Security.png


Yanlış pozitif (false positive) nedir?
Sözlük anlamına baktığımızda yanlış pozitif (false positive); veri değerlendirmesinde, bir test sonucunun belirli bir durumun (örneğin bir hastalığın) varlığını, gerçekte olmadığı hâlde yanlış olarak onaylaması (pozitif göstermesi) şeklinde ortaya çıkan hatadır.[1]

Bu anlamın daha çok sağlık alanı içerisinde kullanıldığını görebilirsiniz. Bu anlamı güvenlik kategorisinde de çokça gördüğümüz güvenlik yazılımlarına uyarlamaya çalıştığımızda şu anlama ulaşabiliriz:
  • Tarama işlemi gerçekleştirdiğiniz güvenlik yazılımı ile üzerinde analiz yaptığınız herhangi bir verinin (örneğin dosyalar) değerlerindirme sonucunda, belirli bir durumunu yanlış olarak onaylaması (pozitif göstermesi) şeklinde ortaya çıkan hatadır.
Uyarlamaya çalıştığımız anlamı kısaltmaya çalıştığımızda ise en sade hâline ulaşıyoruz:
  • Tarama işlemi gerçekleştirdiğiniz verinin (dosyanın), bir güvenlik yazılımı tarafından yanlışlıkla kötü amaçlı olarak tanımlandığı hatadır.
Yanlış pozitif (false positive) sonucu neden olur?
  1. Veri (dosya) üzerinde tarama işlemi gerçekleştiren güvenlik yazılımının kullandığı tespit yönteminin, verinin bütünü yerine sadece bulduğu minimum bir alana odaklanmasından dolayı olabilir. Bunu daha da açarsak; hatasıza yakın sonuç(lar) elde etmek amaçlı, güvenlik yazılımı tarafından yapılan hızlı tahminlerden dolayı başvurduğu sezgisel tespit yönteminden kaynaklanabilir. Kısa bir sürede sonuçlandırmak adına kalkıştığı bu yöntemde, belirttiğimiz gibi sadece minimum bir alanı baz alabilir. Bunun sonucunda da analiz sonucunun genele vurmasında, yanlış pozitif oranının yüksek çıkmasına neden olmaktadır.

    Örneğin; tarama işlemi gerçekleştirdiğiniz veri (dosya) bilindik bir sertifika ile imzalanmamışsa, güvenlik yazılım(lar)ı direkt olarak sezgisel tespit yöntemi ile taramaya çalıştığınız veriye (dosyaya) temkinli yaklaşabilir ve eğer bu yöntemde sorun yaşanırsa (diğer yöntemler için de geçerli), sonucunuz yanlış pozitif olarak sonuçlanacaktır. Bu tespit etme yöntemine "buluşsal yöntem" veya "sezgisel tespit" adı verilmektedir.
  2. Tarama işlemi gerçekleştirilen verinin (dosyanın) sistem içerisinde gösterdiği davranış sonrasında, güvenlik yazılımının bu davranışa karşılık olarak verdiği karardan dolayı olabilir. Bu duruma da "davranış analizi" adı verilmektedir.
  3. Güvenlik yazılımının içerisinde bulunan makine öğreniminden kaynaklanabilmektedir. Çünkü birden fazla güvenlik yazılımını bildiğimiz gibi, bu yazılımların da kendi adına geliştirildiği veritabanları bulunuyor. Birden fazla veritabanı demek de, birden fazla makine öğreniminin olması anlamına geliyor. Birden fazla makine öğreniminin olması da, tarama işlemi gerçekleştirilecek verinin (dosyanın) üzerinde işlem yapacak olan güvenlik yazılımlarının birden fazla algoritmaya sahip olduğu anlamına geliyor. Bu durumda da bir güvenlik yazılımı tarama işlemi gerçekleştirdiği veride (dosyada) tehdit bulmazken, diğer güvenlik yazılımı tehdit bulabilir anlamına gelebiliyor.​
Yanlış pozitif (false positive) nasıl anlaşılır?
Yanlış pozitif oranının (false positive rate) net bir şekilde anlaşılabilmesi adına, AV-Comparatives üzerinde yapılan testlere göz atabilirsiniz. Bilinen ve başarılı olan güvenlik yazılımları, genellikle test sonuçlarında gayet başarılı sonuçlar alırlar. İsmi piyasada daha az geçen veya eskiden başarılı olup da son zamanlarda pek bir gelişim gösteremeyen güvenlik yazılımları, genellikle test sonuçlarında çok fazla yanlış pozitif sonuçlarına ulaşabilirler. Bu durumda da kullanıcıların daha az yanlış pozitif sonuçta bulunan yazılımlara yönelmesi yaşanır.

