغوط بكلمة المرور "مصابة" إذا تم إرسالها عبر البريد، قم بالإشارة إلى "إرسال إيجابي كاذب" في سطر موضوع الرسالة.
يرجى الإشارة في الرسالة نفسها إلى ما يلي: كلمة المرور الخاصة بالمرفق مصابة

مزيل طروادة/البرنامج الفائق ببساطة
بريد إلكتروني: [البريد الإلكتروني محمي]
في أرشيف مضغوط بكلمة المرور "مصابة" إذا تم إرسالها عبر البريد، قم بالإشارة إلى "إرسال إيجابي كاذب" في سطر موضوع الرسالة.
في الرسالة نفسها، أشر إلى: كلمة المرور الخاصة بالمرفق مصابة https://detail.webrootanywhere.com/servicewelcome.asp?reason=talknotallowed أنت تعرف عناوين برامج مكافحة الفيروسات الأخرى للإخطار

في الوضع المثالي للمستخدمين المنزليين والشركات، لا ينبغي أن تحدث نتائج إيجابية كاذبة. في اختبار طويل الأمد مدته 14 شهرًا، اكتشف مختبر مكافحة الفيروسات الألماني AV-Test المنتجات التي تميل إلى مقاطعة نشاط المستخدم دون سبب، وأيها يمكن الاعتماد عليها من حيث النتائج الإيجابية الكاذبة.

إيجابية كاذبة أم لا؟: قام AV-Test باختبار 33 مضاد فيروسات خلال فترة 14 شهرًا.

ربما تكون قد واجهت بالفعل موقفًا يظهر فيه تحذير أحمر على الشاشة ويصدر صوت إنذار. حدث رد الفعل هذا بسبب ملف منسوخ أو تطبيق قيد التشغيل. ولكن ماذا يجب أن تفعل إذا صنف برنامج مكافحة الفيروسات لديك متصفح Google Chrome أو ملف نظام Windows على أنه متسلل خطير؟ في هذه الحالة، يواجه المستخدم نتيجة إيجابية كاذبة تضلل المستخدم أو مسؤول النظام.

الكشف عن الأجسام الحميدة والخبيثة

يجب أن يقوم برنامج مكافحة الفيروسات بمعالجة الملفات الموثوقة والخبيثة بشكل صحيح. من أجل التحقق من ذلك، قام مختبر AV-Test بتقييم مدى قدرة برامج مكافحة الفيروسات على حل هذه المشكلة لمدة 14 شهرًا - من يناير 2015 إلى فبراير 2016. تم اختبار إجمالي 19 منتجًا للمستخدم النهائي و14 حلاً مؤسسيًا.

وقد حدد الباحثون أربع مهام اختبارية لاختبار قابلية الاستخدام، تم صياغتها من قبل مهندسي المختبر على النحو التالي:

• تحذيرات أو حظر كاذب عند زيارة مواقع الويب
• الكشف الكاذب عن البرامج الشرعية باعتبارها تهديدات ضارة أثناء فحص النظام
• تحذيرات كاذبة عند تنفيذ إجراءات معينة أثناء التثبيت أو استخدام البرامج الشرعية
• المنع الكاذب لبعض الإجراءات أثناء التثبيت أو استخدام البرامج الشرعية

منهجية الاختبار

قامت جميع فئات الاختبار بتقييم مواقع الويب الآمنة والملفات الموثوقة والتطبيقات غير الضارة والمعروفة فقط. ففي نهاية المطاف، يوجد عدد من الملفات الآمنة في العالم الرقمي أكبر بكثير من عدد الكائنات المصابة. ولهذا السبب تعمل جميع الحلول مع ما يسمى "القوائم البيضاء" - وهي قواعد بيانات تخزن التوقيعات وقيم التجزئة. إذا لم يتعرف برنامج مكافحة الفيروسات على الملف على الفور، فإنه يرسل طلبًا إلى الخادم السحابي لمعرفة ما إذا كان الملف قد تم تسجيله أم لا. إذا لم تكن المعلومات المتعلقة بكائن ما موجودة في قاعدة البيانات، فسيتم وضع علامة عليها على أنها جيدة أو سيئة.

