Yanlış pozitif (false positive) nedir?
Bu anlamın daha çok sağlık alanı içerisinde kullanıldığını görebilirsiniz. Bu anlamı güvenlik kategorisinde de çokça gördüğümüz güvenlik yazılımlarına uyarlamaya çalıştığımızda şu anlama ulaşabiliriz:
- Tarama işlemi gerçekleştirdiğiniz güvenlik yazılımı ile üzerinde analiz yaptığınız herhangi bir verinin (örneğin dosyalar) değerlerindirme sonucunda, belirli bir durumunu yanlış olarak onaylaması (pozitif göstermesi) şeklinde ortaya çıkan hatadır.
- Tarama işlemi gerçekleştirdiğiniz verinin (dosyanın), bir güvenlik yazılımı tarafından yanlışlıkla kötü amaçlı olarak tanımlandığı hatadır.
Yanlış pozitif (false positive) sonucu neden olur?
- Veri (dosya) üzerinde tarama işlemi gerçekleştiren güvenlik yazılımının kullandığı tespit yönteminin, verinin bütünü yerine sadece bulduğu minimum bir alana odaklanmasından dolayı olabilir. Bunu daha da açarsak; hatasıza yakın sonuç(lar) elde etmek amaçlı, güvenlik yazılımı tarafından yapılan hızlı tahminlerden dolayı başvurduğu sezgisel tespit yönteminden kaynaklanabilir. Kısa bir sürede sonuçlandırmak adına kalkıştığı bu yöntemde, belirttiğimiz gibi sadece minimum bir alanı baz alabilir. Bunun sonucunda da analiz sonucunun genele vurmasında, yanlış pozitif oranının yüksek çıkmasına neden olmaktadır.
Örneğin; tarama işlemi gerçekleştirdiğiniz veri (dosya) bilindik bir sertifika ile imzalanmamışsa, güvenlik yazılım(lar)ı direkt olarak sezgisel tespit yöntemi ile taramaya çalıştığınız veriye (dosyaya) temkinli yaklaşabilir ve eğer bu yöntemde sorun yaşanırsa (diğer yöntemler için de geçerli), sonucunuz yanlış pozitif olarak sonuçlanacaktır. Bu tespit etme yöntemine "buluşsal yöntem" veya "sezgisel tespit" adı verilmektedir.
- Tarama işlemi gerçekleştirilen verinin (dosyanın) sistem içerisinde gösterdiği davranış sonrasında, güvenlik yazılımının bu davranışa karşılık olarak verdiği karardan dolayı olabilir. Bu duruma da "davranış analizi" adı verilmektedir.
- Güvenlik yazılımının içerisinde bulunan makine öğreniminden kaynaklanabilmektedir. Çünkü birden fazla güvenlik yazılımını bildiğimiz gibi, bu yazılımların da kendi adına geliştirildiği veritabanları bulunuyor. Birden fazla veritabanı demek de, birden fazla makine öğreniminin olması anlamına geliyor. Birden fazla makine öğreniminin olması da, tarama işlemi gerçekleştirilecek verinin (dosyanın) üzerinde işlem yapacak olan güvenlik yazılımlarının birden fazla algoritmaya sahip olduğu anlamına geliyor. Bu durumda da bir güvenlik yazılımı tarama işlemi gerçekleştirdiği veride (dosyada) tehdit bulmazken, diğer güvenlik yazılımı tehdit bulabilir anlamına gelebiliyor.
Yanlış pozitif (false positive) nasıl anlaşılır?
Yanlış pozitif oranının (false positive rate) net bir şekilde anlaşılabilmesi adına, AV-Comparatives üzerinde yapılan testlere göz atabilirsiniz. Bilinen ve başarılı olan güvenlik yazılımları, genellikle test sonuçlarında gayet başarılı sonuçlar alırlar. İsmi piyasada daha az geçen veya eskiden başarılı olup da son zamanlarda pek bir gelişim gösteremeyen güvenlik yazılımları, genellikle test sonuçlarında çok fazla yanlış pozitif sonuçlarına ulaşabilirler. Bu durumda da kullanıcıların daha az yanlış pozitif sonuçta bulunan yazılımlara yönelmesi yaşanır.
False Alarm Tests Archives
False alarms can sometimes cause as much troubles as a real infection. With AV testing it is important to measure not only detection capabilities but also reliability – one of reliability aspects is certainly product’s tendency to flag clean files as infected. These are FP addendum reports of...
www.av-comparatives.org
Bunun dışında biz kullanıcılar için sunulan ve birden fazla güvenlik motorunun bulunduğu VirusTotal sitesini kullanmak gayet yararlı olacaktır. Bu sayede hangi güvenlik motorunun ne anlamda yanlış pozitif yapabildiğini gözlemleyebilir hâle geliyorsunuz. Örneğin test sonuçlarından sürekli olarak başarılı bir istatistik alan güvenlik motoru tespit sonucunda bir problem bulmazken, testlere katılmamış olan bir antivirüs motoru (deneylerde yaşadığı deneyimsizlik ve gelişimsizlik yüzünden olabilir) tespit sonucunda yanlış pozitif sonucuna varabiliyor. Bu durumda tarama işlemi gerçekleştirdiğiniz veriye (dosyaya) tehdit olarak yaklaşan güvenlik yazılımını araştırmanız gerekiyor. Eğer bir sonuç bulamazsanız, aşağıdaki adımları da uygulayarak verinin (dosyanın) VirusTotal üzerinde yanlış pozitif olarak algılandığından emin olmaya başlayabilirsiniz. Adımların içerisinde yukarıda anlattığım madde de bulunmaktadır.
- Tarama işlemi gerçekleştirdiğiniz veriyi (dosyayı) tehdit olarak gören güvenlik yazılımı, bilindik ve tek başına tespitte bulunmuşsa.
- Tarama işlemi gerçekleştirdiğiniz veriyi (dosyayı) indirdiğiniz bağlantı adresinde, bilindik güvenlik yazılımları tarafından bir problem bulunmamışsa.
- Tarama işlemi gerçekleştirdiğiniz verinin (dosyanın) imzalandığı sertifikada bir problem bulunmuyorsa.
Makaleyi sonuna kadar okuduğunuz için teşekkür ederim. Bu makaleyi hazırlamamın amacı, son zamanlarda kullanıcıların güvenli olduklarını bildikleri yazılımları VirusTotal üzerinde tarama yaparken şüpheye düşmeleriydi. Çünkü kullanıcılar adını bilmedikleri veya testlerde hiç görmedikleri güvenlik yazılımlarının tespit sonucunda güvenli olan yazılımların tehdit içerdiğini görünce, şüpheye düşmeleri de gayet doğal oluyor. Konuda olabildiğince uzun ve herkesin anlayabileceği bir şekilde tanımlamaları yazmaya çalıştım. Kaynak kısmında da belirttiğim üzere sadece Malwarebytes'ın sunmuş olduğu blog yazısında kendi cümlelerime daha çok yer vererek anlatmaya çalıştım. Eğer konu hakkında yapılan bir yanlışlığı veya eksikliği görüyorsanız, konu içerisinde belirtebilirsiniz.
Yanlış pozitif sonucu konusunda faydalanılan kaynak: Explained: False positives - Malwarebytes Labs
Makale içerisinde kullanılan görsel: How artificial intelligence (AI) and machine learning change security's future