新网络威胁形势下评测杀毒软件
当前杀毒软件的评测方法,最主要的方式还是测试杀毒软件对大量病毒样本的识别率。既测试机构建立一定数量级别的病毒样本库,让被测杀毒软件扫描此病毒样本库,看其是否能够全部正确识别并正确处理。
目前国际知名的五大评测机构Wildlist、Virus Bulletin、AV-Comparatives、ICSA、WestCoastLabs采用的主要都是基于检测率测试的测评方法。其会收集近期的病毒样本和正常文件,使用受测防毒软件扫描病毒样本,记录受测防毒软件检测出的病毒样本数量。同时使用受测防毒软件扫描正常文件,记录受测防毒软件检测出的正常文件数量。然后计算“病毒检出率”(病毒检出率=检测出的病毒样本数量/病毒样本总量)、“误报率”(误报率=检测出的正常文件数量/正常文件总量),由二者的差值得出受测防毒软件的检测率(受测防毒软件的检测率=病毒检出率-误报率),以此进行评分。
这一评测方法是基于之前病毒木马主要通过文件进行传播的缘故,更确切的说,是由于以前的病毒木马主要通过光盘、软盘上的带毒文件,进入用户计算机。当前所有杀毒软件的基础防范病毒方法论,也是由此而产生。引导区病毒,就是这类传播方式的典型病毒代表。而随着病毒木马恶意软件传播方式、传播渠道的转变,引导区类病毒基本已经绝迹。在今天,人们更多面临的是网页挂马这一新的病毒威胁传播方式。病毒的传播方式、传播途径在发生变化,那么杀毒软件的评测方法是否也应该与时俱进呢?
新网络威胁形势下评测杀毒软件
当前,病毒行为发生了极大的变化,互联网正在成为病毒的主要传播途径。2007年,Williamson和 Gorelik就在一篇文章中写道:“今天的防毒产品迫切需要一种全新的标准。目前主流的典范,也就是扫瞄目录中的文件,是针对旧式的已知威胁而设计,对于产品在真实世界的防护能力代表性有限。”[1]
实际上,针对病毒传播渠道变成以互联网为主这一变化,各大杀毒软件防病毒产品生产厂商均对其产品进行了调整,增加了相关的防护、检测、监测模块、功能。那么当病毒的传播方式发生变化时,对于杀毒软件的评测方式是否也应该有所转变?
NSS Labs、West Coast Labs、Cascadia Labs等评测机构还在进行可以测试防毒产品多防护层扫描技术的防护性测试,其会将个人电脑连接到互联网,并且测试会持续一段时间,评测出厂商收集、分析和拦截新威胁的能力。如果防毒产品在任意一防护层拦截住威胁,防护性测试均可以给予防毒产品合适的评测分数。通过模仿真实环境效果,可以更加有效地测试出针对当前威胁解决方案的有效性。
网友评论