安全廠商質(zhì)疑反病毒軟件測(cè)試是否正確

1、安全廠商質(zhì)疑反病毒軟件測(cè)試是否正確    反病毒軟件更新太快，需要經(jīng)常測(cè)試其性能，所以人們想當(dāng)然的會(huì)選擇一款頂級(jí)的產(chǎn)品，想當(dāng)然的認(rèn)為大牌廠商的產(chǎn)品能夠包打天下。您也是這樣想的，對(duì)吧?但我認(rèn)為未必。隨著安全軟件的復(fù)雜度日益攀升，致使安全廠商抱怨現(xiàn)行的評(píng)測(cè)方式不足以測(cè)試計(jì)算機(jī)防護(hù)產(chǎn)品中應(yīng)用的新技術(shù)。    安全廠商和評(píng)測(cè)機(jī)構(gòu)之間的良好關(guān)系在評(píng)測(cè)失敗時(shí)，就會(huì)變得緊張起來(lái)。雙方的中介代理人也贊成對(duì)評(píng)測(cè)方法進(jìn)行全面改革，以使消費(fèi)者正確的對(duì)比產(chǎn)品的特性。賽門(mén)鐵克公司的反病毒工程師Mark Kennedy說(shuō)：“我不認(rèn)為有人會(huì)相信

2、現(xiàn)在的測(cè)試正確的反映了產(chǎn)品之間的區(qū)別”。    kennedy說(shuō)：賽門(mén)鐵克公司、F-Secure公司和Panda軟件公司的代表們上個(gè)月在冰島Reykjavik召開(kāi)的國(guó)際反病毒測(cè)試研討會(huì)上達(dá)成了共識(shí)，要重新設(shè)計(jì)測(cè)試方案以更好的體現(xiàn)防護(hù)軟件的性能。他們希望所有的安全廠商能夠共同出臺(tái)一個(gè)新的測(cè)試方案應(yīng)用于業(yè)界。初步方案應(yīng)該在9月份就能完成。傳統(tǒng)的測(cè)試方法是跑一些惡意軟件的樣本來(lái)測(cè)一下反病毒引擎，反病毒引擎包含一些指標(biāo)，通常稱(chēng)之為特征，通過(guò)這就可以識(shí)別出有害軟件。但是反病毒產(chǎn)品在最近幾年已經(jīng)發(fā)生了很大變化，McAfee Inc公司的安全系統(tǒng)工程師Toralv D

3、irro就說(shuō)：“現(xiàn)在許多產(chǎn)品有新的方法來(lái)檢測(cè)和阻止惡意軟件”?；谔卣鞯臋z測(cè)方法是重要的，但隨著惡意軟件的暴增，會(huì)導(dǎo)致檢測(cè)效率的下降，所以現(xiàn)在的安全廠商已經(jīng)對(duì)惡意軟件加入了多重防御方法。目前正在開(kāi)發(fā)的行為檢測(cè)技術(shù)，就可以根據(jù)計(jì)算機(jī)上的可疑行為來(lái)識(shí)別惡意軟件。    用戶(hù)不小心下載的惡意軟件可能通過(guò)基于特征的方法沒(méi)有檢測(cè)出來(lái)，沒(méi)關(guān)系，只要它開(kāi)始發(fā)送垃圾郵件，這個(gè)行為一旦被識(shí)別出來(lái)，就可以把它干掉。同樣的，一旦發(fā)現(xiàn)有程序嘗試進(jìn)行緩沖區(qū)溢出攻擊就馬上把它干掉。當(dāng)然基于主機(jī)的入侵防護(hù)系統(tǒng)，即有防火墻功能，又可以檢查可疑數(shù)據(jù)包，也可以阻止攻擊。造成計(jì)算機(jī)感染的原因

