Vídeo: Dr. Felipe Ades - Existe a possibilidade de um exame errar? Falsos positivos e falsos negativos (Outubro 2024)
Embora seja muito importante para um antivírus detectar e remover programas maliciosos, é quase igualmente importante que o antivírus se abstenha de identificar programas válidos como maliciosos. No último teste de detecção de arquivos da AV-Comparatives, os falsos positivos fizeram uma enorme diferença na pontuação de vários programas.
Loucos muitos falsos positivos
Qualquer produto que passa no teste de detecção de arquivo recebe uma classificação de pelo menos PADRÃO. Aqueles que vão além do básico podem obter uma classificação de AVANÇADO ou AVANÇADO +. Se um programa não passar no teste, eles o relatam como TESTADO. No entanto, a classificação obtida pode ser afetada por falsos positivos.
Os pesquisadores da AV-Comparatives caracterizam o número de falsos positivos cometidos por um programa como Muito poucos (0-1), Poucos (2-10), Muitos (11-50), Muitos (51-100) e Muitos Loucos (acima de 100) Não há penalidade para poucos ou muito poucos falsos positivos. Muitos falsos positivos custarão a um programa um nível de classificação, muitos cairão sua classificação em dois. Um programa que comete "muitos loucos" falsos positivos diminui três níveis de classificação, o que significa que, não importa onde tenha começado, ele receberá uma classificação de TESTADO.
Foi exatamente o que aconteceu com o Baidu. Com a segunda maior taxa de detecção, ganhou ADVANCED +. No entanto, muitos erros loucos o levaram a TESTADO. avast! obteve uma classificação AVANÇADA, mas muitos falsos positivos significaram que ela também foi classificada como meramente TESTADA. Quanto ao AhnLab, ele começou no porão com baixa detecção; a penalidade para muitos falsos positivos não poderia diminuir.
No gráfico abaixo, AVANÇADO +, AVANÇADO e PADRÃO são representados por três, duas e uma estrela. Também incluí as classificações da execução anterior deste mesmo teste.
Nem todo ruim
Por outro lado, evitar a armadilha de falso positivo provou ser um benefício real para alguns fornecedores. Na última vez em que esse teste foi executado, o eScan, F-Secure, McAfee e Trend Micro receberam uma classificação ADVANCED + com base nas taxas de detecção de malware, mas todos foram rebaixados para ADVANCED devido a falsos positivos. Desta vez, todos ganharam ADVANCED +, sem falsos positivos.
Equilibrar falsos positivos com a detecção correta de malware é complicado, e os diferentes laboratórios têm suas próprias maneiras de lidar com isso. Os testes do Virus Bulletin são estritamente sim / não. Cada produto recebe a certificação VB100 ou não, e um único falso positivo significa que não há certificação. O Dennis Technology Labs avalia falsos positivos com base na prevalência do arquivo e em quão crítico é para as operações do sistema. O ponto principal é que você não deseja que os usuários desabilitem a proteção antivírus, porque colocou em quarentena o jogo quente mais recente.
