分析:安全軟件評測方法應向何處去����?
早在2008年,當趨勢科技聲言退出一項重量極的安全測試VB100時�����,就在業(yè)界引起了不小的轟動�。當時趨勢科技反惡意軟件部門首席技術(shù)官Raimund Genes在接受采訪中表示,“VB100的測試體系只是‘20世紀的測試標準’”�,他認為“VB100的測試并不適應互聯(lián)網(wǎng)發(fā)展的實際情況,而且基于數(shù)字簽名的模式匹配和檢測方法只是安全技術(shù)版圖中的一小塊�,如果不將真正面向互聯(lián)網(wǎng)時代的安全威脅的惡意軟件行為分析技術(shù)納入其中的話,那么VB100的測試體系就是不完整的”���。正是基于這一理念���,趨勢科技宣布了退出VB100測試��,而在此之前��,趨勢科技已先后數(shù)十次通過了該測試��。
趨勢科技退出VB100測試�����,或許可以認為是一項標志性的事件��,Raimund Genes對VB100測試的看法��,其實也說明了在安全軟件的評測方法上目前普遍存在的一些問題�����。
安全軟件評測方法的發(fā)展與病毒技術(shù)的發(fā)展、安全軟件技術(shù)的發(fā)展之間的關(guān)系是分不開的����。可以說���,病毒技術(shù)的發(fā)展推動了安全軟件技術(shù)的發(fā)展�,安全軟件技術(shù)的發(fā)展又促使病毒產(chǎn)生新的進化,而新的病毒技術(shù)和新的安全軟件技術(shù)�����,則又呼喚新的安全軟件評測方法來與之適應���。
在早些年中����,病毒還是相對比較孤立的��,傳播沒有如今這樣快�,爆發(fā)數(shù)量也比較少。比如在2005年��,互聯(lián)網(wǎng)新病毒產(chǎn)生的速度�,只有每小時不到50個。在這一時期�����,安全軟件基本上是其于特征碼檢測技術(shù)的�����,它們將每一個病毒的特征碼加入到病毒庫中,從而對其進行查殺�����,事實上����,從病毒產(chǎn)生,殺毒軟件出現(xiàn)起���,安全軟件一直采用的就是這種查殺方法�����。
傳統(tǒng)的檢測率評測方法
而與之相應�,安全軟件殺毒能力的評測也就是比誰的病毒庫最全���,更新速度最快�����。具體到實際方法上�,也就是收集近期的病毒樣本及正常文件,然后使用受測防毒軟件掃描病毒樣本及正常文件�����,記錄受測防毒軟件檢測出的病毒樣本數(shù)量及正常文件數(shù)量�����,從而得出一個病毒檢出率及正常文件誤報率�,最后再用病毒檢中率減去誤報率,得出一個最終的檢測率來�。在很長一段時間中,這一直是一個簡單而有效的評測方法��,這一方法長期以來也為各大安全軟件評測機構(gòu)所使用����,并且一直沿用至今。
威脅形勢改變
但如今的網(wǎng)絡(luò)威脅形勢已經(jīng)發(fā)生了很大的變化�,這使得傳統(tǒng)的檢測率評測方法已力不從心。
如今每小時新增病毒2000個
首先是病毒的數(shù)量暴增���。2006年底,“熊貓燒香”病毒的出現(xiàn)可以說是一個代表��,這一病毒單從病毒技術(shù)上來講����,并沒有多少創(chuàng)新,但在病毒傳播技術(shù)方面�,該病毒充分利用了互聯(lián)網(wǎng)的傳播能力,并且變種更新頻頻�,一時間造成了極大的影響。隨后的種種新病毒也都充分利用互聯(lián)網(wǎng)進行傳播����,這使得新病毒的出現(xiàn)進入了一個大爆炸的時期。在2007年���,互聯(lián)網(wǎng)上每小時出現(xiàn)的新病毒已達到600個;而到了如今��,每小時出現(xiàn)的新病毒數(shù)量已達到兩千個�。在這種情況下�,對于大多數(shù)的檢測率測試來說�����,在它們開始之前實際上就已經(jīng)過時了。