4、很多，這也使測(cè)試變得復(fù)雜。比如，可能是用戶(hù)自己打開(kāi)了惡意郵件的附件造成感染，也可能是訪問(wèn)了嵌有攻擊代碼的網(wǎng)頁(yè)造成感染。分析人士說(shuō)：不同的攻擊方式有不同的防御措施，區(qū)別對(duì)待才能比較正確地進(jìn)行測(cè)試。    另外，基于特征的測(cè)試至少要花5分鐘。“這是非?；A(chǔ)的測(cè)試，它很簡(jiǎn)單，而且便宜”，AV-T的Andreas如是說(shuō)(Andreas的碩士論文就是關(guān)于反病毒測(cè)試的)。在一個(gè)，對(duì)于惡意軟件的測(cè)試樣本來(lái)說(shuō)，跟那些互聯(lián)網(wǎng)上的攻擊樣本比起來(lái)要老很多。安全廠商認(rèn)為也應(yīng)該測(cè)一測(cè)安全軟件清除惡意軟件的能力。對(duì)于安全廠商來(lái)說(shuō)，一旦測(cè)試失敗，測(cè)試公司將測(cè)試結(jié)果發(fā)布出

5、來(lái)，這是很尷尬的。測(cè)試公司有很多賺錢(qián)方法，像AV-T通常跟一些科技雜志社像計(jì)算機(jī)世界(隸屬于IDG公司)都有生意往來(lái)，病毒公告的logo也授權(quán)給一些公司，在網(wǎng)上雜志上發(fā)布一個(gè)月，用于提升品質(zhì)。    這個(gè)月早些時(shí)候，Virus Bulletin雜志宣稱(chēng)在最新的一輪測(cè)試中有一些“大寫(xiě)名錯(cuò)誤”，涉及到卡巴斯基實(shí)驗(yàn)室和Grisoft SRO公司的產(chǎn)品。該雜志的VB100惡意軟件測(cè)試樣本是Wildlist國(guó)際組織收集的，這個(gè)組織是專(zhuān)門(mén)收集和研究惡意軟件。為了通過(guò)VB100測(cè)試，反病毒軟件必須能夠發(fā)現(xiàn)所有樣本。卡巴斯基的高級(jí)研究師在E-mail中寫(xiě)道

6、：卡巴斯基只是因?yàn)樵跍y(cè)試當(dāng)天輕易地、“選擇性”地把一個(gè)蠕蟲(chóng)病毒的特征去掉而沒(méi)有通過(guò)測(cè)試?，F(xiàn)在這個(gè)特征已經(jīng)加上了，郵件中還寫(xiě)道：“明顯的，我們本應(yīng)該通過(guò)。要是測(cè)試提前一天或推后一天，我們肯定就通過(guò)了?！?#160;   同樣的，F(xiàn)-Secure公司開(kāi)始也是因?yàn)榧夹g(shù)差異性失敗了。在測(cè)試過(guò)后，所有的安全廠商都會(huì)被告知哪些樣本測(cè)試失敗，因此，他們不得不又把這些特征給放到產(chǎn)品里去。    用戶(hù)該怎樣選擇呢?Virus Bulletin的技術(shù)顧問(wèn)John Hawes提醒說(shuō)：基于特征的測(cè)試并不能完全體現(xiàn)現(xiàn)實(shí)世界的多樣性。當(dāng)然Hawes也說(shuō)

7、基于特征的測(cè)試可以顯示出安全軟件的適應(yīng)性和一致性。Virus Bulletin寫(xiě)了一份關(guān)于反病毒產(chǎn)品的回顧，把可用性提到了跟檢測(cè)功能同等重要的位置。他們也在開(kāi)發(fā)更高級(jí)的測(cè)試方案來(lái)測(cè)試新的安全技術(shù)。Marx說(shuō)，AV-T正在廣泛開(kāi)展一種只包含30到50個(gè)測(cè)試樣本的測(cè)試方法，與其基于特征的測(cè)試方法相對(duì)應(yīng)，這樣的測(cè)試能夠更好的體現(xiàn)安全軟件的性能差異。    Marx還說(shuō)：至少，用戶(hù)應(yīng)該裝一些安全軟件，沒(méi)有它們計(jì)算機(jī)會(huì)面臨更高的風(fēng)險(xiǎn)。但對(duì)一些輕量級(jí)的互聯(lián)網(wǎng)應(yīng)用，裝一些免費(fèi)產(chǎn)品就可以了。    有意思的是，Marx本人從不裝任何反