من أجل الحصول على نتائج الاختبار ذات الصلة حقا، من الضروري أن يكون لديك كمية كبيرة من البيانات الآمنة. التزم المختبر بالكامل بجميع متطلبات المعايير:

ولاختبار كل منتج، تمت زيارة 7000 موقع وتم فحص 7.7 مليون ملف. بالإضافة إلى ذلك، تم إعادة تشغيل 280 تطبيقًا، وبعد ذلك تم تسجيل ما إذا كان برنامج مكافحة الفيروسات سيعرض مرة أخرى تنبيهًا كاذبًا ويحظر العينة.

تحتوي المجموعة المكونة من 7.7 مليون ملف على جميع الملفات الجديدة للبرامج الشائعة لأنظمة تشغيل Windows المختلفة من Windows 7 إلى Windows 10 ومجموعات Office. إذا قام أحد برامج مكافحة الفيروسات بتصنيف ملف نظام شرعي على أنه ضار بشكل خاطئ، فقد يكون لهذا الموقف عواقب وخيمة. ولهذا السبب يتم دائمًا تضمين أحدث الإصدارات من هذه الملفات المهمة في برنامج الاختبار.

المنتجات الاستهلاكية: بعض برامج مكافحة الفيروسات تعمل بشكل مثالي

اختبار قابلية الاستخدام على المدى الطويل للمنتجات الاستهلاكية: يعرض الملخص الإشارات الخاطئة للمنتجات الفردية - في الواقع ليس هناك الكثير منها.

على الرغم من المتطلبات العالية للاختبار والكميات الكبيرة من البيانات المعالجة، فإن بعض التطبيقات لم تولد نتائج إيجابية كاذبة على الإطلاق. لقد عمل Avira Antivirus Pro وKaspersky Internet Security بشكل لا تشوبه شائبة.

وأظهرت 4 حلول أخرى من Intel Security وBitdefender وAVG وMicrosoft أقل من 10 نتائج إيجابية كاذبة. ومع ذلك، حتى المنتجات الموجودة في أسفل الجدول النهائي أظهرت نتائج بعيدة كل البعد عن الكارثة.

5 برامج مكافحة فيروسات في وقت واحدحصل على الحد الأقصى 6 نقاط في جميع قطاعات الاختبار على مدار 14 شهرًا.

• "الاكتشافات الخاطئة للبرامج الشرعية باعتبارها تهديدات ضارة أثناء فحص النظام" - أظهرت Ahnlab V3 Internet Security أسوأ نتيجة - 98 اكتشافًا إيجابيًا كاذبًا بإجمالي عدد الملفات الممسوحة ضوئيًا 7.7 مليون. نسبة 0.001% مقبولة تماما، ولكن هناك مجال للتحسين.
• "تنبيهات كاذبة عند تنفيذ إجراءات معينة أثناء التثبيت أو استخدام برنامج شرعي" - لم يصدر 11 منتجًا من أصل 19 إنذارًا كاذبًا واحدًا في هذا الاختبار. أظهرت 6 منتجات من 1 إلى 3 اكتشافات كاذبة في 280 حالة اختبار. أنتج منتج K7 Computing وحده إجمالي 10 تنبيهات كاذبة.
• "حظر بعض الإجراءات بشكل خاطئ أثناء التثبيت أو استخدام البرامج الشرعية" - حتى هنا، قام العديد من البرامج التسعة عشر بعمل ممتاز. في حين أن 7 منتجات لم تحظر أي شيء على الإطلاق، فقد قام 11 تطبيقًا آخر بحظر ما بين 1 إلى 6 أنشطة غير ضارة بشكل غير صحيح. أنتج برنامج Comodo Internet Security Premium 29 نتيجة إيجابية كاذبة.

منتجات الشركات: فقط شركة Kaspersky هي التي فعلت ذلك بشكل لا تشوبه شائبة

: المعدل الإيجابي الكاذب منخفض جدًا، وهو ما سيقدره مسؤولو النظام كثيرًا.

كجزء من الاختبارات واسعة النطاق، قامت AV-Test بتقييم 14 حلاً مؤسسيًا من حيث سهولة الاستخدام، أي المعالجة الصحيحة للأشياء الآمنة. في هذا الاختبار، تم إكمال حلين من حلول Kaspersky Lab: Kaspersky Endpoint Security وKaspersky Small Office Security بدون أخطاء. ومع ذلك، فقد شاركوا فقط في 6 من الاختبارات السبعة.

