獨家專訪趨勢科技:傳統(tǒng)評測方法已過時
原創(chuàng)【51CTO.com 獨家特稿】今年早些時候,一家專注于評測各種軟硬件、消費電子產(chǎn)品和互聯(lián)網(wǎng)服務(wù)的技術(shù)網(wǎng)站ToptenReviews評出了2009年度世界頂級殺毒軟件排名。有意思的是賽門鐵克、McAfee、趨勢科技均跌出前十,而來自羅馬尼亞的BitDefender卻衛(wèi)冕成功,國內(nèi)殺毒軟件則無一進榜。這對于全球知名的三家安全廠商來說,無疑是個笑話。
ToptenReviews網(wǎng)站以每年評出的世界殺毒軟件排行榜而聞名,評測涵蓋了反病毒、反間諜軟件、互聯(lián)網(wǎng)安全套裝、隱私保護等項目。但是此評測在業(yè)界的可靠性和可信度并不高,不能與VB100、WCL(West Coast Labs)等專業(yè)評測機構(gòu)相提并論。
那么VB100、WCL這些專業(yè)而知名的評測機構(gòu)就能反映安全軟件的真實水平了么?其實也不盡然,起碼在一些安全廠商看來不是這樣的。早在2008年作為全球安全市場份額前三甲的廠商趨勢科技就對VB100的評測提出質(zhì)疑,對其評測方法嗤之以鼻,并退出了病毒評測。而前不久,趨勢科技聲稱VB100的評測方法落后。其主要原因是趨勢科技認為目前VB100的測試方法已經(jīng)與惡意程序的發(fā)展趨勢嚴重脫節(jié),不能反映安全軟件或防護技術(shù)的真實水平。
這在安全業(yè)界引起了不小的風(fēng)浪,一方面趨勢科技認為,像VB100這樣對Wildlist提供的病毒樣本進行靜態(tài)掃描的評測方法,根本無法真實反映云安全技術(shù)或產(chǎn)品的實際價值;另一方面VB100則認為,認證的目的在于反映殺毒軟件最基礎(chǔ)、最普遍的本地系統(tǒng)防護功能,言外之意沒通過VB100認證的,至少可以斷定這款殺毒軟件最基本的系統(tǒng)防護能力不足。
過時的傳統(tǒng)評測方法應(yīng)與時俱進
之所以出現(xiàn)這兩種聲音,關(guān)鍵在于評測方法上。熟悉安全軟件評測的人都知道,傳統(tǒng)的測試方法主要是依靠收集的病毒樣本和正常文件,在封閉的環(huán)境中用防毒軟件掃描病毒樣本和正常文件,從而得到病毒檢測率和正常文件的誤報率。而這兩項數(shù)據(jù)在很長一段時間內(nèi)成為衡量某一款殺毒軟件防護能力的重要指標。
趨勢科技公司防病毒分析師谷亮認為針對目前的安全威脅,這種測試方法已經(jīng)明顯過時,不能真實地反映一款防毒軟件的優(yōu)劣。據(jù)谷亮介紹,2008年全年新增1000多萬只病毒,平均每小時新增差不多2000多只病毒,而且92%的病毒是通過互聯(lián)網(wǎng)傳播的。而由于可供測試的樣本數(shù)量有限,很難代表龐大的病毒總體,此時再用傳統(tǒng)測試方法就顯得不合適了。
病毒和惡意程序數(shù)量暴增,已是不爭的事實,用單一的病毒特征碼來抵御病毒,顯得太過被動。所以,業(yè)界很多廠商針對這樣的情況,也紛紛研發(fā)新的安全防護技術(shù),比如基于URL過濾的Web信譽、黑白名單比對等技術(shù)。而這些新技術(shù)的特點就是充分利用了互聯(lián)網(wǎng)資源和云計算的優(yōu)勢,與傳統(tǒng)的病毒特征碼一起,構(gòu)建一個多層次的防御體系。但問題是,這樣的技術(shù)所衍生出來的產(chǎn)品,利用傳統(tǒng)的測試方法,是否能衡量出防毒產(chǎn)品的優(yōu)劣呢?在谷亮看來,顯然是不能的。他坦言,這也是傳統(tǒng)測試方法的弊端所在,正是因為傳統(tǒng)的測試方法無法與時俱進,不能適應(yīng)防毒廠商的技術(shù)創(chuàng)新,在鑒別和評測防毒產(chǎn)品時才顯得有所缺失。
目前流行的測試方法
與傳統(tǒng)測試方法不同,據(jù)谷亮介紹,目前流行的測試方法主要是將測試環(huán)境部署到互聯(lián)網(wǎng)中,允許防毒產(chǎn)品訪問防毒廠商的服務(wù)器,使防毒產(chǎn)品可以實時地借助防毒廠商的多種后臺資源來識別病毒威脅。顯而易見,谷亮所描述的可以訪問廠商后臺服務(wù)器的測試方法,就是針對當(dāng)前被炒得熱火朝天的云安全技術(shù)。對此,目前比較典型的,也是比較流行的測試方法:
一種是測試防毒產(chǎn)品對惡意URL的攔截能力,從數(shù)以百萬計的URL鏈接中,按照不同類別挑選出一部分惡意的URL,然后測試防毒產(chǎn)品能否攔截這些惡意的URL。當(dāng)然,這種方法必須允許防毒產(chǎn)品可以訪問防毒廠商的服務(wù)器。據(jù)了解,Cascadia Labs就是利用的這種測試方法。
另一種是測試防毒產(chǎn)品通過云安全技術(shù)識別病毒樣本的能力,原理和上述測試惡意URL攔截能力一樣,允許防毒產(chǎn)品將病毒樣本發(fā)送到云端的服務(wù)器上做掃描。PC Security Labs主要就是利用的這種測試方法。
完整的安全軟件評測
事實上,為應(yīng)對日益嚴峻的安全威脅,目前市場主流的防毒軟件都已建立了一個多層次的防御體系,所以谷亮認為一次完整的評測應(yīng)該測試整個防御體系質(zhì)量。
一般來說,防御體系是由至少兩個防護層構(gòu)成,第一層是暴露防護層,這個防護層主要是基于威脅來源做安全防護,比如識別并攔截惡意URL,識別并攔截下載中的病毒等;第二層是感染防護層,這個防護層主要是基于文件內(nèi)容做安全防護,比如將文件發(fā)送到云端服務(wù)器做掃描,或者使用本機內(nèi)的病毒特征碼做掃描。
完整的評測也應(yīng)該針對這兩個防護層展開測試,設(shè)置暴露防護層指標和感染防護層指標兩個指標,其中暴露防護層指標包含被攔截URL的比率,被攔截文件的比率,以及被攔截字節(jié)的比率;感染防護層包含被攔截文件的比率。這些指標能夠讓我們看到何種威脅被哪一個防護層所攔截。而總體的評測指標應(yīng)該是暴露防護層指標和感染防護層指標兩個指標之和。
但問題是,當(dāng)總體指標相同的情況下,怎樣衡量防毒產(chǎn)品的優(yōu)劣呢?谷亮認為,在總體評測指標相同的情況下,暴露防護層指標在總體評測指標中的比重越高,說明防毒軟件的防護效果越好。這是因為,暴露防護層是防毒軟件的第一層防護,如果病毒威脅在第一層就能被攔截住,防護效果是最佳的。比如,防毒產(chǎn)品能夠在用戶點擊病毒的下載URL的一瞬間將這個URL攔截住,那么病毒在整個生命周期的第一步就被阻止了,病毒樣本始終就沒有出現(xiàn)在用戶的系統(tǒng)中,這對用戶的系統(tǒng)來說是最佳的防護。
安全產(chǎn)品應(yīng)規(guī)范評測流程
其實,這種完整的評測流程和方法,在每款產(chǎn)品正式推向市場前,廠商都會經(jīng)過內(nèi)部嚴格的出廠測試,尤其對于安全軟件來說,從產(chǎn)品原形到出廠產(chǎn)品,通常是要經(jīng)過實驗室模擬測試、真實環(huán)境測試和用戶環(huán)境測試這三個流程。在此基礎(chǔ)上,再通過第三方評測機構(gòu)的認證,顯然,產(chǎn)品的信服力就大了很多。
但當(dāng)前安全軟件市場中,各種第三方評測機構(gòu)出具的報告讓用戶看花了眼,今天A機構(gòu)出了評測報告,明天B機構(gòu)出了排名……,類似的評測報告每年,甚至每季度都會有,對于廠商來講,這樣的測試報告,或者認證似乎可以增加產(chǎn)品的市場競爭力,但實際上對于為這些產(chǎn)品買單的用戶來講,他們更關(guān)心是能不能真的解決問題。
目前,很多評測機構(gòu),或是評測報告在公信力方面或多或少都存在讓用戶質(zhì)疑的地方,主要原因還在于缺乏統(tǒng)一規(guī)范的測試流程,或標準。但從另一角度來看,由于安全防護技術(shù)創(chuàng)新速度的特殊性,這樣的測試標準的確很難制定,很有可能出現(xiàn)朝令夕改的現(xiàn)象,所以在記者看來,規(guī)范安全產(chǎn)品的測試流程不失為更為有效和適用的途徑。
與Wildlist(特點:收集病毒樣本并共享給其他評測機構(gòu))、Virus Bulletin(特點:掃描病毒樣本,流程規(guī)范而嚴格,有相當(dāng)資歷,也就是傳說中的VB100)、AV-Comparatives(第一家對主動防御提供評測流程及方法的機構(gòu))、ICSA(以硬件和網(wǎng)關(guān)類產(chǎn)品評測為主)、West Coast Labs(資歷較老的英國評測機構(gòu))這樣各有特色國外專業(yè)的評測機構(gòu)相比,起步相對較晚的國內(nèi)評測組織,在規(guī)范測試流程方面要做更多的努力,才能打破國外評測機構(gòu)“權(quán)威”性的壟斷。
【51CTO.COM 獨家特稿,轉(zhuǎn)載請注明出處及作者!】
【編輯推薦】
