整体产品动态测试-av-comparatives.pdfVIP

整体产品动态测试 - 初步测试结果 整体产品动态测试 2010 年8 月至10 月 语言:中文 2010 年10 月 最后修订：2010 年11 月23 日 - 1 - 整体产品动态测试 - 初步测试结果 目录 1 ．简介 3 2 ．简化测试程序 4 3 ．设置 5 4 ．为每个测试日的准备 5 5 ．每个恶意网址的测试周期 5 6 ．测试的产品 6 7 ．测试事项 6 8 ．测试结果 7 9 ．图表总览 9 10 ．测试内容来源 10 11 ．测试集 10 12 ．统计 10 13 ．版权及免责声明 12 - 2 - 整体产品动态测试 - 初步测试结果 1 ．简介 恶意软件带来的威胁正与日俱增。这不仅仅体现在恶意程序数量的增加，而且还有来自各种威 胁本身的快速演变。恶意代码侵入到用户电脑中的方式也正在经历从简单的基于文件的传播方式变 化成经过互联网来传播。总之，恶意软件在不断的使用各种手段威胁用户的电脑，例如欺骗用户访 问受感染的网页、安装流氓/恶意软件或打开带有恶意软件附件的电子邮件等等。 杀毒软件也在通过增加防御功能以扩大其为用户提供的保护范围，例如：网址拦截、内容过滤、 反钓鱼措施和人性化的行为拦截（或称主动防御）。如果这些功能与基于签名的检测和启发式检测 完美融合，那么杀毒软件抵御威胁的能力将大大提高。 尽管有了这些新技术（提供防御功能），但继续对防病毒程序的基于签名和启发式检测的功能 进行检测仍然是非常重要的。也正是因为这些新的威胁，使基于签名/启发式检测的方法变得越来 越重要。0 day 的攻击变得日益频繁意味着恶意软件感染的危险增加。如果攻击不是被 “传统”或 “非传统”的方法截获，那么电脑就会被感染，而且该恶意软件只有通过基于签名的按需扫描和启 发式扫描才可能被发现，并有希望被清除。额外的保护技术不提供对现有数据存储进行检查 （扫描） 的功能，因为在许多公司的文件服务器中都可以找到已感染的文件。这些新的安全保护措施应被理 解为杀毒软件良好检测率的补充，而不是替代。 在本次测试中，参与测试产品的所有功能都发挥了保护作用，而不只是一部分功能（如签名/ 启发式文件扫描）起作用。因此，这样的整体病毒检测能力应该高于仅通过部分功能检测病毒的能 力。我们建议，一个产品的所有功能在检测病毒时都应有较高的查杀能力，不应只提供某种单一的 功能（如：网址拦截只有在浏览网页时才提供保护，但不能防御用其他方法引入的恶意软件或系统 上已经存在的恶意程序）。 我们将在自己的网站发布每月的整体产品动态测试结果。最终的完整报告将汇总各月 份（8/9/10/11/12 月）的测试结果，并将于2010 年12 月初发布。 整体产品动态测试是 AV-Comparatives 和因斯布鲁克大学计算机科学与质量工 程学院的一个合作项目。一部分得到了奥地利政府的支持。有关测试过程中的一 些细节不便透露，因为它可能容易被厂商滥用以进行系统测试较量。 - 3 - 整体产品动态测试 - 初步测试结果 2 ．简化测试程序 为了对全部数千个网址的测试，需要一天之中利用许多的杀毒程序测试数以百计的网址，只有 高度自动化（技术）才能使之成为可能。这种自动化 （技术）已经由因斯布鲁克大学计算机科学与 质量工程学院和AV-Comparatives 联合开发。 测试系列的筹备工作 每一个被测试的防病毒程序均安装在其独立的测试计算机中（请注意，在此使用的术语 “防病 毒程序”通常是指一个完整的互联网安全套装）。所有计算机都连接到互联网，每个连接有自己的 外部IP 地址。测试用的计算机操作系统和防病毒程序（的设置）均被“冻结”。 实验室设置 整个测试都是在真实的工作机上执行。我们不使用任何类型的虚拟机。每个工作机都有自己的 互联网连接和外部 IP 地址。我们与几个供应商达成了特殊的协议（故障转移群集和不阻止任何流 量），以确保稳定的互联网连接。使用真正的互联网连接执行测试。我们采取了必要的预防措施 （使用特别配置的防火墙等），以防止对他人的破坏（即不引起病毒爆