خلال فترة الاختبار بأكملها، سجلت حلول Sophos وIntel Security وBitdefender معدلات خطأ إجمالية أقل من 10. ومع ذلك، سجلت جميع المنتجات الأخرى أيضًا معدلات إيجابية كاذبة منخفضة مقارنةً بالحجم الإجمالي للبيانات التي تمت معالجتها.

ارتفاع متوسط ​​درجات الاختبار: العديد من المنتجات التي تم اختبارها 6 أو 7 مرات أظهرت فعالية عالية وكانت تقترب من 6 نقاط.

معلومات تفصيلية عن النتائج:

• ولم تحدث "تحذيرات أو عمليات حجب كاذبة عند زيارة مواقع الويب" طوال الاختبار بأكمله، حيث تمت زيارة 7000 موقع.
• "الاكتشافات الخاطئة للبرامج الشرعية باعتبارها تهديدات ضارة أثناء عمليات فحص النظام" - أظهر F-Secure أسوأ نتيجة - 49 اكتشافًا إيجابيًا كاذبًا من إجمالي عدد الملفات الممسوحة ضوئيًا البالغ 7.7 مليون. نتيجة جيدة، على الرغم من أن سوفوس لم يتعرف إلا على ملفين بشكل غير صحيح.
• "تحذيرات كاذبة عند تنفيذ إجراءات معينة أثناء التثبيت أو استخدام برامج شرعية" - أظهرت 4 منتجات من أصل 14 اكتشافًا خاطئًا واحدًا إلى اثنين في 280 حالة اختبار. يجب أن ترضي هذه النتيجة مسؤولي النظام.
• "الحظر الكاذب لبعض الإجراءات أثناء التثبيت أو استخدام البرامج الشرعية" - النتائج في هذه الفئة جيدة. في 280 اختبارًا، عملت 8 منتجات بدون أخطاء، ونتج عن 6 حلول أخرى ما بين 1 و5 نتائج إيجابية كاذبة. وبالمقارنة، فقد قام أسوأ منتج استهلاكي بحظر الإجراءات الآمنة بشكل خاطئ 29 مرة.

حلول الشركات لديها عدد أقل من الإيجابيات الكاذبة

إذا قمنا بدمج نتائج اختبار منتجات المؤسسات والمنتجات الاستهلاكية، يصبح من الواضح أن حلول المؤسسات تولد نتائج إيجابية كاذبة أقل. ومع ذلك، تجدر الإشارة إلى أن الشركات المصنعة التي تقدم الحلول للمستخدمين النهائيين والشركات تتمتع بكفاءة عالية في كلتا الحالتين. وينطبق هذا على حلول Kaspersky وBitdefender وMicrosoft وTrend Micro وSymantec وF-Secure.

بشكل عام، حصلت جميع المنتجات على درجات جودة عالية من حيث سهولة الاستخدام. في حين أن المختبر عادةً ما يخصم بضع نقاط مقابل النتائج الإيجابية الكاذبة، فإن هذه الخطوة تهدف بشكل صارم إلى انتقاد المستوى العالي من الأداء.

سوف يشعر بعض المطورين بالحيرة الشديدة عندما يرون البرامج التي تسبب النتائج الإيجابية الخاطئة. تشمل التطبيقات المحظورة بشكل شائع Notepad++ وYahoo Messenger وWinRAR. هذه ليست تطبيقات غريبة، ولكنها برامج شعبية قياسية. نظرًا لانخفاض معدل النتائج الإيجابية الكاذبة، يجب على الشركات المصنعة العمل على أي أخطاء تجدها في أسرع وقت ممكن.

