云时代防病毒 评测方法与病毒之间的不对等博弈

　　什么是防毒软件侦测率(detection rate)?

　　侦测率是指针对测试单位提供的特定恶意软件样本群，防毒软件可以侦测到恶意软件相对于样本母数的比率。

　　一般防毒软件测试是如何进行的?

　　通常的测试方式是由测试机构架设一台计算机，将防毒软件安装入该台计算机中，并更新至最新病毒码，以确保该台计算机已在最新的防护状态。当准备完成后，该测试计算机的网络联机会被解除，之后将一组恶意档案(有时是合法的档案)复制到硬盘上。侦测率的计算结果是计算该软件从安装入的所有恶意档案中侦测出多少的数量。误判则是计算有多少的合法档案被认为是恶意档案。该测试是在封闭的环境内进行，受测试的计算机没有因特网的联机。

　　趋势科技为何退出部分防毒软件测试?

　　趋势科技退出Virus Bulletin防毒软件病毒侦测率测试组织，是因为VB100 测试的标准是以能否检测到被称为WildList-在野病毒列表的少数病毒样本，相对于目前网络散布超过1100万个的病毒样本，其代表性是不足的。

　　另外，Virus Bulletin 的测试已经与目前的恶意程序趋势脱节，其测试并未把产品与 Internet连接起来!趋势科技的产品能拦截各种利用非病毒码类技术的恶意软件，包括垃圾邮件、Web、网络钓鱼等。该解决方案中的一部分需要通过识别并拦截 Web新型威胁而发挥作用。这些新型技术超越了Virus Bulletin所采用的传统的基于病毒码的测试方法。

　　WildList 测试是在未联机的情况下，在封闭的局域网络中进行。而趋势科技的产品均使用在线信誉评等服务，藉此避免误判情况并侦测出最新的资安威胁，因此绝对不可能以离线方式进行公平理想的测试。

　　病毒码比对的方式只是最基本的安全防护措施，对遏阻今日的资安威胁效用并不大。这也是为何安全防护套装产品必须经过防火墙、行为模式分析、信誉评等技术以及病毒码比对等许多测试… 但绝不是在隔离的环境中进行病毒码比对!

　　完整的防毒软件评鉴标准是什么?

　　完整的评鉴不应仅着重于扫瞄引擎的侦测率，不但严重误导使用者，且对产品能力的呈现非常局限。当我们在比较车辆的安全性时，我们不会仅看安全带而已，也会比较 ABS (防死锁煞车系统)、安全气囊数量、溃缩区、ESP (车身稳定电子系统)，还有车体结构以及其它让车辆更安全的配备。

　　各种不同类型的侦测能力必须一起考虑，才能对整体侦测机制做出正确的评断：不论静态式或主动式侦测机制都无法独力侦测所有恶意程序。

　　比较单一功能的意义不大，因为我们相信使用者购买防毒产品的目的并非在于侦测某些病毒，而是要获得一种能够完全保护系统免受恶意程序攻击的服务。

　　NSS Labs 2009 年最新防毒软件测试排名与一般防毒软件测试的最大差异点在哪里?

　　现今从网络而来的病毒等恶意软件数量庞大(每小时2千只)，多数测试的病毒样本甚至是不再构成威胁的过时病毒。防毒产业面临病毒数量大增导致病毒码特征比对失灵的重大问题，在封闭环境中测试出的病毒侦测率排行，已经失去意义。

　　这是为什么趋势科技推出云端运算技术的原因，因为目前绝大多数的新病毒是透过网页入侵使用者的计算机，趋势科技的 URL 过滤与网页安全技术是以云计算为基础，只要分析这些网页，并且不让使用者连到这些恶意网页即可。

　　这需要庞大的运算能力，所以过去六年来趋势科技在日本、台湾、美国东西岸、德国等全球六个不同地点，设立了云端运算的机房，搜集、分析所有的网站数据，把病毒比对的工作由最云端运算技术来执行，可以大幅缩短分析的时间。

　　NSS Labs 的最新防毒软件测试包含测试防毒软件从源头处防堵病毒的能力，由于目前的威胁情势在于多数的威胁皆是透过因特网进行繁衍，最常见的是经由垃圾邮件或是透过网页夹带病毒，但一般测试只能等恶意软件被复制到计算机或被执行时才进行。

　　这个测试方法不但可测试防毒软件从源头处防堵病毒恶意攻击的拦截率，也可以测试防毒软件在用户不小心执行恶意程序时，提供防护的反应时间，并不是单一的针对档案扫描而已。

　　趋势科技在NSS Labs 2009防毒软件排名测试中，表现如何?

