【51CTO.com 獨(dú)家特稿】今年早些時(shí)候，一家專注于評(píng)測(cè)各種軟硬件、消費(fèi)電子產(chǎn)品和互聯(lián)網(wǎng)服務(wù)的技術(shù)網(wǎng)站ToptenReviews評(píng)出了2009年度世界頂級(jí)殺毒軟件排名。有意思的是賽門鐵克、McAfee、趨勢(shì)科技均跌出前十，而來自羅馬尼亞的BitDefender卻衛(wèi)冕成功，國內(nèi)殺毒軟件則無一進(jìn)榜。這對(duì)于全球知名的三家安全廠商來說，無疑是個(gè)笑話。

ToptenReviews網(wǎng)站以每年評(píng)出的世界殺毒軟件排行榜而聞名，評(píng)測(cè)涵蓋了反病毒、反間諜軟件、互聯(lián)網(wǎng)安全套裝、隱私保護(hù)等項(xiàng)目。但是此評(píng)測(cè)在業(yè)界的可靠性和可信度并不高，不能與VB100、WCL（West Coast Labs）等專業(yè)評(píng)測(cè)機(jī)構(gòu)相提并論。

那么VB100、WCL這些專業(yè)而知名的評(píng)測(cè)機(jī)構(gòu)就能反映安全軟件的真實(shí)水平了么？其實(shí)也不盡然，起碼在一些安全廠商看來不是這樣的。早在2008年作為全球安全市場(chǎng)份額前三甲的廠商趨勢(shì)科技就對(duì)VB100的評(píng)測(cè)提出質(zhì)疑，對(duì)其評(píng)測(cè)方法嗤之以鼻，并退出了病毒評(píng)測(cè)。而前不久，趨勢(shì)科技聲稱VB100的評(píng)測(cè)方法落后。其主要原因是趨勢(shì)科技認(rèn)為目前VB100的測(cè)試方法已經(jīng)與惡意程序的發(fā)展趨勢(shì)嚴(yán)重脫節(jié)，不能反映安全軟件或防護(hù)技術(shù)的真實(shí)水平。

這在安全業(yè)界引起了不小的風(fēng)浪，一方面趨勢(shì)科技認(rèn)為，像VB100這樣對(duì)Wildlist提供的病毒樣本進(jìn)行靜態(tài)掃描的評(píng)測(cè)方法，根本無法真實(shí)反映云安全技術(shù)或產(chǎn)品的實(shí)際價(jià)值；另一方面VB100則認(rèn)為，認(rèn)證的目的在于反映殺毒軟件最基礎(chǔ)、最普遍的本地系統(tǒng)防護(hù)功能，言外之意沒通過VB100認(rèn)證的，至少可以斷定這款殺毒軟件最基本的系統(tǒng)防護(hù)能力不足。

過時(shí)的傳統(tǒng)評(píng)測(cè)方法應(yīng)與時(shí)俱進(jìn)

之所以出現(xiàn)這兩種聲音，關(guān)鍵在于評(píng)測(cè)方法上。熟悉安全軟件評(píng)測(cè)的人都知道，傳統(tǒng)的測(cè)試方法主要是依靠收集的病毒樣本和正常文件，在封閉的環(huán)境中用防毒軟件掃描病毒樣本和正常文件，從而得到病毒檢測(cè)率和正常文件的誤報(bào)率。而這兩項(xiàng)數(shù)據(jù)在很長一段時(shí)間內(nèi)成為衡量某一款殺毒軟件防護(hù)能力的重要指標(biāo)。

趨勢(shì)科技公司防病毒分析師谷亮認(rèn)為針對(duì)目前的安全威脅，這種測(cè)試方法已經(jīng)明顯過時(shí)，不能真實(shí)地反映一款防毒軟件的優(yōu)劣。據(jù)谷亮介紹，2008年全年新增1000多萬只病毒，平均每小時(shí)新增差不多2000多只病毒，而且92%的病毒是通過互聯(lián)網(wǎng)傳播的。而由于可供測(cè)試的樣本數(shù)量有限，很難代表龐大的病毒總體，此時(shí)再用傳統(tǒng)測(cè)試方法就顯得不合適了。