التنزيل اليومي لملفات الاختبار الجديدة

تقدم الشركات المصنعة للبرمجيات مجموعة كبيرة من برامج مكافحة الفيروسات. أصبحت برامج مكافحة الفيروسات أكثر تعقيدًا، ويبتكر المطورون المزيد والمزيد من التقنيات الجديدة لاكتشاف "البرامج غير المرغوب فيها". ونتيجة لذلك، غالبا ما تنشأ المشكلة المعاكسة - الإيجابيات الكاذبة، والتي تحدث بشكل دوري وتؤثر على جميع الشركات المصنعة للبرمجيات. لا يمكن لأي مطور مضاد فيروسات أن يتباهى بأن منتجه لم ينتج عنه نتائج إيجابية كاذبة أبدًا. تحاول شركات مكافحة الفيروسات تقديم حلول لمثل هذه الأخطاء في أسرع وقت ممكن، ولكن مع ذلك، يتمكن بعض المستخدمين من المعاناة من كل خطأ من هذا القبيل.

التعليق مقدم من المدير الفني لمشروع Zillya! أوليغ سيش:

"إن النتائج الإيجابية الكاذبة لبرامج مكافحة الفيروسات تمثل صداعًا كبيرًا لجميع شركات مكافحة الفيروسات. في كثير من الأحيان، تكون إزالة بعض ملفات النظام المفيدة أو البرامج المستخدمة بواسطة برنامج مكافحة الفيروسات أسوأ بالنسبة للمستخدم من حقيقة أن برنامج مكافحة الفيروسات يفتقد نوعًا ما من برامج طروادة. ومن أجل تقليل حالات النتائج الإيجابية الكاذبة لمنتجاتنا المضادة للفيروسات، فإننا نعمل باستمرار على زيادة قدرة مركز الاختبارات المعملية لمكافحة الفيروسات، حيث يتم اختبار جميع إدخالات الفيروسات قبل تحديثها في قواعد بيانات مكافحة الفيروسات.

النتيجة الإيجابية الخاطئة بواسطة برنامج مكافحة الفيروسات هي الاكتشاف الخاطئ للملفات النظيفة على أنها ضارة. يحدث هذا الخطأ عندما يحتوي الملف على أقسام من التعليمات البرمجية أو يعمل وفقًا لخوارزمية مميزة لبرنامج ضار. بمعنى آخر، بعض التعليمات البرمجية الموجودة في ملف نظيف تشبه التعليمات البرمجية الموجودة في الفيروس. لا يمكن للتحليل الإرشادي دائمًا التعرف على رمز الفيروس بسبب تشفيره. في هذه الحالة، يمكن أن يكون إطلاق التحليل السلوكي فعالاً.

بالإضافة إلى ذلك، يمكن أن تحدث نتيجة إيجابية كاذبة عندما يقوم أحد البرامج بإجراءات يعتبرها محلل سلوك مكافحة الفيروسات بمثابة إجراءات مميزة لنشاط الفيروس. على الرغم من تشفير الفيروس، سيتم تحليل أفعاله، وإذا كانت تشبه نشاط الفيروس، فسيتم حظر أنشطة البرنامج.

إذا اعتبر برنامج مكافحة الفيروسات أن ملف برنامج نادر الاستخدام أو غير بالغ الأهمية هو فيروس، فلن تشكل أفعاله مشكلة كبيرة - يمكن استعادة البرنامج، وسيستمر النظام نفسه في العمل. ومع ذلك، عندما يتعلق الأمر بالإيجابيات الخاطئة على ملفات النظام، قد يواجه المستخدم مشكلة أكثر خطورة، بما في ذلك الحاجة إلى إعادة تثبيت النظام.

إن برنامج مكافحة الفيروسات الذي قام عن طريق الخطأ بحذف ملف من برنامج غير شائع وموجود على عشرة أجهزة كمبيوتر لن يسبب نفس القدر من المتاعب التي قد يسببها عند حذف ملف نظام من عشرات الملايين من أجهزة الكمبيوتر.

