恶意软件过滤系统的关键是公平透明

ZDNet安全频道原创翻译 转载请以文字链形式注明出处

作者：瑞安·纳瑞斯

网站已经成为散布恶意软件和窃取用于犯罪的个人信息的普遍选择，这已经不是秘密。一种防范的方法也越来越普及，就是在用户尝试访问可能存在威胁的网站时，给予警告。 火狐Firefox浏览器、IE浏览器、雅虎搜索和谷歌搜索都为他们的用户提供了某种形式的综合警告，并且几乎每一个反病毒厂商现在都开始提供网络警告或阻止产品。

这种潮流的发展有充分的理由，看起来工作也是非常顺利的。尽管并不是十全十美，快速通量形式攻击和其它的技术可能将过滤器移到恶意网站的后面，而且，我们知道，很多用户会跳过警告，这样可能还是会导致攻击的发生。

并不是所有的过滤器和拒绝服务都是适合的，在这里，我指的不是是界面或者恶意网站的列表。相反，我谈论的是公司进行筛选的情况。

想象一下这样一种情况：作为一个支持简单购物车应用的小型企业网站的站长。突然之间有一天，你发现业务和网站流量下降了20%，而且找不到原因。谷歌网页排名并没有改变，也没有添加什么新东西，而且也没有发现有新的竞争者出现。只是在几天之后，你才从忠实客户的电子邮件中得知，访问你的网站的时间他受到来自防病毒软件的警告，这时间，你才开始明白发生了什么情况。

你尝试登陆防病毒软件供应商的网站，但却无法找到关于你的网站受到警告的任何资料，发送电子邮件给他们也得不到回复。这种情况下，重复的发生这样的事件是不可接受的：明明没有任何错误，但你的网站却被标注为有害的，没有人帮助你修复网站或者恢复名声。无论怎么样，你和潜在的客户都受到了影响。

在某些垃圾邮件黑名单和其它过滤方法的历史中，也出现过同样的问题。试图保护用户，却对用意良好的有时是完全无辜的网站或站长造成了损害。

所以说，一个良好的过滤系统不仅仅只具备收集恶意网站的名单并向用户提出警告的功能。它应该具备下列特征：

· 低误报率
· 确定公开可行的恶意网站标准
· 将网站加入列表的原因应该显示出来
· 提供一个公开的申述过程，让被错误加入的网站可以用来进行辩护
· 为提高兼容性对站长提供培训和技术支持

请注意，一个包含了所有上述特征的系统不仅是为广大站长服务，它的最终目的是更好地服务于用户。它要确保用户没有被驱逐出自己喜爱的网站（或者他们应该已经发现的新网站）。只要一点额外的小努力，供应商就可以教育用户了解混淆式偷渡下载和钓鱼式攻击的危害，并且帮助他们提高自我保护的能力。

StopBadware.org网站存在的一个重要原因就是实现这样一个理想：建立一个开放透明的制度，以保护和教育、服务于最终用户和站长。这并不是一件容易的事情，但我们将继续努力，我们的大门将继续向致力于推行这些原则的伙伴敞开。我希望看到网站警告产品的发展和成熟，我们将会发现越来越多的公司开始生产这些与最广泛的公众利益相关的系统。