Bunun dışında biz kullanıcılar için sunulan ve birden fazla güvenlik motorunun bulunduğu
VirusTotal sitesini kullanmak gayet yararlı olacaktır. Bu sayede hangi güvenlik motorunun ne anlamda yanlış pozitif yapabildiğini gözlemleyebilir hâle geliyorsunuz. Örneğin test sonuçlarından sürekli olarak başarılı bir istatistik alan güvenlik motoru tespit sonucunda bir problem bulmazken, testlere katılmamış olan bir antivirüs motoru (deneylerde yaşadığı deneyimsizlik ve gelişimsizlik yüzünden olabilir) tespit sonucunda yanlış pozitif sonucuna varabiliyor. Bu durumda tarama işlemi gerçekleştirdiğiniz veriye (dosyaya) tehdit olarak yaklaşan güvenlik yazılımını araştırmanız gerekiyor. Eğer bir sonuç bulamazsanız, aşağıdaki adımları da uygulayarak verinin (dosyanın) VirusTotal üzerinde yanlış pozitif olarak algılandığından emin olmaya başlayabilirsiniz. Adımların içerisinde yukarıda anlattığım madde de bulunmaktadır.
  • Tarama işlemi gerçekleştirdiğiniz veriyi (dosyayı) tehdit olarak gören güvenlik yazılımı, bilindik ve tek başına tespitte bulunmuşsa.
  • Tarama işlemi gerçekleştirdiğiniz veriyi (dosyayı) indirdiğiniz bağlantı adresinde, bilindik güvenlik yazılımları tarafından bir problem bulunmamışsa.​
  • Tarama işlemi gerçekleştirdiğiniz verinin (dosyanın) imzalandığı sertifikada bir problem bulunmuyorsa.​
Bu maddelere bağlı olarak, sizler de yanlış pozitif oranında bulunan güvenlik yazılımlarını tespit etme konusunda fikir sahibi olabilirsiniz.

Makaleyi sonuna kadar okuduğunuz için teşekkür ederim. Bu makaleyi hazırlamamın amacı, son zamanlarda kullanıcıların güvenli olduklarını bildikleri yazılımları VirusTotal üzerinde tarama yaparken şüpheye düşmeleriydi. Çünkü kullanıcılar adını bilmedikleri veya testlerde hiç görmedikleri güvenlik yazılımlarının tespit sonucunda güvenli olan yazılımların tehdit içerdiğini görünce, şüpheye düşmeleri de gayet doğal oluyor. Konuda olabildiğince uzun ve herkesin anlayabileceği bir şekilde tanımlamaları yazmaya çalıştım. Kaynak kısmında da belirttiğim üzere sadece Malwarebytes'ın sunmuş olduğu blog yazısında kendi cümlelerime daha çok yer vererek anlatmaya çalıştım. Eğer konu hakkında yapılan bir yanlışlığı veya eksikliği görüyorsanız, konu içerisinde belirtebilirsiniz.

