反病毒軟體更新太快,需要經常
測試其性能,所以人們想當然的會選擇一款頂級的產品,想當然的認為大牌廠商的產品能夠包打天下。您也是這樣想的,對吧?但我認為未必。
隨著安全軟體的複雜度日益攀升,致使安全廠商抱怨現行的評測方式不足以測試電腦防護產品中應用的新技術。
安全廠商和評測機構之間的良好關係在評測失敗時,就會變得緊張起來。雙方的仲介代理人也贊成對評測方法進行全面改革,以使消費者正確的對比產品的特性。賽 門鐵克公司的反病毒工程師Mark Kennedy說:“我不認為有人會相信現在的測試正確的反映了產品之間的區別”。
kennedy說:賽門鐵克公司、
F-Secure公司和
Panda軟體公司的代表們上個月在冰島Reykjavik召開的國際反病毒測試研討會上達成了 共識,要重新設計測試方案以更好的體現防護軟體的性能。他們希望所有的安全廠商能夠共同出臺一個新的測試方案應用於業界。初步方案應該在9月份就能完成。 傳統的測試方法是跑一些惡意軟體的樣本來測一下反病毒引擎,反病毒引擎包含一些指標,通常稱之為特徵,通過這就可以識別出有害軟體。但是反病毒產品在最近 幾年已經發生了很大變化,McAfeeInc公司的安全系統工程師Toralv Dirro就說:“現在許多產品有新的方法來檢測和阻止惡意軟體”。基於特徵的檢測方法是重要的,但隨著惡意軟體的暴增,會導致檢測效率的下降,所以現在 的安全廠商已經對惡意軟體加入了多重防禦方法。目前正在開發的行為檢測技術,就可以根據電腦上的可疑行為來識別惡意軟體。
使用者不小心下載的惡意軟體可能通過基於特徵的方法沒有檢測出來,沒關係,只要它開始發送垃圾郵件,這個行為一旦被識別出來,就可以把它幹掉。同樣的,一旦 發現有程式嘗試進行緩衝區溢位攻擊就馬上把它幹掉。當然基於主機的入侵防護系統,即有
防火牆功能,又可以檢查可疑資料包,也可以阻止攻擊。造成電腦感染 的原因很多,這也使測試變得複雜。比如,可能是用戶自己打開了惡意郵件的附件造成感染,也可能是訪問了嵌有攻擊代碼的網頁造成感染。分析人士說:不同的攻 擊方式有不同的防禦措施,區別對待才能比較正確地進行測試。
另外,基於特徵的測試至少要花5分鐘。“這是非常基礎的測試,它很簡單,而且便宜”,AV-Test.org的Andreas如是說(Andreas的碩 士論文就是關於反病毒測試的)。在一個,對於惡意軟體的測試樣本來說,跟那些互聯網上的攻擊樣本比起來要老很多。安全廠商認為也應該測一測安全軟體清除惡 意軟體的能力。對於安全廠商來說,一旦測試失敗,測試公司將測試結果發佈出來,這是很尷尬的。測試公司有很多賺錢方法,像AV-Test.org通常跟一 些科技雜誌社像電腦世界(隸屬於IDG公司)都有生意往來,病毒公告的logo也授權給一些公司,在網上雜誌上發佈一個月,用於提升品質。
這個月早些時候,Virus Bulletin雜誌宣稱在最新的一輪測試中有一些“大寫名錯誤”,涉及到
卡巴斯基實驗室和Grisoft SRO公司的產品。該雜誌的VB100惡意軟體測試樣本是Wildlist國際組織收集的,這個組織是專門收集和研究惡意軟體。為了通過VB100測試, 反病毒軟體必須能夠發現所有樣本。
卡巴斯基的高級研究師在E-mail中寫道:
卡巴斯基只是因為在測試當天輕易地、“選擇性”地把一個蠕蟲病毒的特徵去掉 而沒有通過測試。現在這個特徵已經加上了,郵件中還寫道:“明顯的,我們本應該通過。要是測試提前一天或推後一天,我們肯定就通過了。”
同樣的,F-Secure公司開始也是因為技術差異性失敗了。在測試過後,所有的安全廠商都會被告知哪些樣本測試失敗,因此,他們不得不又把這些特徵給放到產品裡去。
用戶該怎樣選擇呢?Virus Bulletin的技術顧問John Hawes提醒說:基於特徵的測試並不能完全體現現實世界的多樣性。當然Hawes也說基於特徵的測試可以顯示出安全軟體的適應性和一致性。Virus Bulletin寫了一份關於反病毒產品的回顧,把可用性提到了跟檢測功能同等重要的位置。他們也在開發更高級的測試方案來測試新的安全技術。Marx 說,AV-Test.org正在廣泛開展一種只包含30到50個測試樣本的測試方法,與其基於特徵的測試方法相對應,這樣的測試能夠更好的體現安全軟體的 性能差異。
Marx還說:至少,使用者應該裝一些安全軟體,沒有它們電腦會面臨更高的風險。但對一些羽量級的互聯網應用,裝一些免費產品就可以了。
有意思的是,Marx本人從不裝任何反病毒軟體,因為AV-Test.org是收集惡意軟體的,大多從e-mail裡收集。“我每天能找到1,000個病毒,多多益善。