يتم تأكيد أهمية مشكلة الإيجابيات الكاذبة من خلال توفر اختبارات لمثل هذه الأخطاء، والتي تجريها مختبرات أمن الكمبيوتر العالمية. تم إجراء إحدى هذه الدراسات مؤخرًا بواسطة مختبر الاختبار الصيني PC Security Labs. النشاط الرئيسي للمنظمة هو إجراء اختبارات منتظمة للبرامج التي تضمن أمن الكمبيوتر ووضع معايير لمثل هذا الاختبار. كان آخر عمل لهذه المنظمة البحثية الخاصة والمستقلة هو اختبار 33 برنامجًا شائعًا لمكافحة الفيروسات بحثًا عن نتائج إيجابية كاذبة. تم إجراء الاختبار في منطقتين من عمليات مكافحة الفيروسات: النتائج الإيجابية الثابتة على الملفات النظيفة والإيجابيات الخاطئة للحماية الاستباقية. ومن المهم ألا تثبت نتائج هذا الاختبار جودة اكتشاف الملفات الضارة، بل تظهر فقط مستوى الإيجابيات الكاذبة لمضادات الفيروسات التي تم اختبارها.

وشمل الاختبار أحدث الإصدارات من برامج مكافحة الفيروسات مع آخر التحديثات لقواعد بيانات مكافحة الفيروسات.

يتكون الاختبار من تحليل قاعدة بيانات للملفات النظيفة، بالإضافة إلى التحقق من حظر عملية التثبيت وتشغيل البرامج الأكثر استخدامًا. تم عرض نتائج مثيرة للاهتمام من خلال تحليل البرامج، والتي يؤدي إطلاقها واستخدامها في أغلب الأحيان إلى نتائج إيجابية خاطئة لبرامج مكافحة الفيروسات. ووفقا للتقرير، فإن 26.32% من النتائج الإيجابية الكاذبة تعزى إلى برامج الأوراق المالية. تمثل اكتشافات برنامج اللعبة 21.05% من النتائج الإيجابية الكاذبة. 13.16% من النتائج الإيجابية الكاذبة صدرت لبرامج الوصول إلى الإنترنت والبرامج الإعلامية. وشكل كل من البرامج الصناعية والمصرفية المتخصصة 10.53% من أخطاء مكافحة الفيروسات، والنسبة المتبقية البالغة 5.26% كانت بسبب برامج أمان الكمبيوتر.

وقدمت PC Security Labs نتائج البحث على شكل عدد من الجوائز مقسمة إلى فئات: خمس وأربع وثلاث نجوم. تم أيضًا نشر قائمة بالمنتجات التي لم تحصل على أي جوائز نظرًا لوجود عدد كبير جدًا من النتائج الإيجابية الخاطئة.

أعلى جائزة قيمة هي خمس نجوم، وتُمنح لمنتجات مكافحة الفيروسات التي تحتوي على نتيجتين إيجابيتين كاذبتين أو أقل. لقد أصبحوا منتجات الشركة بيتدفندر، ميكروورلد، إف سيكيور، جيانغمين، كينغسوفتو مايكروسوفت. إن الحصول على جائزة أربع نجوم يعني أن المنتج قد أنتج ثلاث أو أربع نتائج إيجابية كاذبة. وقد حصلت على هذه الجائزة حلول مكافحة الفيروسات التالية: NETGATE، Qihoo، ارتفاعو تريند مايكرو. تمت مشاركة تصنيف الثلاث نجوم من قبل مطوري برامج مكافحة الفيروسات AVG، Dr.Web، ESET، G DATA، Panda، TrustPort، Zillya!و ArcaBitأظهروا خمس أو ست نتائج إيجابية كاذبة.

من الضروري أيضًا تقديم قائمة بمنتجات البرامج التي شاركت في الاختبار، لكنها لم تحصل على جوائز بناءً على النتائج - فهي لم تجتاز الاختبار. الشركات المدرجة في القائمة أفاست، كاسبيرسكي، فيلسكلاب، إيكاروس، كويك هيل، سوفوس، سيمانتيك، أنتي، إمسيسوفت، مكافي، سنبيلت، VBA32، كومودو، أفيراو كورانتي. سيتم استخدام البيانات التي تم الحصول عليها من هذا الاختبار بواسطة PC Security Labs في الاختبارات المستقبلية للبرامج الشائعة في المنطقة الصينية.

يزداد احتمال ظهور نتائج إيجابية خاطئة لمكافحة الفيروسات جنبًا إلى جنب مع عدد التهديدات والتوقيعات الجديدة في قواعد بيانات برامج مكافحة الفيروسات. في بعض الأحيان يؤدي الإنذار الكاذب إلى عواقب وخيمة أكثر من العدوى. لم يجد متخصصو أمن الشبكات حتى الآن طريقة للقضاء التام على احتمالية السلوك غير المناسب لبرامج الأمان.

