汪雄濤

互聯(lián)網(wǎng)新威脅變種出現(xiàn)的速度,從2005年的每小時不到50個竄升到2007年的每小時600個。而到了2009年,新威脅變種出現(xiàn)的速度再度增長到每小時2000個。面對如此龐大的威脅,防毒產(chǎn)業(yè)的應(yīng)變策略之一,就是更頻繁地發(fā)布病毒碼更新。

評測方法滯后

這幾年來,許多廠商已從每周更新一次縮短到每日更新,甚至每半小時更新一次。除了提高更新頻率之外,防毒廠商所開發(fā)的其他技術(shù)創(chuàng)新還有:更強的漏洞評估、行為分析,以及風險來源信譽評估服務(wù)。

與此同時,安全提供商正在不斷增加和改進云端組件,以增強客戶端檢測技術(shù),例如簽名和啟發(fā)式技術(shù)。這些基于URL和文件信譽的新惡意軟件警告系統(tǒng)為客戶端提供了另外一層防護。

這些技術(shù)創(chuàng)新的用意都是希望能夠攔截之前沒有見過、沒有列入黑名單的新惡意軟件。雖然防毒產(chǎn)品已開發(fā)出更有效的防護技巧,但大多數(shù)防毒產(chǎn)品的測試方法還是繼續(xù)沿用老舊的方法,并且將防毒產(chǎn)品偵測惡意代碼本身的能力與產(chǎn)品的防護能力畫上等號。

然而,唯有將防毒產(chǎn)品攔截未知惡意軟件的能力納入測試當中,才能讓客戶真正掌握防毒產(chǎn)品的實際效能。

通常的測試方式是由測試機構(gòu)架設(shè)一臺計算機,將防毒軟件安裝入該臺計算機中,并更新至最新病毒碼,以確保該臺計算機已在最新的防護狀態(tài)。當準備完成后,該測試計算機的網(wǎng)絡(luò)聯(lián)機會被解除,之后將一組代碼庫復制到硬盤上。該測試是在封閉的環(huán)境內(nèi)進行,受測試的計算機斷開與互聯(lián)網(wǎng)的連接。這重點考察的是防毒軟件對于惡意檔案的偵測率和誤判率結(jié)果。

但是,一個完整的評鑒不應(yīng)僅著重于掃瞄引擎的偵測率,這樣不但會嚴重誤導使用者,且對產(chǎn)品能力的呈現(xiàn)非常局限。就像我們在比較車輛的安全性時,我們不會僅看安全帶而已,也會比較ABS、安全氣囊數(shù)量、車體結(jié)構(gòu)以及其他讓車輛更安全的配備。

在線評測惡意URL攔截

面對今日驚人的因特網(wǎng)惡意軟件更新速度,不少防毒廠商已經(jīng)開發(fā)出從來源URL攔截惡意軟件的技術(shù)。NSS Labs、West Coast Labs、Cascadia Labs這三家獨立評測機構(gòu)也提出了新的評測方法,并將防毒產(chǎn)品的評分標準進行了升級。

除了評測原有的惡意軟件病毒偵測率之外,新的評測方法還多了一項惡意URL攔截能力的評比。從來源攔截惡意軟件可提供更實時的防護,而且還可以讓用戶消耗更少的資源獲得最新的防護能力。在防毒產(chǎn)品的評比測試當中納入這一項額外防御能力的效能測試,對用戶評估防毒產(chǎn)品真正防護能力非常重要。

2009年7月到8月,NSS Labs對反病毒/終端防護套件防范惡意軟件的能力進行了一次橫向評比。NSS Labs的實時測試針對用戶可能遇到的最新威脅對產(chǎn)品進行評估,而不是像其他測試那樣在內(nèi)部實驗室環(huán)境中用過時的病毒樣本進行評估。

在NSS Labs的報告中可以看到,評測結(jié)果是基于17天的全天候測試中收集的實證證據(jù)得出。測試每隔8小時執(zhí)行一次,離散測試超過59次,每次都增加最新的惡意URL。每個產(chǎn)品都更新至測試開始時可用的最新版本,并且在整個測試過程中可以實時訪問互聯(lián)網(wǎng)。

針對這種主動下載功能的評估結(jié)果是,趨勢科技在下載時惡意軟件捕獲率達到92.2%,多于其后的兩個競爭者卡巴斯基的82.4%和McAfee的79.0%。由于惡意軟件有許多方法可以避開檢測,因而阻止惡意代碼執(zhí)行更為困難。目前,Symantec在執(zhí)行時檢測性能最佳,其檢測率高達14.9%,而卡巴斯基僅為6.7%。

當然,最理想的情況是在將惡意軟件完全下載到客戶端計算機之前,就將其檢測出來,而這種多防護層評分方法,顛覆了傳統(tǒng)的評測方式,甚至可以讓我們看到何種威脅被哪一個防護層攔截到。