云時代防病毒測評-方法亟待更新u盤防病毒

[云時代防病毒測評方法亟待更新]u盤防病毒互聯(lián)網(wǎng)新威脅變種出現(xiàn)的速度,從xx年的每小時不到50個竄升到xx年的每小時600個。而到了xx年,新威脅變種出現(xiàn)的速度再度增長到每小時2000個。面對如此龐大的威脅,防毒產(chǎn)業(yè)的應(yīng)變策略之一,就是更頻繁地發(fā)布病毒碼更新。評測方法滯后這幾年來,許多廠商已從每周更新一次縮短到每日更新,甚至每半小時更新一次。除了提高更新頻率之外,防毒廠商所開發(fā)的其他技術(shù)創(chuàng)新還有:更強(qiáng)的漏洞評估、行為分析,以及風(fēng)險信譽(yù)評估服務(wù)。與此同時,安全提供商正在不斷增加和改進(jìn)云端組件,以增強(qiáng)客戶端檢測技術(shù),例如簽名和啟發(fā)式技術(shù)。這些基于URL和文件信譽(yù)的新惡意軟件警告系統(tǒng)為客戶端提供了另外一層防護(hù)。這些技術(shù)創(chuàng)新的用意都是希望能夠攔截之前沒有見過、沒有列入黑名單的新惡意軟件。雖然防毒產(chǎn)品已開發(fā)出更有效的防護(hù)技巧,但大多數(shù)防毒產(chǎn)品的測試方法還是繼續(xù)沿用老舊的方法,并且將防毒產(chǎn)品偵測惡意代碼本身的能力與產(chǎn)品的防護(hù)能力畫上等號。然而,唯有將防毒產(chǎn)品攔截惡意軟件的能力納入測試當(dāng)中,才能讓客戶真正掌握防毒產(chǎn)品的實(shí)際效能。通常的測試方式是由測試機(jī)構(gòu)架設(shè)一臺計算機(jī),將防毒軟件安裝入該臺計算機(jī)中,并更新至最新病毒碼,以確保該臺計算機(jī)已在最新的防護(hù)狀態(tài)。當(dāng)準(zhǔn)備完成后,該測試計算機(jī)的網(wǎng)絡(luò)聯(lián)機(jī)會被解除,之后將一組代碼庫復(fù)制到硬盤上。該測試是在封閉的環(huán)境內(nèi)進(jìn)行,受測試的計算機(jī)斷開與互聯(lián)網(wǎng)的連接。這重點(diǎn)考察的是防毒軟件對于惡意檔案的偵測率和誤判率結(jié)果。但是,一個完整的評鑒不應(yīng)僅著重于掃瞄引擎的偵測率,這樣不但會嚴(yán)重誤導(dǎo)使用者,且對產(chǎn)品能力的呈現(xiàn)非常局限。就像我們在比較車輛的安全性時,我們不會僅看安全帶而已,也會比較ABS、安全氣囊數(shù)量、車體結(jié)構(gòu)以及其他讓車輛更安全的配備。在線評測惡意URL攔截面對今日驚人的因特網(wǎng)惡意軟件更新速度,不少防毒廠商已經(jīng)開發(fā)出從URL攔截惡意軟件的技術(shù)。NSSLabs、WestCoastLabs、CascadiaLabs這三家獨(dú)立評測機(jī)構(gòu)也提出了新的評測方法,并將防毒產(chǎn)品的評分標(biāo)準(zhǔn)進(jìn)行了升級。除了評測原有的惡意軟件病毒偵測率之外,新的評測方法還多了一項惡意URL攔截能力的評比。從攔截惡意軟件可提供更實(shí)時的防護(hù),而且還可以讓用戶消耗更少的資源獲得最新的防護(hù)能力。在防毒產(chǎn)品的評比測試當(dāng)中納入這一項額外防御能力的效能測試,對用戶評估防毒產(chǎn)品真正防護(hù)能力非常重要。xx年7月到8月,NSSLabs對反病毒/終端防護(hù)套件防范惡意軟件的能力進(jìn)行了一次橫向評比。NSSLabs的實(shí)時測試針對用戶可能遇到的最新威脅對產(chǎn)品進(jìn)行評估,而不是像其他測試那樣在內(nèi)部實(shí)驗室環(huán)境中用過時的病毒樣本進(jìn)行評估。在NSSLabs的報告中可以看到,評測結(jié)果是基于17天的全天候測試中收集的實(shí)證證據(jù)得出。測試每隔8小時執(zhí)行一次,離散測試超過59次,每次都增加最新的惡意URL。每個產(chǎn)品都更新至測試開始時可用的最新版本,并且在整個測試過程中可以實(shí)時訪問互聯(lián)網(wǎng)。針對這種主動下載功能的評估結(jié)果是,趨勢科技在下載時惡意軟件捕獲率達(dá)到92.2%,多于其后的兩個競爭者卡巴斯基的82.4%和McAfee的79.0%。由于惡意軟件有許多方法可以避開檢測,因而阻止惡意代碼執(zhí)行更為困難。目前,Symantec在執(zhí)行時檢測性能最佳,其檢測率高達(dá)14.9%,而卡巴斯基僅為6.7%。當(dāng)然,最理想的情況是在將惡意軟件完全下載到客戶端