ربما يكون الخطأ في تحديث قواعد بيانات McAfee لمكافحة الفيروسات، والذي تسبب يوم الخميس في فشل واسع النطاق لعشرات الآلاف من أجهزة الكمبيوتر حول العالم، هو المثال الأكثر وضوحًا على مدى سلبية العواقب الإيجابية الكاذبة لبرنامج مكافحة الفيروسات يمكن ان يكون. وقد ظن البرنامج خطأً أن عملية النظام svchost.exe، التي تعد مفتاح تشغيل نظام التشغيل Windows XP، هي دودة، نتج عنها تدمير عشرات الآلاف من أجهزة الكمبيوتر في الجامعات والمدارس ومراكز الشرطة والشركات في الولايات المتحدة. حيث تم تثبيت برنامج الأمان McAfee، تعرضوا لعمليات إعادة تشغيل دورية مطولة.

McAfee هي شركة حطمت الأرقام القياسية في مجال الإنذارات الكاذبة: وفقًا للاختبارات التي أجرتها منظمة av-comparatives.org المستقلة في فبراير، أطلق McAfee AntiVirus Plus 2010 إنذارات كاذبة 61 مرة. ونتيجة لذلك، احتل برنامج مكافحة الفيروسات المركز الثاني عشر في التصنيف. كان لدى الشركات المصنعة الأخرى لبرامج الأمان المعروفة أيضًا إنذارات كاذبة، ولكن بشكل أقل تكرارًا: كان لدى Symantec Norton Anti-Virus 2010 11 إنذارًا؛ يحتوي برنامج Kaspersky Anti-Virus 2010 على خمسة؛ يحتوي Eset NOD32 Antivirus 4.0 على اثنين؛ تحتوي Microsoft Security Essentials المجانية على ثلاثة.

لكن خطر النتائج الإيجابية الكاذبة يعتمد إلى حد كبير على الوضع المحدد. في أغلب الأحيان، لا تسبب الإنذارات الكاذبة ضررًا كبيرًا للكمبيوتر: يتم حظر الوصول إلى بعض الملفات النظيفة، ويتباطأ تشغيل الجهاز إلى حد ما ويصبح أكثر صعوبة. بالنسبة لمستخدم واحد، هذه مشاكل بسيطة ويمكن حلها بسهولة. لكن بالنسبة للشركات الكبيرة، فإن الإنذار الكاذب الذي يؤدي إلى اضطرابات هائلة في تشغيل أجهزة الكمبيوتر وشبكات الشركات والمواقع الإلكترونية يعني خسائر كبيرة في الوقت والمال والسمعة.

لقد شهدت جميع الشركات المصنعة الرائدة لبرامج مكافحة الفيروسات تقريبًا نتائج إيجابية كاذبة في أوقات مختلفة.

في أغسطس الماضي، تم إطلاق برنامج Kaspersky Anti-Virus نهىمستخدميه للعمل مع موقع بنك HSBC، وإبلاغهم بأن مورد الإنترنت مصاب بفيروس حصان طروادة HTLM-Agent-CE. في الواقع، لم يشكل الموقع أي تهديد، لكن لم يتمكن المستخدمون من استخدام الخدمات المصرفية عبر الإنترنت لبعض الوقت. وقد اكتشف متخصصو كاسبرسكي لاب الخطأ في نفس اليوم الذي أصبحت فيه النتيجة الإيجابية الكاذبة معروفة، ولكن الضرر الذي لحق بسمعة البنك قد حدث بالفعل.

في وقت سابق، في نوفمبر 2008، أخطأ برنامج مكافحة الفيروسات AVG الشهير في اعتبار ملفات Adobe Flash، بالإضافة إلى ملف النظام user32.dll، وهو أمر بالغ الأهمية لتشغيل Windows، برامج ضارة. وفي أكتوبر من نفس العام، حدد برنامج مكافحة الفيروسات نفسه جدار الحماية الشهير CheckPoint Zone Alarm باعتباره حصان طروادة. للتعويض عن الإزعاج، كان على AVG صرف الأموال: حصل المستخدمون المتأثرون على ترخيص AVG مجاني للعام التالي.

