独家专访趋势科技：传统评测方法已过时

 

ToptenReviews网站以每年评出的世界杀毒软件排行榜而闻名，评测涵盖了反病毒、反间谍软件、互联网安全套装、隐私保护等项目。但是此评测在业界的可靠性和可信度并不高，不能与VB100、WCL（West Coast Labs）等专业评测机构相提并论。

 

那么VB100、WCL这些专业而知名的评测机构就能反映安全软件的真实水平了么？其实也不尽然，起码在一些安全厂商看来不是这样的。早在2008年作为全球安全市场份额前三甲的厂商趋势科技就对VB100的评测提出质疑，对其评测方法嗤之以鼻，并退出了病毒评测。而前不久，趋势科技声称VB100的评测方法落后。其主要原因是趋势科技认为目前VB100的测试方法已经与恶意程序的发展趋势严重脱节，不能反映安全软件或防护技术的真实水平。

 

这在安全业界引起了不小的风浪，一方面趋势科技认为，像VB100这样对Wildlist提供的病毒样本进行静态扫描的评测方法，根本无法真实反映云安全技术或产品的实际价值；另一方面VB100则认为，认证的目的在于反映杀毒软件最基础、最普遍的本地系统防护功能，言外之意没通过VB100认证的，至少可以断定这款杀毒软件最基本的系统防护能力不足。

 

过时的传统评测方法应与时俱进

 

之所以出现这两种声音，关键在于评测方法上。熟悉安全软件评测的人都知道，传统的测试方法主要是依靠收集的病毒样本和正常文件，在封闭的环境中用防毒软件扫描病毒样本和正常文件，从而得到病毒检测率和正常文件的误报率。而这两项数据在很长一段时间内成为衡量某一款杀毒软件防护能力的重要指标。

 

趋势科技公司防病毒分析师谷亮认为针对目前的安全威胁，这种测试方法已经明显过时，不能真实地反映一款防毒软件的优劣。据谷亮介绍，2008年全年新增1000多万只病毒，平均每小时新增差不多2000多只病毒，而且92%的病毒是通过互联网传播的。而由于可供测试的样本数量有限，很难代表庞大的病毒总体，此时再用传统测试方法就显得不合适了。

 

病毒和恶意程序数量暴增，已是不争的事实，用单一的病毒特征码来抵御病毒，显得太过被动。所以，业界很多厂商针对这样的情况，也纷纷研发新的安全防护技术，比如基于URL过滤的Web信誉、黑白名单比对等技术。而这些新技术的特点就是充分利用了互联网资源和云计算的优势，与传统的病毒特征码一起，构建一个多层次的防御体系。但问题是，这样的技术所衍生出来的产品，利用传统的测试方法，是否能衡量出防毒产品的优劣呢？在谷亮看来，显然是不能的。他坦言，这也是传统测试方法的弊端所在，正是因为传统的测试方法无法与时俱进，不能适应防毒厂商的技术创新，在鉴别和评测防毒产品时才显得有所缺失。

 

目前流行的测试方法

 

与传统测试方法不同，据谷亮介绍，目前流行的测试方法主要是将测试环境部署到互联网中，允许防毒产品访问防毒厂商的服务器，使防毒产品可以实时地借助防毒厂商的多种后台资源来识别病毒威胁。显而易见，谷亮所描述的可以访问厂商后台服务器的测试方法，就是针对当前被炒得热火朝天的云安全技术。对此，目前比较典型的，也是比较流行的测试方法：

 

一种是测试防毒产品对恶意URL的拦截能力，从数以百万计的URL链接中，按照不同类别挑选出一部分恶意的URL，然后测试防毒产品能否拦截这些恶意的URL。当然，这种方法必须允许防毒产品可以访问防毒厂商的服务器。据了解，Cascadia Labs就是利用的这种测试方法。

 

另一种是测试防毒产品通过云安全技术识别病毒样本的能力，原理和上述测试恶意URL拦截能力一样，允许防毒产品将病毒样本发送到云端的服务器上做扫描。PC Security Labs主要就是利用的这种测试方法。

 

完整的安全软件评测

 

事实上，为应对日益严峻的安全威胁，目前市场主流的防毒软件都已建立了一个多层次的防御体系，所以谷亮认为一次完整的评测应该测试整个防御体系质量。

 

一般来说，防御体系是由至少两个防护层构成，第一层是暴露防护层，这个防护层主要是基于威胁来源做安全防护，比如识别并拦截恶意URL，识别并拦截下载中的病毒等；第二层是感染防护层，这个防护层主要是基于文件内容做安全防护，比如将文件发送到云端服务器做扫描，或者使用本机内的病毒特征码做扫描。

 

完整的评测也应该针对这两个防护层展开测试，设置暴露防护层指标和感染防护层指标两个指标，其中暴露防护层指标包含被拦截URL的比率，被拦截文件的比率，以及被拦截字节的比率；感染防护层包含被拦截文件的比率。这些指标能够让我们看到何种威胁被哪一个防护层所拦截。而总体的评测指标应该是暴露防护层指标和感染防护层指标两个指标之和。