另外���,目前還有很多專門從事使惡意程序避免被安全軟件檢測到的數(shù)字犯罪人員��,他們在發(fā)布病毒之前��,往往會針對一些安全軟件尤其是一些知名品牌進行“免殺”處理���,以避開安全軟件的檢測。這使得很多在評測中表現(xiàn)不錯的安全軟件��,實際中可能表現(xiàn)并不會那么好�。
此外,目前還有許多流行的威脅并不利用惡意文件來達到目的�����,比如目前流行的利用仿冒網(wǎng)站以圖騙取用戶銀行賬戶信息的網(wǎng)絡(luò)釣魚����,對于這種威脅��,傳統(tǒng)的評測方法根本不能體現(xiàn)出安全軟件對這種威脅防范的能力���。
由于傳統(tǒng)的安全軟件評測方法是針對基于病毒特征碼的殺毒技術(shù)而設(shè)計的,因而在以上種種新的威脅形勢下�,傳統(tǒng)安全軟件評測方法的過時實際上反映出的是基于病毒特征碼的殺毒技術(shù)的過時。而其實這一點安全廠商們很早就已意識到了����,當他們發(fā)現(xiàn),無論他們?nèi)绾卧黾硬《編旄碌念l率也不能跟上網(wǎng)絡(luò)威脅發(fā)展的步伐時�,他們已開始從另一種思路來思考如何應對新的威脅形勢,于是云安全應運而生���。
根據(jù)統(tǒng)計����,目前有92%的威脅都是來自于互聯(lián)網(wǎng)的�����,基于互聯(lián)網(wǎng)的威脅只有基于互聯(lián)網(wǎng)的安全防護技術(shù)才能應對����。而云安全的本質(zhì)���,實際上就可以理解為安全軟件的互聯(lián)網(wǎng)化。它將安全廠商的眾多服務(wù)器與無數(shù)用戶終端連接在一起���,構(gòu)成一個云的網(wǎng)絡(luò),依靠這個龐大的網(wǎng)絡(luò)�,不僅使得對病毒樣本進行實時采集、分析以及處理的速度得到巨大的提升����,還可以在網(wǎng)絡(luò)威脅的源頭就對其進行封堵,在網(wǎng)絡(luò)威脅到達用戶用戶終端之前就對其進行阻止�����。
雙層防護:暴露層防護�、感染層防護
盡管各安全廠商之間的云安全體系互有不同,但總體來說����,都是力圖為用戶提供兩層防護��。第一層可以稱之為暴露防護層�,這一層可攔截用戶對帶毒來源的訪問�����,在服務(wù)端就對網(wǎng)絡(luò)威脅進行過濾�,阻止用戶訪問那些有害的URL鏈接或者域名。而若仍有漏網(wǎng)之魚如病毒��、木馬等惡意程序到達了用戶端��,這時就進入第二層防護���,可稱為感染防護層�,這時就要依靠客戶端的殺毒軟件在對惡意程序其進行清除�����。具體到實際操作上���,也就是說����,云安全的體系下,除了傳統(tǒng)的基于惡意程序的病毒特征庫�����,還有有一個基于URL或者域名的惡意網(wǎng)址庫�,利用這兩個庫,就構(gòu)成了云安全的兩層防護體系�。
云安全的出現(xiàn)����,可以說是安全軟件技術(shù)的一次革命,安全軟件進行了一個新的時代���。然而與之相應的是�,安全軟件評測方法至今仍未有太多變化��。傳統(tǒng)的安全軟件評測方法實際上只能驗證在云安全體系下客戶端的感染防護層的防護能力�,而且還不能完全反映出安全軟件在這一層的防護能力來,比如它就無法驗證安全軟件在病毒特征庫上的更新能力��。新的安全軟件技術(shù)迫切呼喚一種新的評測方法來對各種安全軟件的防護能力進行檢驗��。