病毒和惡意程序數(shù)量暴增，已是不爭的事實(shí)，用單一的病毒特征碼來抵御病毒，顯得太過被動(dòng)。所以，業(yè)界很多廠商針對(duì)這樣的情況，也紛紛研發(fā)新的安全防護(hù)技術(shù)，比如基于URL過濾的Web信譽(yù)、黑白名單比對(duì)等技術(shù)。而這些新技術(shù)的特點(diǎn)就是充分利用了互聯(lián)網(wǎng)資源和云計(jì)算的優(yōu)勢(shì)，與傳統(tǒng)的病毒特征碼一起，構(gòu)建一個(gè)多層次的防御體系。但問題是，這樣的技術(shù)所衍生出來的產(chǎn)品，利用傳統(tǒng)的測(cè)試方法，是否能衡量出防毒產(chǎn)品的優(yōu)劣呢？在谷亮看來，顯然是不能的。他坦言，這也是傳統(tǒng)測(cè)試方法的弊端所在，正是因?yàn)閭鹘y(tǒng)的測(cè)試方法無法與時(shí)俱進(jìn)，不能適應(yīng)防毒廠商的技術(shù)創(chuàng)新，在鑒別和評(píng)測(cè)防毒產(chǎn)品時(shí)才顯得有所缺失。

目前流行的測(cè)試方法

與傳統(tǒng)測(cè)試方法不同，據(jù)谷亮介紹，目前流行的測(cè)試方法主要是將測(cè)試環(huán)境部署到互聯(lián)網(wǎng)中，允許防毒產(chǎn)品訪問防毒廠商的服務(wù)器，使防毒產(chǎn)品可以實(shí)時(shí)地借助防毒廠商的多種后臺(tái)資源來識(shí)別病毒威脅。顯而易見，谷亮所描述的可以訪問廠商后臺(tái)服務(wù)器的測(cè)試方法，就是針對(duì)當(dāng)前被炒得熱火朝天的云安全技術(shù)。對(duì)此，目前比較典型的，也是比較流行的測(cè)試方法：

一種是測(cè)試防毒產(chǎn)品對(duì)惡意URL的攔截能力，從數(shù)以百萬計(jì)的URL鏈接中，按照不同類別挑選出一部分惡意的URL，然后測(cè)試防毒產(chǎn)品能否攔截這些惡意的URL。當(dāng)然，這種方法必須允許防毒產(chǎn)品可以訪問防毒廠商的服務(wù)器。據(jù)了解，Cascadia Labs就是利用的這種測(cè)試方法。

另一種是測(cè)試防毒產(chǎn)品通過云安全技術(shù)識(shí)別病毒樣本的能力，原理和上述測(cè)試惡意URL攔截能力一樣，允許防毒產(chǎn)品將病毒樣本發(fā)送到云端的服務(wù)器上做掃描。PC Security Labs主要就是利用的這種測(cè)試方法。

完整的安全軟件評(píng)測(cè)

事實(shí)上，為應(yīng)對(duì)日益嚴(yán)峻的安全威脅，目前市場(chǎng)主流的防毒軟件都已建立了一個(gè)多層次的防御體系，所以谷亮認(rèn)為一次完整的評(píng)測(cè)應(yīng)該測(cè)試整個(gè)防御體系質(zhì)量。

一般來說，防御體系是由至少兩個(gè)防護(hù)層構(gòu)成，第一層是暴露防護(hù)層，這個(gè)防護(hù)層主要是基于威脅來源做安全防護(hù)，比如識(shí)別并攔截惡意URL，識(shí)別并攔截下載中的病毒等；第二層是感染防護(hù)層，這個(gè)防護(hù)層主要是基于文件內(nèi)容做安全防護(hù)，比如將文件發(fā)送到云端服務(wù)器做掃描，或者使用本機(jī)內(nèi)的病毒特征碼做掃描。

完整的評(píng)測(cè)也應(yīng)該針對(duì)這兩個(gè)防護(hù)層展開測(cè)試，設(shè)置暴露防護(hù)層指標(biāo)和感染防護(hù)層指標(biāo)兩個(gè)指標(biāo)，其中暴露防護(hù)層指標(biāo)包含被攔截URL的比率，被攔截文件的比率，以及被攔截字節(jié)的比率；感染防護(hù)層包含被攔截文件的比率。這些指標(biāo)能夠讓我們看到何種威脅被哪一個(gè)防護(hù)層所攔截。而總體的評(píng)測(cè)指標(biāo)應(yīng)該是暴露防護(hù)層指標(biāo)和感染防護(hù)層指標(biāo)兩個(gè)指標(biāo)之和。