　　趋势科技云端运算技术在:NSS Labs最新防毒软件排名评比中备受肯定，:NSS Labs巅覆传统侦测率比较采「实况测试」(Live Testing) ，趋势科技消费性产品TIS2009。与企业版产品OfficeScan Client/ Server Suite防护恶意程序能力皆获佳绩。

　　图一：NSS Labs 2009最新防毒软件排名评比

　　相关报导请看：2009最新防毒软件排名评比:NSS Labs 首创「实况测试」(Live Testing) 方法 趋势科技云端运算技术备受肯定，云计算防毒应用第一张成绩单(NSS Labs 防毒软件排名评比)

　　客户要如何取得NSS Labs的测试报告?

　　趋势科技已购得了这两份报告，可免费使用。根据购买的合约，NSS Labs也会在他们的网站上提供报告的下载使用，可透过以下的URL来取得。

　　消费者商品测试报告

　　Consumer Report (TIS 2009):

　　http://nsslabs.com/reprints/9b/EndpointProtection-3Q2009

　　企业商品测试报告

　　Corporate Report (OfficeScan 10):

　　http://nsslabs.com/reprints/9b/EndpointProtection-3Q2009

　　在其它机构的侦测率方面，趋势科技和竞争对手比起来如何?

　　虽然趋势科技退出http://www.av-comparatives.org/ 或 http://www.av-test.org/ 等测试机构的评比。但不见得趋势科技的侦测率不佳，除了NSS Labs 防毒软件排名之外，2009年的最新测试报告还包括以下三则：

　　1、CSOonline针对各家防毒软件侦测率比较(公布尔日期2009年5月)：趋势科技 TrendMicro，侦测率高达96.55%，高于赛门铁客和卡巴斯基(McAfee 甚至连测试都没有通过，因为 McAfee 侦测到的恶意档案数量比真正的恶意档案还多-误判率过高)

　　图二：CSOonline针对各家防毒软件侦测率比较

　　完整的报告在：http://www.csoonline.com/article/493119/Antivirus_Taste_Test_One_Man_s_Quest_for_Nearly_Objective_Rankings.

　　2、Cascadia_Labs针对各家防毒软件恶意网页拦截率比较(测试日期约在 2009 年第 2 季底)：去年有 92% 的威胁都是来自因特网，趋势科技的 URL 过滤与网页安全技术在今年的 Cascadia Labs 测试当中再度击败市场上其它主要竞争对手。趋势科技今年获得 75% 的整体加权总分 (比 2008 年高 5%，排名第二的产品获得的 67% 分)。

　　图三：Cascadia_Labs针对各家防毒软件恶意网页拦截率比较

　　来源：http://www.cascadialabs.com/reports/Cascadia_Labs_URL_Filtering_and_Web_Security_August_09.pdf

　　3、趋势科技垃圾邮件防护获West Coast Labs 测试最高拦截率垃圾邮件数量高。另外在2009年初，趋势科技垃圾邮件解决方案在独立测试机构West Coast Labs一项针对十种垃圾邮件防护产品的评比测试当中，展现最高的垃圾邮件拦截率。所有受测产品中，趋势科技 InterScan™ Messaging Hosted Security 拥有最高的垃圾邮件拦截率，达到 96.71%，其次为趋势科技 InterScan™ Messaging Security Suite，达到 96.48%。

　　图四：趋势科技垃圾邮件防护获West Coast Labs 测试最高拦截率

　　来源：Download the West Coast Labs review

　　此测试过程全部采用各产品出厂的默认值，因此非常接近使用者全新安装后的情况。由于趋势科技的代管式服务会随时进行更新与调校，所以在测试当中拥有高拦截率。除了拥有低复杂性与实时防护特点之外，容易管理的主动式安全防护概念更是获得企业青睐。