VirusTotal发布Monitor服务:减少安全误报

VirusTotal新服务

近日,VirusTotal发布名为Monitor的新服务,可令软件开发人员私下检测应用程序代码是否会遭杀毒引擎报警,减少软件中恶意程序的误报。

virustotal-monitor-1088x725-690x460

2004年上线以来,VirusTotal网站供诸多开发人员和杀软供应商检查文件遭恶意软件检测引擎报警的情况。随着新Monitor服务的推出,软件开发人员如今可以上传新文件到私密系统,持续检测是否会被标记为恶意软件。VirusTotal Monitor 服务试图帮助软件开发人员控制恶意软件检测误报率。

VirusTotal技术主管埃米利亚诺·马丁内兹( Emiliano Martinez )称,VirusTotal Monitor 中的每个文件每天都会被重新扫描一遍,挺耗资源的。而一旦走上正轨,VT Monitor 每天扫描的文件量最终会超越标准VirusTotal公开网页界面上提交的数量——约200万每天。

2012年谷歌收购了VirusTotal,在1月25号将其纳入了谷歌母公司Alphabet的Chronicle部门。马丁内兹表示,虽然核心VirusTotal服务是免费的,独立软件供应商和开发人员却要通过付费订阅才可以访问该服务。开发人员仍然可以选择将文件提交到VirusTotal免费版,但检测效果各种比不上 VT Monitor。

误报随时有可能发生,而且仅检测一次是不足够的。只有定期对照最新的病毒特征码集进行检测,才可以确保及时了解到自己软件被标记的情况。

另外,上传到VirusTotal标准网页界面不会通告杀软供应商潜在误报检测的情况,也不会告诉他们给定文件背后的公司是哪家。而在 VT Monitor 中,无论误报何时产生,杀软供应商和软件开发人员都会即时收到通知。利用 VT Monitor,杀软供应商能自动获悉给定文件的上下文信息,然后决策是否应该澄清相关公司。

将文件上传到标准VirusTotal网页界面会导致VirusTotal将该文件分发给杀软合作伙伴进行分析,如果符合杀软合作伙伴的恶意软件条件,该文件就会被列入黑名单。这意味着如果你遭遇了误报,那你很可能会面临误报成堆的滚雪球效应,因为相信同行结论的其他杀软供应商也会开始报告该文件。

与之相反,VT Monitor 不会与第三方共享接受检测的文件。只有标记了该文件且可能是误标记的情况下,文件才会被单独共享给产生该标记的杀软供应商。这样可以有效避免检测的滚雪球效应。

缓解误报

VT Monitor 的核心价值在于,开发人员无需判断究竟是哪家杀软将文件标记为恶意。

开发人员接到潜在误报检测通知的同时,产生该检测结果的杀软供应商也会接到同样的通知。VirusTotal与杀软供应商的合作关系由来已久,与他们的误报处理团队保持密切联系,为他们提供网页平台和API以便他们能自动吸纳和管理 VT Monitor 中文件的检测。

VirusTotal初上线的时候,Windows可执行文件是被扫描的主要文件类型。2018年的现在,各种操作系统中的各类文件都能被VirusTotal扫描。举个例子,安卓应用就有可能发生误报,而 VT Monitor 会接手这些误报。

VirusTotal有自己的发展路线图,将继续成长,帮助安全团队和杀软供应商研究威胁。

上一篇:世界杯激战正酣 亚信安全提醒:当心不法分子攻破你的“球门”

下一篇:AI在网络安全领域的应用:机器学习 VS. 深度学习