网络威胁在互联网化,安全软件也走向互联网化,而与之相应,安全软件评测方法也应走向互联网化。
传统的安全软件评测方法
早在2008年,当趋势科技声言退出一项重量极的安全测试VB100时,就在业界引起了不小的轰动。当时趋势科技反恶意软件部门首席技术官Raimund Genes在接受采访中表示,“VB100的测试体系只是‘20世纪的测试标准’”,他认为“VB100的测试并不适应互联网发展的实际情况,而且基于数字签名的模式匹配和检测方法只是安全技术版图中的一小块,如果不将真正面向互联网时代的安全威胁的恶意软件行为分析技术纳入其中的话,那么VB100的测试体系就是不完整的”。正是基于这一理念,趋势科技宣布了退出VB100测试,而在此之前,趋势科技已先后数十次通过了该测试。
趋势科技退出VB100测试,或许可以认为是一项标志性的事件,Raimund Genes对VB100测试的看法,其实也说明了在安全软件的评测方法上目前普遍存在的一些问题。
安全软件评测方法的发展与病毒技术的发展、安全软件技术的发展之间的关系是分不开的。可以说,病毒技术的发展推动了安全软件技术的发展,安全软件技术的发展又促使病毒产生新的进化,而新的病毒技术和新的安全软件技术,则又呼唤新的安全软件评测方法来与之适应。
在早些年中,病毒还是相对比较孤立的,传播没有如今这样快,爆发数量也比较少。比如在2005年,互联网新病毒产生的速度,只有每小时不到50个。在这一时期,安全软件基本上是其于特征码检测技术的,它们将每一个病毒的特征码加入到病毒库中,从而对其进行查杀,事实上,从病毒产生,杀毒软件出现起,安全软件一直采用的就是这种查杀方法。
传统的检测率评测方法
而与之相应,安全软件杀毒能力的评测也就是比谁的病毒库最全,更新速度最快。具体到实际方法上,也就是收集近期的病毒样本及正常文件,然后使用受测防毒软件扫描病毒样本及正常文件,记录受测防毒软件检测出的病毒样本数量及正常文件数量,从而得出一个病毒检出率及正常文件误报率,最后再用病毒检中率减去误报率,得出一个最终的检测率来。在很长一段时间中,这一直是一个简单而有效的评测方法,这一方法长期以来也为各大安全软件评测机构所使用,并且一直沿用至今。
网友评论