新网络威胁形势下评测杀毒软件
当前杀毒软件的评测方法,最主要的方式还是测试杀毒软件对大量病毒样本的识别率。既测试机构建立一定数量级别的病毒样本库,让被测杀毒软件扫描此病毒样本库,看其是否能够全部正确识别并正确处理。
目前国际知名的五大评测机构Wildlist、Virus Bulletin、AV-Comparatives、ICSA、WestCoastLabs采用的主要都是基于检测率测试的测评方法。其会收集近期的病毒样本和正常文件,使用受测防毒软件扫描病毒样本,记录受测防毒软件检测出的病毒样本数量。同时使用受测防毒软件扫描正常文件,记录受测防毒软件检测出的正常文件数量。然后计算“病毒检出率”(病毒检出率=检测出的病毒样本数量/病毒样本总量)、“误报率”(误报率=检测出的正常文件数量/正常文件总量),由二者的差值得出受测防毒软件的检测率(受测防毒软件的检测率=病毒检出率-误报率),以此进行评分。
这一评测方法是基于之前病毒木马主要通过文件进行传播的缘故,更确切的说,是由于以前的病毒木马主要通过光盘、软盘上的带毒文件,进入用户计算机。当前所有杀毒软件的基础防范病毒方法论,也是由此而产生。引导区病毒,就是这类传播方式的典型病毒代表。而随着病毒木马恶意软件传播方式、传播渠道的转变,引导区类病毒基本已经绝迹。在今天,人们更多面临的是网页挂马这一新的病毒威胁传播方式。病毒的传播方式、传播途径在发生变化,那么杀毒软件的评测方法是否也应该与时俱进呢?
新网络威胁形势下评测杀毒软件
当前,病毒行为发生了极大的变化,互联网正在成为病毒的主要传播途径。2007年,Williamson和 Gorelik就在一篇文章中写道:“今天的防毒产品迫切需要一种全新的标准。目前主流的典范,也就是扫瞄目录中的文件,是针对旧式的已知威胁而设计,对于产品在真实世界的防护能力代表性有限。”[1]
实际上,针对病毒传播渠道变成以互联网为主这一变化,各大杀毒软件防病毒产品生产厂商均对其产品进行了调整,增加了相关的防护、检测、监测模块、功能。那么当病毒的传播方式发生变化时,对于杀毒软件的评测方式是否也应该有所转变?
NSS Labs、West Coast Labs、Cascadia Labs等评测机构还在进行可以测试防毒产品多防护层扫描技术的防护性测试,其会将个人电脑连接到互联网,并且测试会持续一段时间,评测出厂商收集、分析和拦截新威胁的能力。如果防毒产品在任意一防护层拦截住威胁,防护性测试均可以给予防毒产品合适的评测分数。通过模仿真实环境效果,可以更加有效地测试出针对当前威胁解决方案的有效性。
有效检测安全软件性能
测试隐藏于网络中的恶意挂马链接URL
2009年7月至8月期间,NSS Labs完成了产业界最接近真实世界的防毒/终端保护套装的测试。NSS Labs的实况测试在最接近用户真实环境的测试环境中进行,使用最新的威胁,而不是在封闭测试环境中,使用陈旧的或者存在问题的样本做测试。
这项测试的结果是根据为期17天的24小时不间断测试所得出的实证数据,在此期间,每8小时就会完成一轮59项独立测试,每一轮都会加入新的恶意程序URL。每个受测产品在测试开始之前都会先更新到最新版本,并且在整个测试过程中被允许访问互联网。
简单的说,就是把所有受测对象直接面对真实的网络环境,访问相同的网络内容,检测受测对象对正常网络URL链接和有问题恶意挂马网络URL链接的识别率。某种角度而言,这类似于在检测受测对象病毒库之外的恶意链接URL库。
在这种测试中主要检测两个数据:检测率、响应时间。前者主要看受测对象能够正确识别出多少恶意挂马URL链接;后者主要看受测对象需要多长时间才能最快发现恶意挂马URL链接,并将其收录入URL库黑名单中,而当黑名单中的URL链接已经清除威胁处于安全状态,还需要受测对象能将其及时排除出URL库黑名单,并将这些信息通过服务器反馈给客户端。通俗的说,就是要受测对象能够及时告知用户,哪些链接以前可以访问,现在不能访问;哪些链接以前不能访问,现在能够访问。
有效检测安全软件性能
2009年安全威胁的主题词是“挂马”,那么衡量一款安全软件性能的标准除了病毒查杀能力,对恶意URL链接的鉴别能力也应该是考虑的因素之一。
随着网络的快速发展,安全威胁也在不断演变,危险总是来自于让人意想不到的地方。安全软件为了应对这些威胁在不断改进升级,那么为了有效检测安全软件性能,针对其的评测方法也应该因应形势的发展不断进行调整。新网络威胁形势下,需要对安全软件进行更有效地评测。
网友评论