永远的矛与盾:灵敏度与误报

启发式分析的精确度依赖于预设规则的强度。对于扫描器来说，目标恶意软件如果是新的，那么分 析器输出的结果将不是一个简单的二元判定（―此为已知病毒XXX∥或―这不是已知恶意软件∥）。（启 发式扫描器的）最有说服力的扫描结果取决于能够在一个由高（尽可能地保持最低限度的误报率） 到低（检测尽可能多的新病毒）的连续区间找到一个阙值。高强度的响应会在高误报的风险下尽可

能多地检测到新病毒，而低强度的响应则适合于误报不可接受的场合。 

对于一款杀毒软件来说，在缺省设置（启发式关闭）与设置开启启发式之 间提供选项是常见的（因为我们已经指出所有的扫描引擎都采用了某种程 度的启发式，或许按照基本启发式作为缺省设置会更准确一些）。某些厂 商还会将被动启发式和主动启发式区分开来。虽然在这两种情况下，扫描 器都会在代码中扫描可疑特征，但是在主动模式下，扫描器会使用一个模 拟环境来动态执行并跟踪代码的行为。在被动模式下，它就只简单地静态 检查代码。 

如下我们可以了解杀毒软件如何设置启发式阙值的： 

· 阙值级别    相应的启发式级别
· 最高        仅严格（或近严格）检查；启发式不采用或保持在最低水平。
· 普通        已知病毒检测采用算法扫描并适时使用严格（或近严格）级别的仿真分析。可能使用广谱特征来识别近似变种。
· 启发式模式  中级启发水平，增强检测水平；误报很少，采用被动分析多于采用基于仿真的启发式。

· 最低        最高级（高强度或最大灵敏度）启发式，包括某种形式的模拟运行。可以检测出高比例的新病毒，但是误报率也随之增加。
 
不是所有的反病毒引擎都按上述级别进行灵敏度的划分，很多也不允许用户手动设置或重新配置这 些阙值，即使那些支持灵敏度调节的杀毒软件也未必会以帮助文件的形式详述其用途。但需要强调 的是，在上述阙值区间处处都可能应用了某种形式的模拟。 

杀毒软件厂商在缺省设置中关闭高级启发式，不仅仅是为了降低减少误报的风险，实际上更是想提 高产品的检测速度。所有级别的启发式分析都会增加扫描的处理时间，而且对于某些产品来说因此 导致的性能下降则更加明显。可是，已如我们前述，尽管已知恶意软件的数量在增长，得益于在今 天高性能计算机上程序的改良设计，这种影响可以降至一个可接受的水平。事实上，不同厂商的扫 描器对运行速度的负面影响有着很大的差别。一个良好的启发式引擎应该把对系统性能的影响降到 最小。 

启发式的灵敏度不止是一个涉及如何精确诊断未知病毒技术问题。它还是一个社会心理学问题：对 于一个可能的病毒，我们如何警示用户并提出指导性的建议？ 

可能出现的报警提示可以让消费者充分地了解厂商。一些产品很谨慎，它们使用这样不完全确定的 警示―这可能是某病毒的变种∥，这很有效。像这样把最终的决定权交给用户，可以消除厂商误报的风 险。 

事实上，大部分用户都更愿意让扫描器作出判断。想到杀毒软件可能出错，用户会感到不安，这让 人觉得这种技术不是那么的可靠。 

一些厂商的产品显示一些醒目的警示消息，如―检测并阻止了某某恶意软件∥或者―检测并移除了 W32/nastybackdoortrojan∥。这看起来很好，用户会很感谢恶意软件被识别并且清除了。但是用户却 不知道，这些名称只是启发式检测到疑似恶意软件时所用的简单广谱名，而并不表示这是某个特定 的病毒。 

不幸的是，没有可靠的统计数字可以说明，究竟有多少正常程序和邮件 被某些过于自信的扫描器误报为恶意软件。 

一些厂商建议，只在最可能出现新的恶意软件的环境下开启高级启发式， 如邮件网关扫描器等。这会降低桌面端的误报率，但参数扫描一旦失败， 也会加大漏报几率。