في منتصف مارس 2006، بعد تحديث قواعد بيانات مكافحة الفيروسات لعملائها، قامت شركة Symantec بحظر كل حركة المرور الواردة من أحد أكبر مزودي الإنترنت الأمريكيين، AOL، لمدة سبع ساعات تقريبًا. اتخذت برامج مكافحة الفيروسات من Symantec نطاق عناوين هذا المزود كمصادر للهجمات ومنعت حركة المرور منها.

في الأسبوع السابق لهذا الحدث، كانت شركة McAfee تستجيب بشكل خاطئ لبرنامجي Macromedia Flash Player وMicrosoft Excel لبعض الوقت.

وهذه ليست سوى بعض أخطاء مكافحة الفيروسات التي تؤدي إلى عواقب غير سارة لشركات مكافحة الفيروسات وعملائها.

حصة الإنذارات الكاذبة في الحجم الإجمالي لتهديدات الكمبيوتر صغيرة - نسبة قليلة. ومع ذلك، فإن عددهم يتزايد جنبا إلى جنب مع عدد التهديدات الحقيقية. تحاول شركات مكافحة الفيروسات تجنب مثل هذه الحوادث، ولكن نظرًا لطبيعة مكافحة البرامج الضارة، فإن هذا ليس ممكنًا دائمًا.

وأوضح ممثل إحدى شركات مكافحة الفيروسات، الذي لم يرغب في ذكر اسمه، للموقع: "كقاعدة عامة، يتم تحديث أي منتج مضاد للفيروسات عدة مرات في اليوم". -- ويرجع ذلك إلى إضافة إدخالات جديدة إلى قاعدة البيانات بناءً على اكتشاف برامج ضارة جديدة (أو تعديلات جديدة على فيروسات معروفة بالفعل). يحدث أن التحديثات تحدث عدة مرات في الساعة. في بعض الأحيان تحدث أعطال. على وجه الخصوص، عندما يتم اعتبار ملف نظيف عن طريق الخطأ ملفًا مصابًا. ولكن في كثير من الأحيان - عندما يتم إجراء تسجيل للكشف عن الإصابة بطريقة تؤدي أيضًا إلى التقاط ملف نظيف. يتم اختبار أي تحديث قبل إصداره بواسطة المجموعة المناسبة، ويتم فحص تشغيله بدقة. لكن في بعض الأحيان تسوء الأمور."

"في حالة McAfee، فإن النتيجة الإيجابية الخاطئة لمكون النظام Svchost.exe ترجع إلى حقيقة أن العديد من البرامج الضارة تستخدمه لإخفاء نشاطها في مساحة العنوان لعملية النظام هذه،" قال ألكسندر ماتروسوف، رئيس مركز قال موقع أبحاث وتحليلات الفيروسات في ESET للموقع. "ودودة Wecorl، التي رأتها حلول McAfee بعد التحديث القاتل، ليست استثناءً."

وفقًا للخبير، ترتبط الإنذارات الكاذبة في معظم الحالات بأوجه القصور في تقنيات اختبار قواعد بيانات التوقيع قبل إصدارها، وكذلك مع وجود أخطاء في خوارزميات الكشف الإرشادي. وبسبب هذه العيوب، يكاد يكون من المستحيل القضاء على احتمال حدوث مثل هذه التهديدات.

قال ألكسندر ماتروسوف: "لا توجد طريقة بنسبة 100% للتخلص من النتائج الإيجابية الكاذبة، نظرًا لأن طرق اختبار البرنامج نفسها تعتمد على تقديرات تجريبية وهي ذات طبيعة احتمالية". - يكتشف برنامج مكافحة الفيروسات ملفًا ضارًا استنادًا إلى بعض أجزاء البرامج الضارة. على سبيل المثال، قد يتضمن التوقيع بعض الخصائص الفريدة لملف ضار، بينما تتضمن الخوارزميات الإرشادية خصائص لعائلات كاملة من البرامج الضارة. ولذلك، لا يوجد ضمان بنسبة 100% بعدم العثور على هذه الخصائص المحددة في ملف قانوني قابل للتنفيذ.