汪雄涛

互联网新威胁变种出现的速度,从2005年的每小时不到50个窜升到2007年的每小时600个。而到了2009年,新威胁变种出现的速度再度增长到每小时2000个。面对如此庞大的威胁,防毒产业的应变策略之一,就是更频繁地发布病毒码更新。

评测方法滞后

这几年来,许多厂商已从每周更新一次缩短到每日更新,甚至每半小时更新一次。除了提高更新频率之外,防毒厂商所开发的其他技术创新还有:更强的漏洞评估、行为分析,以及风险来源信誉评估服务。

与此同时,安全提供商正在不断增加和改进云端组件,以增强客户端检测技术,例如签名和启发式技术。这些基于URL和文件信誉的新恶意软件警告系统为客户端提供了另外一层防护。

这些技术创新的用意都是希望能够拦截之前没有见过、没有列入黑名单的新恶意软件。虽然防毒产品已开发出更有效的防护技巧,但大多数防毒产品的测试方法还是继续沿用老旧的方法,并且将防毒产品侦测恶意代码本身的能力与产品的防护能力画上等号。

然而,唯有将防毒产品拦截未知恶意软件的能力纳入测试当中,才能让客户真正掌握防毒产品的实际效能。

通常的测试方式是由测试机构架设一台计算机,将防毒软件安装入该台计算机中,并更新至最新病毒码,以确保该台计算机已在最新的防护状态。当准备完成后,该测试计算机的网络联机会被解除,之后将一组代码库复制到硬盘上。该测试是在封闭的环境内进行,受测试的计算机断开与互联网的连接。这重点考察的是防毒软件对于恶意档案的侦测率和误判率结果。

但是,一个完整的评鉴不应仅着重于扫瞄引擎的侦测率,这样不但会严重误导使用者,且对产品能力的呈现非常局限。就像我们在比较车辆的安全性时,我们不会仅看安全带而已,也会比较ABS、安全气囊数量、车体结构以及其他让车辆更安全的配备。

在线评测恶意URL拦截

面对今日惊人的因特网恶意软件更新速度,不少防毒厂商已经开发出从来源URL拦截恶意软件的技术。NSS Labs、West Coast Labs、Cascadia Labs这三家独立评测机构也提出了新的评测方法,并将防毒产品的评分标准进行了升级。

除了评测原有的恶意软件病毒侦测率之外,新的评测方法还多了一项恶意URL拦截能力的评比。从来源拦截恶意软件可提供更实时的防护,而且还可以让用户消耗更少的资源获得最新的防护能力。在防毒产品的评比测试当中纳入这一项额外防御能力的效能测试,对用户评估防毒产品真正防护能力非常重要。

2009年7月到8月,NSS Labs对反病毒/终端防护套件防范恶意软件的能力进行了一次横向评比。NSS Labs的实时测试针对用户可能遇到的最新威胁对产品进行评估,而不是像其他测试那样在内部实验室环境中用过时的病毒样本进行评估。

在NSS Labs的报告中可以看到,评测结果是基于17天的全天候测试中收集的实证证据得出。测试每隔8小时执行一次,离散测试超过59次,每次都增加最新的恶意URL。每个产品都更新至测试开始时可用的最新版本,并且在整个测试过程中可以实时访问互联网。

针对这种主动下载功能的评估结果是,趋势科技在下载时恶意软件捕获率达到92.2%,多于其后的两个竞争者卡巴斯基的82.4%和McAfee的79.0%。由于恶意软件有许多方法可以避开检测,因而阻止恶意代码执行更为困难。目前,Symantec在执行时检测性能最佳,其检测率高达14.9%,而卡巴斯基仅为6.7%。

当然,最理想的情况是在将恶意软件完全下载到客户端计算机之前,就将其检测出来,而这种多防护层评分方法,颠覆了传统的评测方式,甚至可以让我们看到何种威胁被哪一个防护层拦截到。