但問題是，當(dāng)總體指標(biāo)相同的情況下，怎樣衡量防毒產(chǎn)品的優(yōu)劣呢？谷亮認(rèn)為，在總體評(píng)測(cè)指標(biāo)相同的情況下，暴露防護(hù)層指標(biāo)在總體評(píng)測(cè)指標(biāo)中的比重越高，說明防毒軟件的防護(hù)效果越好。這是因?yàn)?，暴露防護(hù)層是防毒軟件的第一層防護(hù)，如果病毒威脅在第一層就能被攔截住，防護(hù)效果是最佳的。比如，防毒產(chǎn)品能夠在用戶點(diǎn)擊病毒的下載URL的一瞬間將這個(gè)URL攔截住，那么病毒在整個(gè)生命周期的第一步就被阻止了，病毒樣本始終就沒有出現(xiàn)在用戶的系統(tǒng)中，這對(duì)用戶的系統(tǒng)來說是最佳的防護(hù)。

安全產(chǎn)品應(yīng)規(guī)范評(píng)測(cè)流程

其實(shí)，這種完整的評(píng)測(cè)流程和方法，在每款產(chǎn)品正式推向市場(chǎng)前，廠商都會(huì)經(jīng)過內(nèi)部嚴(yán)格的出廠測(cè)試，尤其對(duì)于安全軟件來說，從產(chǎn)品原形到出廠產(chǎn)品，通常是要經(jīng)過實(shí)驗(yàn)室模擬測(cè)試、真實(shí)環(huán)境測(cè)試和用戶環(huán)境測(cè)試這三個(gè)流程。在此基礎(chǔ)上，再通過第三方評(píng)測(cè)機(jī)構(gòu)的認(rèn)證，顯然，產(chǎn)品的信服力就大了很多。

但當(dāng)前安全軟件市場(chǎng)中，各種第三方評(píng)測(cè)機(jī)構(gòu)出具的報(bào)告讓用戶看花了眼，今天A機(jī)構(gòu)出了評(píng)測(cè)報(bào)告，明天B機(jī)構(gòu)出了排名……，類似的評(píng)測(cè)報(bào)告每年，甚至每季度都會(huì)有，對(duì)于廠商來講，這樣的測(cè)試報(bào)告，或者認(rèn)證似乎可以增加產(chǎn)品的市場(chǎng)競(jìng)爭力，但實(shí)際上對(duì)于為這些產(chǎn)品買單的用戶來講，他們更關(guān)心是能不能真的解決問題。

目前，很多評(píng)測(cè)機(jī)構(gòu)，或是評(píng)測(cè)報(bào)告在公信力方面或多或少都存在讓用戶質(zhì)疑的地方，主要原因還在于缺乏統(tǒng)一規(guī)范的測(cè)試流程，或標(biāo)準(zhǔn)。但從另一角度來看，由于安全防護(hù)技術(shù)創(chuàng)新速度的特殊性，這樣的測(cè)試標(biāo)準(zhǔn)的確很難制定，很有可能出現(xiàn)朝令夕改的現(xiàn)象，所以在記者看來，規(guī)范安全產(chǎn)品的測(cè)試流程不失為更為有效和適用的途徑。

與Wildlist（特點(diǎn)：收集病毒樣本并共享給其他評(píng)測(cè)機(jī)構(gòu)）、Virus Bulletin（特點(diǎn)：掃描病毒樣本，流程規(guī)范而嚴(yán)格，有相當(dāng)資歷，也就是傳說中的VB100）、AV-Comparatives（第一家對(duì)主動(dòng)防御提供評(píng)測(cè)流程及方法的機(jī)構(gòu)）、ICSA（以硬件和網(wǎng)關(guān)類產(chǎn)品評(píng)測(cè)為主）、West Coast Labs（資歷較老的英國評(píng)測(cè)機(jī)構(gòu)）這樣各有特色國外專業(yè)的評(píng)測(cè)機(jī)構(gòu)相比，起步相對(duì)較晚的國內(nèi)評(píng)測(cè)組織，在規(guī)范測(cè)試流程方面要做更多的努力，才能打破國外評(píng)測(cè)機(jī)構(gòu)“權(quán)威”性的壟斷。

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】

【編輯推薦】

1. 趨勢(shì)科技發(fā)文挑釁VB100 金山對(duì)此不以為然
2. 趨勢(shì)退出VB100病毒測(cè)試 強(qiáng)調(diào)評(píng)測(cè)與病毒的不對(duì)等博弈
3. 獨(dú)家專訪VB100：趨勢(shì)科技退出緣于新病毒檢測(cè)失敗
4. 2009年世界頂級(jí)殺毒軟件排行(ToptenReviews)