问题标签 [false-positive]

这个问题是关于一整类类似的问题，但我会作为一个具体的例子来问它。

我有一个带有内容波动的文件系统的服务器。我需要监视此文件系统上的可用空间，以确保它不会被填满。为了争论，我们假设如果它填满，服务器就会宕机。

它是什么并不重要——例如，它可能是一个“工作”队列。

在“正常”操作期间，可用空间在“正常”范围内变化，但可能会出现以下问题：

• 增加工作的其他一些（可能是外部的）组件可能会失控
• 一些删除工作的组件卡住了，但仍未被发现

该过程的统计特征基本上是未知的。

我正在寻找的是一种算法，该算法将可用空间的定时定期测量作为输入（欢迎对输入的替代建议），并在事情“异常”并且文件系统为“可能会填满”。避免误报显然很重要，但几乎同样重要的是避免误报，以避免使接到警报的系统管理员的大脑麻木。

我很欣赏有替代解决方案，例如在潜在问题上投入更多存储空间，但我实际上经历过 1000 次还不够的情况。

考虑存储的历史测量值的算法很好，尽管最小化历史数据量的动态算法是首选。

我已经接受了弗兰克的回答，现在我要回到绘图板上深入研究他的参考资料。

我认为，有三种情况很有趣，但不按顺序排列：

1. “Harrods's Sale 刚刚开始”情景：以一秒的分辨率出现的活动高峰“脱离了表盘”，但并不代表资源枯竭的真正危险；
2. “全球变暖”情景：需要规划（相对）稳定的增长；和
3. “Google 主动向我发送了一份索引副本”场景：这将在相对较短的时间内耗尽我的所有资源，除非我采取措施阻止它。

从系统管理员的角度来看，这是（我认为）最有趣和最具挑战性的最后一个。

我经常看到这种情况发生：我在 Delphi 中编写了一个应用程序，当我编译它时，病毒扫描程序告诉我我已经创建了病毒，然后立即再次删除了可执行文件。通过进行完全重建，首先删除 *.dcu 文件，有时只需等待，这很烦人但很容易解决。

据我所知，它发生在 Delphi 6、7、2005 和 2007 上。赛门铁克、卡巴斯基、迈克菲和 NOD32 都因报告这些误报而犯了罪。我知道这是因为 Delphi 在其 DCU 文件中添加了时间戳，这些时间戳最终出现在最终的可执行文件中，并且显然似乎是某些随机病毒签名的一部分。

我不想禁用病毒扫描程序，即使是单个文件夹或文件也不行。而且我并不是真的想要一个解决方案，但我想知道以下几点：

• 其他编译器也会出现这些误报吗？
• .NET 可执行文件也会发生这种情况吗？
• 其他人是否也注意到 Delphi 的类似问题？

我有一个使用 SMTPClient 发送电子邮件的简单 .NET 应用程序。

我从本地服务器上经过身份验证的帐户发送 SPF 记录，而主机 (gogrid) 不确定他们还能做些什么来解决问题。

来自我的简单应用程序的任何电子邮件都被标记为垃圾邮件，但使用该 smtp 服务器或通过 squirrelmail 等发送的任何其他电子邮件都可以正常发送。所以肯定有一些像 squirrelmail 这样的应用程序正在做的事情，我错过了。

有没有其他人遇到和/或解决过这个问题？

我有一个是/否分类问题，其中误报比误报更糟糕。

有没有办法在神经网络中实现这一事实，尤其是在 MATLAB 的神经网络工具箱中？

我的程序从 AVG 得到误报。它只是我们公司品牌的 Ultra VNC 版本。只有这家公司将其识别为病毒，而且我们使用该程序的同一副本已经将近一年了。我知道可以告诉这个防病毒程序 VNC 客户端是安全的，但我不能对我们所有的客户端都这样做。我试图找到一种方法与这家公司联系，看看他们是否可以采取措施防止这种情况发生，但我一无所获。有没有人在他们的软件中遇到过这个问题，找到了解决方案？

我刚刚遇到了一个烦人的问题。突然， Avira AntiVir开始将我软件中的一个可执行文件标记为病毒。

由于几乎所有用户的默认操作是单击“确定”并且 Avira 建议将病毒隔离，因此我的大多数用户都在删除此可执行文件。

好吧，我们不要自大，检查一下我是否真的被感染了。我将文件发布到http://www.virustotal.com并且在所有防病毒软件中，只有 Avira 将其标记为受感染。此外，我用两种不同的防病毒软件扫描了我的电脑，它是干净的。

我已经向我的用户发布了一封邮件，解释了正在发生的事情，但这对我的支持来说是一个开销，我真的不想要。

好的，问题是：有没有办法避免这种行为？除了签署文件之外，我想不出任何办法，（真的不知道它是否会解决）但让我们看看你是否有任何创意。

在有关 testing 的 spring 文档中，它指出：

测试 ORM 代码时避免误报

当您测试涉及 ORM 框架（如 JPA 或 Hibernate）的代码时，请在更新会话状态的测试方法中刷新底层会话。未能刷新 ORM 框架的底层会话可能会产生误报：您的测试可能会通过，但相同的代码会在实时生产环境中引发异常。在以下基于 Hibernate 的示例测试用例中，一种方法演示了误报，另一种方法正确公开了刷新会话的结果。

有人可以解释为什么我需要调用flush吗？

我正在使用 FlashDevelop 进行设置，当我的 Windows Security Essentials 说 Lineage.gen 卡在我的win32下载安装程序中的目录（我什至还没有运行它）。我是从错误的网站下载的吗？是误报吗？

我有一个简单的 JSON 词法分析器类；它需要 astring并生成一个IJSONValue; 有IJSONValue一个ToJSONString返回有效 JSON 字符串的方法。

当然，它的代码非常复杂，有很多分支。这就是为什么我认为这将是测试 Pex 能力的理想场所。我创建了以下测试：

在此运行 Pex，我发现了一些与 null 处理无关的问题，我已经修复了这些问题。但是，我也有很多方法报告没有意义的异常。它们看起来像这样：

然而，这与我知道有效的测试之一非常相似。我在调试器中和调试器外部运行它，在这两种情况下测试都通过了。最令人难以置信的是，异常文本实际上是有道理的；Constant如果正则表达式与字符串不匹配，则会报告该文本"false"。对于其他正则表达式不匹配，我得到了类似的例外，这是没有意义的。

为什么 Pex 认为这会引发异常？仪器是否混乱ThreadLocal或Regex以一种奇怪的方式？这就是我的正则表达式持有类的样子（为简洁起见，对正则表达式进行了编辑）。

我的一个应用程序使用的数据文件最近被 Symantec Antivirus 隔离（触发的签名是“Nightfall.5815”）。文件是动态读写的，内容是任意数据。

我的应用程序有什么办法可以避免这些文件触发 AV 扫描吗？

我知道其他关于误报的 SO 问题，但它们似乎主要与可执行文件和 Delphi 有关。此类问题的许多答案都涉及联系 AV 供应商以报告误报。就我而言，这是一个我需要防止隔离的任意数据文件，因此我不确定单个报告和解决方案是否会阻止我将来再次触发。我很感兴趣是否有任何通用方法可以从应用程序的角度避免这种情况（不同的文件权限、更改文件格式），或者是否有办法通过可能从扫描中排除目录来解决这个问题。