安全观察 您的防病毒软件可以处理零时差恶意软件攻击吗?

您的防病毒软件可以处理零时差恶意软件攻击吗?

视频: 橙客网杯跑跑大奖赛:城镇高速公路 (十一月 2024)

视频: 橙客网杯跑跑大奖赛:城镇高速公路 (十一月 2024)
Anonim

测试基于签名的防病毒保护非常容易。 您收集了数百或数千个已知的恶意软件样本,进行扫描,并记下检测到了多少个防病毒产品。 但是,对于全新的零日病毒(或其他类型的恶意软件),肯定没有可用的签名。 测试抵御零日威胁的防护措施很困难,但是AV-Comparatives的研究人员已经找到了一种可以使它们满足要求的技术。 但是请注意,并不是所有的防病毒软件供应商都认可该特定测试。 许多人选择退出最新版本,其结果刚刚发布。

根据定义,不可能使用实际的零日样本进行测试。 到研究人员可以捕获并验证样本时,防病毒供应商已经在准备签名的路上。 AV-Comparatives通过“冻结”产品的特征数据库,然后仅使用在大冻结后首次出现的样本来模拟零日检测。

一些产品将使用启发式技术检测新恶意软件,并通过与已知恶意软件的相似性或其他特征对其进行识别。 研究人员启动了没有被启发式方法捕获的每个样本,并指出该产品的基于行为的检测或其他实时保护是否可以防止侵扰。 产品本身就完全阻止了恶意软件,因此获得了全部信用,而在阻止需要用户做出正确决定的情况下,产品获得了半信用。

很好的检测

仅根据检测率,在16种测试产品中就有11种会获得ADVANCED +评分,即最高评分。 Bitdefender以97%的检测率位居榜首。 卡巴斯基和Emsisoft均占94%。 熊猫和阿瓦斯特本来可以赚钱的。 微软也将获得ADVANCED评级,但AV-Comparatives仅将其用作基准。 在最底端,AnhLab和Vipre会获得STANDARD评级。

讨厌的误报

必须非常仔细地调整启发式和基于行为的检测系统,以避免将有效程序标记为危险,这就是所谓的误报。 许多被测产品因误报过多而丢分。 由于检测测试是使用去年2月冻结的签名进行的,因此研究人员能够重复使用3月份进行的测试的假阳性结果。

由于过多的误报,有六种被测产品失去了一个等级。 对于Emsisoft,eScan和G Data而言,这意味着从ADVANCED +降到ADVANCED,而Panda从ADVANCED降到STANDARD。 至于AhnLab和Vipre,它们都已经处于最低通过水平,因此它们的最终评级只是被测试。 他们没有通过。

云之争

将其产品提交AV-Comparatives进行测试的供应商必须同意参加所有必需的测试。 基于签名的文件检测测试是必需的测试之一。 赛门铁克不赞成该测试,这就是为什么您无法在AV比较报告中找到Norton的结果的原因。

另一方面,主动测试是可选的。 根据该报告,“ AVG,McAfee,奇虎,Sophos和趋势科技决定不参加,因为它们的产品严重依赖云。” 零日测试必然排除基于云的检测,因为无法“冻结”云。 这些供应商认为,如果不访问云连接,他们的产品将得分很低。

虽然AV-Comparatives确实允许这些供应商屈服,但该报告只是对它们进行了一点责骂。 它说:“即使在几周后,某些依赖于云的产品仍未检测到所使用的许多恶意软件样本,即使它们具有基于云的功能。” “如果回顾性测试……因为不允许使用云资源而受到批评,我们认为这是营销的借口。” 该报告的结论是:“如果文件是全新的/未知的,则云通常将无法确定该文件是好文件还是恶意文件。”

如果您的防病毒软件在本次测试中获得最高评价,则表明它可以防御全新的零日威胁。 但是,由于该测试实际上并未使用真实世界中从未见过的样本,因此得分低(或没有参与)并不一定证明它无法胜任。 为了全面了解,您将需要查看各种测试以及PCMag的深入动手防病毒评论。

您的防病毒软件可以处理零时差恶意软件攻击吗?