整体防护与恶意软件的平均阻止率
1、整体防护
下面的表格和图表总结了针对基于 Web 的恶意软件攻击载体的总体防护的两个重要因素。"下载时捕获"可防止恶意软件下载到计算机上。对于通过这第一道防线的恶意软件,我们还评估了"执行时捕获"百分比。整体防护由下载层防护和执行层防护构成。
图1
下面的图表中说明了下载、执行和总分之间的关系。右上角位置表示最好。测试中重现实际的用户行为:先从 Internet 下载恶意软件,然后执行它。下载时的平均阻止率为 73.9%,总阻止率为 78.3%。
2、恶意软件的平均阻止率
图2
持续阻止带有恶意软件的 URL
3、产品导向
图3
4、持续阻止带有恶意软件的 URL
衡量阻止各个 URL 的能力仅代表一个方面。在日常使用环境中,用户会访问大量变化迅速的网站。因此,在任意给定的时间,可用的恶意 URL 集不断演化,持续阻止这些网站就是衡量有效性的重要标准。因而,NSSL Labs 每隔八个小时测试一组实时 URL。下面的表和图中显示了在整个测试期间对阻止的重复评估。每个分数代表在给定时间点的防护水平。
图4
请注意,平均防护百分比会因多种原因与唯一 URL 的结果有所不同。首先,该数据包括对 URL 的多次测试。因而如果阻止 URL 的时间早,分数就会提高。如果 URL 被遗漏,就会降低分数。因而将长时间内各个 URL 测试的结果综合在一起来确定防护级别。这就回答了"在给定的时间 AV 产品可以提供哪种防护?"这个问题。
主动和执行防护
5、主动和执行防护
在将恶意软件完全下载到客户端计算机之前,就将其检测出来,这是最理想的情况。针对这种主动下载功能的评估结果是,趋势科技在下载时捕获的恶意软件 (92.2%) 远多于其后的两个竞争者 卡巴斯基(82.4%) 和 迈克菲(79.0%)。
如果不慎下载了恶意文件,则安全产品的目标是阻止恶意代码执行。由于恶意软件有许多方法可以避开检测,因而阻止恶意代码执行更为困难。下表中的"执行时的捕获率"一列与"下载时的捕获率"一列相加,即为"总捕获率"。目前,赛门铁克 的执行时检测性能最佳,其检测率高达 14.9%,总捕获率排名位列第 3。
图5
6、阻止恶意软件的平均响应时间
为了保护大多数用户,信誉系统必须快速而准确。下表回答了这样一个问题:平均要经过多长时间,才会将受访的恶意网站添加到阻止列表?下表显示了将恶意网站引入测试集后,阻止该网站所花费的平均时间(仅针对测试过程中阻止该网站的情况)。未阻止的网站不算在内。
下表中的值是在给定环境下的整体阻止率,因此,如果某个产品阻止了 100% 的恶意软件,但花费了 240 小时(10 天),则实际上所提供的防护水平低于整体阻止率为 70% 且平均响应时间为 10 小时的产品。
图6
阻止网站的平均用时(如果是完全阻止)为 48.8 小时。由此可见,趋势科技、Eset、F-Secure、Norman、熊猫和 Sophos 在添加新的阻止网站方面高于平均水平。
产品评估
7、产品评估
下面对测试数据和分析按产品进行了汇总。NSS Labs 的评估稍微侧重于延时防护,因为这可以最真实地反映现实中长时间使用的情况。
图7
产品按照排名顺序列出,排名顺序的根据是产品的得分及其指导级别(推荐、中立或注意)。
网友评论