|
|
|
 |
|
反病毒軟件測試是否正確 安全廠商提質疑
|
|
來源:ZDNet 至頂網 2008-03-26 19:18:04
|
|
反病毒軟件更新太快,需要經常測試其性能,所以人們想當然的會選擇一款頂級的產品,想當然的認為大牌廠商的產品能夠包打天下。您也是這樣想的,對吧?但我認為未必。 隨著安全軟件的復雜度日益攀升,致使安全廠商抱怨現行的評測方式不足以測試計算機防護產品中應用的新技術。 安全廠商和評測機構之間的良好關系在評測失敗時,就會變得緊張起來。雙方的中介代理人也贊成對評測方法進行全面改革,以使消費者正確的對比產品的特性。賽門鐵克公司的反病毒工程師Mark Kennedy說:“我不認為有人會相信現在的測試正確的反映了產品之間的區別”。 kennedy說:賽門鐵克公司、F-Secure公司和Panda軟件公司的代表們上個月在冰島Reykjavik召開的國際反病毒測試研討會上達成了共識,要重新設計測試方案以更好的體現防護軟件的性能。他們希望所有的安全廠商能夠共同出臺一個新的測試方案應用于業界。初步方案應該在9月份就能完成。傳統的測試方法是跑一些惡意軟件的樣本來測一下反病毒引擎,反病毒引擎包含一些指標,通常稱之為特征,通過這就可以識別出有害軟件。但是反病毒產品在最近幾年已經發生了很大變化,McAfeeInc公司的安全系統工程師Toralv Dirro就說:“現在許多產品有新的方法來檢測和阻止惡意軟件”。基于特征的檢測方法是重要的,但隨著惡意軟件的暴增,會導致檢測效率的下降,所以現在的安全廠商已經對惡意軟件加入了多重防御方法。目前正在開發的行為檢測技術,就可以根據計算機上的可疑行為來識別惡意軟件。 用戶不小心下載的惡意軟件可能通過基于特征的方法沒有檢測出來,沒關系,只要它開始發送垃圾郵件,這個行為一旦被識別出來,就可以把它干掉。同樣的,一旦發現有程序嘗試進行緩沖區溢出攻擊就馬上把它干掉。當然基于主機的入侵防護系統,即有防火墻功能,又可以檢查可疑數據包,也可以阻止攻擊。造成計算機感染的原因很多,這也使測試變得復雜。比如,可能是用戶自己打開了惡意郵件的附件造成感染,也可能是訪問了嵌有攻擊代碼的網頁造成感染。分析人士說:不同的攻擊方式有不同的防御措施,區別對待才能比較正確地進行測試。 另外,基于特征的測試至少要花5分鐘。“這是非常基礎的測試,它很簡單,而且便宜”,AV-Test.org的Andreas如是說(Andreas的碩士論文就是關于反病毒測試的)。在一個,對于惡意軟件的測試樣本來說,跟那些互聯網上的攻擊樣本比起來要老很多。安全廠商認為也應該測一測安全軟件清除惡意軟件的能力。對于安全廠商來說,一旦測試失敗,測試公司將測試結果發布出來,這是很尷尬的。測試公司有很多賺錢方法,像AV-Test.org通常跟一些科技雜志社像計算機世界(隸屬于IDG公司)都有生意往來,病毒公告的logo也授權給一些公司,在網上雜志上發布一個月,用于提升品質。 這個月早些時候,Virus Bulletin雜志宣稱在最新的一輪測試中有一些“大寫名錯誤”,涉及到卡巴斯基實驗室和Grisoft SRO公司的產品。該雜志的VB100惡意軟件測試樣本是Wildlist國際組織收集的,這個組織是專門收集和研究惡意軟件。為了通過VB100測試,反病毒軟件必須能夠發現所有樣本。卡巴斯基的高級研究師在E-mail中寫道:卡巴斯基只是因為在測試當天輕易地、“選擇性”地把一個蠕蟲病毒的特征去掉而沒有通過測試。現在這個特征已經加上了,郵件中還寫道:“明顯的,我們本應該通過。要是測試提前一天或推后一天,我們肯定就通過了。” 同樣的,F-Secure公司開始也是因為技術差異性失敗了。在測試過后,所有的安全廠商都會被告知哪些樣本測試失敗,因此,他們不得不又把這些特征給放到產品里去。 用戶該怎樣選擇呢?Virus Bulletin的技術顧問John Hawes提醒說:基于特征的測試并不能完全體現現實世界的多樣性。當然Hawes也說基于特征的測試可以顯示出安全軟件的適應性和一致性。Virus Bulletin寫了一份關于反病毒產品的回顧,把可用性提到了跟檢測功能同等重要的位置。他們也在開發更高級的測試方案來測試新的安全技術。Marx說,AV-Test.org正在廣泛開展一種只包含30到50個測試樣本的測試方法,與其基于特征的測試方法相對應,這樣的測試能夠更好的體現安全軟件的性能差異。 Marx還說:至少,用戶應該裝一些安全軟件,沒有它們計算機會面臨更高的風險。但對一些輕量級的互聯網應用,裝一些免費產品就可以了。 有意思的是,Marx本人從不裝任何反病毒軟件,因為AV-Test.org是收集惡意軟件的,大多從e-mail里收集。“我每天能找到1,000個病毒,多多益善。” |