Yanlış pozitif sonucu konusunda faydalanılan kaynak: Explained: False positives - Malwarebytes Labs
Makale içerisinde kullanılan görsel: How artificial intelligence (AI) and machine learning change security's future
 

Murat5038

Yottapat!
Katılım
1 Mayıs 2013
Mesajlar
40.711
Makaleler
36
Çözümler
168
Yer
Sakarya
Açıklaman güzel olmuş. Çok küçük yanlış ve eksikler olsa da sorun değil. Bunları bilmeyen çok kişi var, yanlış dediklerimi bilmeseler de olur. :D Bunları öğrensinler, yeter ki temelini.
 
KS
Elocutionear

Elocutionear

Megapat
Katılım
5 Temmuz 2019
Mesajlar
4.521
Makaleler
14
Çözümler
149
Yer
Yharnam
Çok küçük yanlış ve eksikler olsa da sorun değil.
Yanlış olan yerleri ve eksiklikleri belirtirseniz, konuya bakacak olan kişiler açısından gayet güzel olur.
 

Akil Gündoğan

Terapat
Katılım
2 Temmuz 2014
Mesajlar
9.924
Makaleler
26
Çözümler
191
Yer
Türkiye - İşler güçler...
Öncelikle ellerinize sağlık. Gayet faydalı bir konu, denildiği gibi bilmeyen pek insan var.
Yanlış olan yerleri ve eksiklikleri belirtirseniz, konuya bakacak olan kişiler açısından gayet güzel olur.
Örneğin aşağıdakinde ufak hatalar var.
  • Tarama işlemi gerçekleştirdiğiniz verinin (dosyanın) imzalandığı sertifikada bir problem bulunmuyorsa.​
Zira, günümüzdeki birçok zararlı (özellikle Rus kaynaklı ransomware türlerinde) sertifikalı halde yayılmakta. Özellikle güvenlik yazılımlarını yanıltmak, tespit edilme sürecini uzatmak amacıyla sertifikalar yoluyla kendilerini güvenli gösterebiliyorlar.

Ama bu ufak bir pürüz. Yazı gayet güzel, emeğine sağlık :)
 
KS
Elocutionear

Elocutionear

Megapat
Katılım
5 Temmuz 2019
Mesajlar
4.521
Makaleler
14
Çözümler
149
Yer
Yharnam
Zira, günümüzdeki birçok zararlı (özellikle Rus kaynaklı ransomware türlerinde) sertifikalı halde yayılmakta. Özellikle güvenlik yazılımlarını yanıltmak, tespit edilme sürecini uzatmak amacıyla sertifikalar yoluyla kendilerini güvenli gösterebiliyorlar.
Aslında belirttiğiniz durumu, "Yanlış pozitif (false positive) sonucu neden olur?" bölümündeki davranış analizi kısmında belirtecektim fakat tüm maddeleri uzattğımı düşündüğümden dolayı, konuyu okuyacak olan kişilerin çabucak sıkılabileceğini düşündüm.

Dediğiniz gibi özellikle ransomware tehditleri yüzünden, sistem içerisinde birden fazla kopya dosyalar oluşturulabiliyor. Özellikle imzalandığı sertifika yüzünden sistem içerisindeki erişimine izin verilmişse durum daha da vahim olabiliyor. Bu durumda da kullanılan güvenlik yazılımının tespit vektörü (davranış analizi de denebilir) ve sezgisel analiz yeteneği en önemli etken oluyor.

Konu hakkında uyardığınız için teşekkür ederim, belirttiğiniz maddeyi düzenleyeceğim. 🙂
 

Murat5038

Yottapat!
Katılım
1 Mayıs 2013
Mesajlar
40.711
Makaleler
36
Çözümler
168
Yer
Sakarya
Yanlış olan yerleri ve eksiklikleri belirtirseniz, konuya bakacak olan kişiler açısından gayet güzel olur.
Dediğim gibi küçük şeyler olduğundan değinmeye gerek yok. Açıklarsam uzar gider konu toparlamada sıkıntı çıkar yani :) Temel olarak öğrensinler yeterli o bile kafi.
 
Yukarı