新的評測思路
新的安全軟件評測思路
既然在目前的安全軟件技術(shù)下�����,基本都采取兩層的防護體系����,那么�,新的安全軟件評測方法也應該要能反應出安全軟件在這兩層上的防護能力上來。由于傳統(tǒng)的安全軟件評測方法實際上是針對感染層防護而設(shè)計的����,因而只需加入對暴露層防護能力的測試也就是攔截惡意URL的能力測試即可。具體來說�,我們應收集大量的一組非重復的惡意軟件URL,這些URL在測試當時都需保證仍然有效且能夠存取���。而被測試的安全軟件產(chǎn)品則應分別安全在不同的計算機(實體機或者虛擬機)上��。在測試過程中���,每一部測試機都將同時嘗試存取這些測試用的惡意URL,從而觀測它是否會攔截這些URL��,并根據(jù)結(jié)果給出一個最終暴露層防護能力分數(shù)來。再進行傳統(tǒng)的感染層防護能力的測試��,得出一個感染層防護能力分數(shù)�,將這二者相加,即得出一個總體防護分數(shù)來�。
當然,為了保護測試的準確���,并驗證安全廠商進行病毒庫或者惡意網(wǎng)址庫更新的能力���,我們還應該保證這一測試應持續(xù)較長的時間,并在其間定期投入新的惡意URL或者病毒樣本��,以充分模擬真實的使用環(huán)境����。
通過這一測試方法��,我們可以更全面地考察安全軟件的防護能力���。不過���,這其中仍有不少值得仔細考慮的地方。比如惡意URL庫的選定,如何來獲取這些URL�,選擇何種范圍的惡意URL庫才最能反應出真實應用中的情況,又如何來保證這些惡意URL的有效性���?又如在得出最終評分時�,感染層防護能力的分數(shù)和暴露層防護能力的分數(shù)����,之間權(quán)重比該如何確定?
盡管仍存在種種疑問����,但我們可以確信,這是安全軟件評測方法的發(fā)展趨勢�。事實上,目前有一些安全軟件評測機構(gòu)���,如NSS Labs, West Coast Labs, Cascadia Labs等���,已經(jīng)開始做出了嘗試。
在2009年7月和8月期間���,NSS Labs完成了產(chǎn)業(yè)界最接近真實世界的防毒/終端保護套裝的測試���。在該測試中���,每個受測產(chǎn)品在測試開始之前都會先更新到最新版本,并且在整個測試過程中被允許訪問互聯(lián)網(wǎng)����。NSS Labs使用最新的威脅,進行了為期17天的24小時不間斷的測試����,而在此期間,每8小時就會完成一輪59項獨立測試���,并且每一輪都會加入新的惡意程序和URL��。
在NSS Labs的評測中�����,可以看到一個最大的特點就是,安全軟件的評測不再是孤立的�����,NSS Labs努力模擬出一個最接近用戶真實互聯(lián)網(wǎng)應用環(huán)境的測試環(huán)境來進行測試。網(wǎng)絡(luò)威脅在互聯(lián)網(wǎng)化����,安全軟件也走向互聯(lián)網(wǎng)化,而與之相應����,安全軟件評測方法也應走向互聯(lián)網(wǎng)化。
不過�,新的方法需要付出的代價就是,這一方法復雜得多�����,它會需要更多的人力物力��,還有更多的測試周期���。對于廣大個人愛好者來說����,要進行這種測試是非常有難度的��。如何才能尋求出一種簡單而又準確的測試方法����,讓廣大個人用戶都能親自去對比一下自己喜愛的安全軟件的防護能力����,還是我們需要仔細考慮的問題���。
|
