启发式技术之误报控制
3、误报控制措施
因为一些正常程序在一些情况下也可能发生如上所说被用于恶意程序的行为,因此凡是基于权值判定的启发式技术发生误报在所难免。这便是启发式技术会产生误报的根源。在目前的技术条件下,完全做到启发式技术不发生误报是不可能的,但是技术优秀的厂家可以在保持高启发效率的前提下做到了尽量低的误报发生概率。大致有这么几种主要措施:
(1)通过大量实验,精准的得出权值F。
(2)设计好排除检测库。即只要用户选择排除的文件一律不进行启发式检测。
(3)实现更高级的启发式算法。(请见本系列后续文章)
结论:
1、作为经典的启发式理论,其实目前在主流杀毒软件中单独应用不多,而代之以各种各样的改进技术。但是作为各种流派启发式技术的共同理论基础,大家首先了解这一点是非常必要的前提。
2、大家如果经常使用各种杀毒软件就会总结出这样一个规律,对于偏重于启发式技术的杀毒软件,会有这么几个特点:
(1)高启发,高误报。(2)高启发,低误报。(3)低启发,低误报。
显然,只有身怀启发式技术绝技的厂家才能做到2,其余的只能是在1或者3中选择一种道路。但退而求其次的时候,我个人倾向于宁可选择3也不要选择1。
下期预告:若干主流改进启发式技术理论介绍
网友评论