防病毒安全品真世界(2013年3月6)pdfVIP

防病毒安全产品?“真实世界”?动态测试–(2013 年 3 月‐6 月)? www.av‐? ‐?1?‐? 安全产品“真实世界” 动态保护测试 2013 年 3 月-6 月 语言: 简体中文 2013 年 7 月 最后修订: 2013 年 7 月 25 日 防病毒安全产品?“真实世界”?动态测试–(2013 年 3 月‐6 月)? www.av‐? ‐?2?‐? 目录 防病毒安全产品?“真实世界”?动态测试–(2013 年 3 月‐6 月)? www.av‐? ‐?3?‐? 简介 恶意软件带来的威胁正与日俱增。这不仅仅体现在恶意程序数量的增加上，它还包括这些恶意 程序本身不断快速的演变。恶意程序对用户电脑的威胁方式也正在改变，不再是简单的基于文件的 方式来传播恶意代码，而是演变成借助互联网来传播。总之，恶意软件不断的变换各种伎俩威胁用 户的电脑，例如诱骗用户访问受感染的网页、安装流氓/恶意软件或打开带有恶意软件附件的电子 邮件等等。 杀毒软件也在通过增加防御功能以扩大其为用户提供的保护范围，例如：网址拦截、内容过滤 、反钓鱼措施和人性化的行为拦截。如果这些功能与安全产品提供的基于签名的检测和启发式检测 完美融合，那么防病毒安全产品抵御威胁的能力将大大提高。 尽管有了这些新技术（提供防御功能），但继续对防病毒程序的基于签名和启发式检测的功能 进行检测，仍然是非常重要的。也正是因为这些新的威胁，使基于签名/启发式检测的方法变得越 来越重要。“零日”攻击变得日益频繁，这也意味着受恶意软件感染的危险程度在不断地增加。如果 攻击不是被“传统”或“非传统”的方法截获，那么电脑就会被感染，而且恶意软件只能通过基于签名 的按需扫描和启发式扫描，才可能被发现（并有希望被删除）。对于已感染的文件，由于额外的保 护技术并不提供对现有存储数据的扫描，所以，在许多公司的文件服务器中仍然可以找到已被感染 的文件。这些新的安全保护措施应被理解为防病毒软件良好检测率的补充，而不是代替。 在本次测试中，参与测试产品的所有功能都发挥了保护作用，而不只是一部分功能（如签名/ 启发式文件扫描）起作用。因此，提供的保护应该比仅使用部分功能检测病毒的能力要高。我们建 议，一个产品的所有功能在检测病毒时都应有较高的查杀能力，不应只提供某种单一的功能（如网 址拦截只有在浏览网页时才提供保护，但不能防御用其他方法引入的恶意软件或系统上已经存在的 恶意程序）。 防病毒安全产品“真实世界”动态测试是 AV-Comparatives 和因斯布鲁克大学计算 机科学与质量工程学院的一个合作项目。部分测试工作得到了奥地利政府的资助。 关于真实世界动态保护测试的方法已获得以下奖项及认证： ? 康斯坦丁奖 -由奥地利政府授予 ? 2012 群集创意奖 -由蒂罗尔州地方招商局授予 ? eAward 2012 -由 report.at（计算机杂志）和联邦总理办公室授予 防病毒安全产品?“真实世界”?动态测试–(2013 年 3 月‐6 月)? www.av‐? ‐?4?‐? 测试程序 每天要使用上百个网址，测试数十家防病毒产品，而这些工作仅通过手动完成的话，工作量之 大可以想象（因为对这成千上万的网站的访问是同时进行的），所以还是有必要通过一些自动化处 理来完成。 实验室设置 每个待测试的安全程序都被安装在单独的测试电脑中。所有电脑都连接到互联网（详情如下） 。在规定的日期，先更新系统，然后将已安装的安全程序和操作系统一起封存。整个测试都是在真 正的工作环境中执行，我们不使用任何类型的虚拟环境。每个工作机都有自己的互联网连接和外部 IP 地址。我们与几个供应商达成了特殊的协议（故障转移群集和不阻止任何流量），以确保每台现 场实时测试的电脑都有稳定的互联网连接。我们采取了必要的预防措施（使用特别配置的防火墙等 ），以防止对其他电脑的损害（即不引起病毒爆发）。 硬件和软件 本次测试，我们使用了相同的工作机、指令服务器和网络附加存储（NAS）。 厂商 类型 中央处理器 CPU 内存 硬盘 工作机 Dell Optiplex 755 Intel Core 2 Duo 4 GB 80 GB SSD 指令服务器 Supermicro Microcloud Intel Xeon E5 32 GB 4 x 500 GB SSD NAS Eurostor ES8700-Open-E Dual Xeon 32 GB 140 TB Raid 6 测试使用的是 2013 年 3 月 4 日更新的 Microsoft Windows 7 Professional SP1 64 位操作系统。此 外安装的一些易受攻击