云時(shí)代防病毒測評　方法亟待更新

汪雄濤

互聯(lián)網(wǎng)新威脅變種出現(xiàn)的速度,從2005年的每小時(shí)不到50個(gè)竄升到2007年的每小時(shí)600個(gè)。而到了2009年,新威脅變種出現(xiàn)的速度再度增長到每小時(shí)2000個(gè)。面對如此龐大的威脅,防毒產(chǎn)業(yè)的應(yīng)變策略之一,就是更頻繁地發(fā)布病毒碼更新。

評測方法滯后

這幾年來,許多廠商已從每周更新一次縮短到每日更新,甚至每半小時(shí)更新一次。除了提高更新頻率之外,防毒廠商所開發(fā)的其他技術(shù)創(chuàng)新還有:更強(qiáng)的漏洞評估、行為分析,以及風(fēng)險(xiǎn)來源信譽(yù)評估服務(wù)。

與此同時(shí),安全提供商正在不斷增加和改進(jìn)云端組件,以增強(qiáng)客戶端檢測技術(shù),例如簽名和啟發(fā)式技術(shù)。這些基于URL和文件信譽(yù)的新惡意軟件警告系統(tǒng)為客戶端提供了另外一層防護(hù)。

這些技術(shù)創(chuàng)新的用意都是希望能夠攔截之前沒有見過、沒有列入黑名單的新惡意軟件。雖然防毒產(chǎn)品已開發(fā)出更有效的防護(hù)技巧,但大多數(shù)防毒產(chǎn)品的測試方法還是繼續(xù)沿用老舊的方法,并且將防毒產(chǎn)品偵測惡意代碼本身的能力與產(chǎn)品的防護(hù)能力畫上等號。

然而,唯有將防毒產(chǎn)品攔截未知惡意軟件的能力納入測試當(dāng)中,才能讓客戶真正掌握防毒產(chǎn)品的實(shí)際效能。

通常的測試方式是由測試機(jī)構(gòu)架設(shè)一臺(tái)計(jì)算機(jī),將防毒軟件安裝入該臺(tái)計(jì)算機(jī)中,并更新至最新病毒碼,以確保該臺(tái)計(jì)算機(jī)已在最新的防護(hù)狀態(tài)。當(dāng)準(zhǔn)備完成后,該測試計(jì)算機(jī)的網(wǎng)絡(luò)聯(lián)機(jī)會(huì)被解除,之后將一組代碼庫復(fù)制到硬盤上。該測試是在封閉的環(huán)境內(nèi)進(jìn)行,受測試的計(jì)算機(jī)斷開與互聯(lián)網(wǎng)的連接。這重點(diǎn)考察的是防毒軟件對于惡意檔案的偵測率和誤判率結(jié)果。

但是,一個(gè)完整的評鑒不應(yīng)僅著重于掃瞄引擎的偵測率,這樣不但會(huì)嚴(yán)重誤導(dǎo)使用者,且對產(chǎn)品能力的呈現(xiàn)非常局限。就像我們在比較車輛的安全性時(shí),我們不會(huì)僅看安全帶而已,也會(huì)比較ABS、安全氣囊數(shù)量、車體結(jié)構(gòu)以及其他讓車輛更安全的配備。

在線評測惡意URL攔截

面對今日驚人的因特網(wǎng)惡意軟件更新速度,不少防毒廠商已經(jīng)開發(fā)出從來源URL攔截惡意軟件的技術(shù)。NSS Labs、West Coast Labs、Cascadia Labs這三家獨(dú)立評測機(jī)構(gòu)也提出了新的評測方法,并將防毒產(chǎn)品的評分標(biāo)準(zhǔn)進(jìn)行了升級。

除了評測原有的惡意軟件病毒偵測率之外,新的評測方法還多了一項(xiàng)惡意URL攔截能力的評比。從來源攔截惡意軟件可提供更實(shí)時(shí)的防護(hù),而且還可以讓用戶消耗更少的資源獲得最新的防護(hù)能力。在防毒產(chǎn)品的評比測試當(dāng)中納入這一項(xiàng)額外防御能力的效能測試,對用戶評估防毒產(chǎn)品真正防護(hù)能力非常重要。

2009年7月到8月,NSS Labs對反病毒/終端防護(hù)套件防范惡意軟件的能力進(jìn)行了一次橫向評比。NSS Labs的實(shí)時(shí)測試針對用戶可能遇到的最新威脅對產(chǎn)品進(jìn)行評估,而不是像其他測試那樣在內(nèi)部實(shí)驗(yàn)室環(huán)境中用過時(shí)的病毒樣本進(jìn)行評估。

在NSS Labs的報(bào)告中可以看到,評測結(jié)果是基于17天的全天候測試中收集的實(shí)證證據(jù)得出。測試每隔8小時(shí)執(zhí)行一次,離散測試超過59次,每次都增加最新的惡意URL。每個(gè)產(chǎn)品都更新至測試開始時(shí)可用的最新版本,并且在整個(gè)測試過程中可以實(shí)時(shí)訪問互聯(lián)網(wǎng)。

針對這種主動(dòng)下載功能的評估結(jié)果是,趨勢科技在下載時(shí)惡意軟件捕獲率達(dá)到92.2%,多于其后的兩個(gè)競爭者卡巴斯基的82.4%和McAfee的79.0%。由于惡意軟件有許多方法可以避開檢測,因而阻止惡意代碼執(zhí)行更為困難。目前,Symantec在執(zhí)行時(shí)檢測性能最佳,其檢測率高達(dá)14.9%,而卡巴斯基僅為6.7%。

當(dāng)然,最理想的情況是在將惡意軟件完全下載到客戶端計(jì)算機(jī)之前,就將其檢測出來,而這種多防護(hù)層評分方法,顛覆了傳統(tǒng)的評測方式,甚至可以讓我們看到何種威脅被哪一個(gè)防護(hù)層攔截到。