汪雄濤

互聯(lián)網(wǎng)新威脅變種出現(xiàn)的速度,從2005年的每小時(shí)不到50個(gè)竄升到2007年的每小時(shí)600個(gè)。而到了2009年,新威脅變種出現(xiàn)的速度再度增長(zhǎng)到每小時(shí)2000個(gè)。面對(duì)如此龐大的威脅,防毒產(chǎn)業(yè)的應(yīng)變策略之一,就是更頻繁地發(fā)布病毒碼更新。

評(píng)測(cè)方法滯后

這幾年來(lái),許多廠商已從每周更新一次縮短到每日更新,甚至每半小時(shí)更新一次。除了提高更新頻率之外,防毒廠商所開發(fā)的其他技術(shù)創(chuàng)新還有:更強(qiáng)的漏洞評(píng)估、行為分析,以及風(fēng)險(xiǎn)來(lái)源信譽(yù)評(píng)估服務(wù)。

與此同時(shí),安全提供商正在不斷增加和改進(jìn)云端組件,以增強(qiáng)客戶端檢測(cè)技術(shù),例如簽名和啟發(fā)式技術(shù)。這些基于URL和文件信譽(yù)的新惡意軟件警告系統(tǒng)為客戶端提供了另外一層防護(hù)。

這些技術(shù)創(chuàng)新的用意都是希望能夠攔截之前沒有見過、沒有列入黑名單的新惡意軟件。雖然防毒產(chǎn)品已開發(fā)出更有效的防護(hù)技巧,但大多數(shù)防毒產(chǎn)品的測(cè)試方法還是繼續(xù)沿用老舊的方法,并且將防毒產(chǎn)品偵測(cè)惡意代碼本身的能力與產(chǎn)品的防護(hù)能力畫上等號(hào)。

然而,唯有將防毒產(chǎn)品攔截未知惡意軟件的能力納入測(cè)試當(dāng)中,才能讓客戶真正掌握防毒產(chǎn)品的實(shí)際效能。

通常的測(cè)試方式是由測(cè)試機(jī)構(gòu)架設(shè)一臺(tái)計(jì)算機(jī),將防毒軟件安裝入該臺(tái)計(jì)算機(jī)中,并更新至最新病毒碼,以確保該臺(tái)計(jì)算機(jī)已在最新的防護(hù)狀態(tài)。當(dāng)準(zhǔn)備完成后,該測(cè)試計(jì)算機(jī)的網(wǎng)絡(luò)聯(lián)機(jī)會(huì)被解除,之后將一組代碼庫(kù)復(fù)制到硬盤上。該測(cè)試是在封閉的環(huán)境內(nèi)進(jìn)行,受測(cè)試的計(jì)算機(jī)斷開與互聯(lián)網(wǎng)的連接。這重點(diǎn)考察的是防毒軟件對(duì)于惡意檔案的偵測(cè)率和誤判率結(jié)果。

但是,一個(gè)完整的評(píng)鑒不應(yīng)僅著重于掃瞄引擎的偵測(cè)率,這樣不但會(huì)嚴(yán)重誤導(dǎo)使用者,且對(duì)產(chǎn)品能力的呈現(xiàn)非常局限。就像我們?cè)诒容^車輛的安全性時(shí),我們不會(huì)僅看安全帶而已,也會(huì)比較ABS、安全氣囊數(shù)量、車體結(jié)構(gòu)以及其他讓車輛更安全的配備。

在線評(píng)測(cè)惡意URL攔截

面對(duì)今日驚人的因特網(wǎng)惡意軟件更新速度,不少防毒廠商已經(jīng)開發(fā)出從來(lái)源URL攔截惡意軟件的技術(shù)。NSS Labs、West Coast Labs、Cascadia Labs這三家獨(dú)立評(píng)測(cè)機(jī)構(gòu)也提出了新的評(píng)測(cè)方法,并將防毒產(chǎn)品的評(píng)分標(biāo)準(zhǔn)進(jìn)行了升級(jí)。

除了評(píng)測(cè)原有的惡意軟件病毒偵測(cè)率之外,新的評(píng)測(cè)方法還多了一項(xiàng)惡意URL攔截能力的評(píng)比。從來(lái)源攔截惡意軟件可提供更實(shí)時(shí)的防護(hù),而且還可以讓用戶消耗更少的資源獲得最新的防護(hù)能力。在防毒產(chǎn)品的評(píng)比測(cè)試當(dāng)中納入這一項(xiàng)額外防御能力的效能測(cè)試,對(duì)用戶評(píng)估防毒產(chǎn)品真正防護(hù)能力非常重要。

2009年7月到8月,NSS Labs對(duì)反病毒/終端防護(hù)套件防范惡意軟件的能力進(jìn)行了一次橫向評(píng)比。NSS Labs的實(shí)時(shí)測(cè)試針對(duì)用戶可能遇到的最新威脅對(duì)產(chǎn)品進(jìn)行評(píng)估,而不是像其他測(cè)試那樣在內(nèi)部實(shí)驗(yàn)室環(huán)境中用過時(shí)的病毒樣本進(jìn)行評(píng)估。

在NSS Labs的報(bào)告中可以看到,評(píng)測(cè)結(jié)果是基于17天的全天候測(cè)試中收集的實(shí)證證據(jù)得出。測(cè)試每隔8小時(shí)執(zhí)行一次,離散測(cè)試超過59次,每次都增加最新的惡意URL。每個(gè)產(chǎn)品都更新至測(cè)試開始時(shí)可用的最新版本,并且在整個(gè)測(cè)試過程中可以實(shí)時(shí)訪問互聯(lián)網(wǎng)。

針對(duì)這種主動(dòng)下載功能的評(píng)估結(jié)果是,趨勢(shì)科技在下載時(shí)惡意軟件捕獲率達(dá)到92.2%,多于其后的兩個(gè)競(jìng)爭(zhēng)者卡巴斯基的82.4%和McAfee的79.0%。由于惡意軟件有許多方法可以避開檢測(cè),因而阻止惡意代碼執(zhí)行更為困難。目前,Symantec在執(zhí)行時(shí)檢測(cè)性能最佳,其檢測(cè)率高達(dá)14.9%,而卡巴斯基僅為6.7%。

當(dāng)然,最理想的情況是在將惡意軟件完全下載到客戶端計(jì)算機(jī)之前,就將其檢測(cè)出來(lái),而這種多防護(hù)層評(píng)分方法,顛覆了傳統(tǒng)的評(píng)測(cè)方式,甚至可以讓我們看到何種威脅被哪一個(gè)防護(hù)層攔截到。