分析：安全軟件評(píng)測(cè)方法應(yīng)向何處去？

早在2008年，當(dāng)趨勢(shì)科技聲言退出一項(xiàng)重量極的安全測(cè)試VB100時(shí)，就在業(yè)界引起了不小的轟動(dòng)。當(dāng)時(shí)趨勢(shì)科技反惡意軟件部門(mén)首席技術(shù)官Raimund Genes在接受采訪(fǎng)中表示，“VB100的測(cè)試體系只是‘20世紀(jì)的測(cè)試標(biāo)準(zhǔn)’”，他認(rèn)為“VB100的測(cè)試并不適應(yīng)互聯(lián)網(wǎng)發(fā)展的實(shí)際情況，而且基于數(shù)字簽名的模式匹配和檢測(cè)方法只是安全技術(shù)版圖中的一小塊，如果不將真正面向互聯(lián)網(wǎng)時(shí)代的安全威脅的惡意軟件行為分析技術(shù)納入其中的話(huà)，那么VB100的測(cè)試體系就是不完整的”。正是基于這一理念，趨勢(shì)科技宣布了退出VB100測(cè)試，而在此之前，趨勢(shì)科技已先后數(shù)十次通過(guò)了該測(cè)試。

趨勢(shì)科技退出VB100測(cè)試，或許可以認(rèn)為是一項(xiàng)標(biāo)志性的事件，Raimund Genes對(duì)VB100測(cè)試的看法，其實(shí)也說(shuō)明了在安全軟件的評(píng)測(cè)方法上目前普遍存在的一些問(wèn)題。

安全軟件評(píng)測(cè)方法的發(fā)展與病毒技術(shù)的發(fā)展、安全軟件技術(shù)的發(fā)展之間的關(guān)系是分不開(kāi)的。可以說(shuō)，病毒技術(shù)的發(fā)展推動(dòng)了安全軟件技術(shù)的發(fā)展，安全軟件技術(shù)的發(fā)展又促使病毒產(chǎn)生新的進(jìn)化，而新的病毒技術(shù)和新的安全軟件技術(shù)，則又呼喚新的安全軟件評(píng)測(cè)方法來(lái)與之適應(yīng)。

在早些年中，病毒還是相對(duì)比較孤立的，傳播沒(méi)有如今這樣快，爆發(fā)數(shù)量也比較少。比如在2005年，互聯(lián)網(wǎng)新病毒產(chǎn)生的速度，只有每小時(shí)不到50個(gè)。在這一時(shí)期，安全軟件基本上是其于特征碼檢測(cè)技術(shù)的，它們將每一個(gè)病毒的特征碼加入到病毒庫(kù)中，從而對(duì)其進(jìn)行查殺，事實(shí)上，從病毒產(chǎn)生，殺毒軟件出現(xiàn)起，安全軟件一直采用的就是這種查殺方法。

但如今的網(wǎng)絡(luò)威脅形勢(shì)已經(jīng)發(fā)生了很大的變化，這使得傳統(tǒng)的檢測(cè)率評(píng)測(cè)方法已力不從心。

首先是病毒的數(shù)量暴增。2006年底，“熊貓燒香”病毒的出現(xiàn)可以說(shuō)是一個(gè)代表，這一病毒單從病毒技術(shù)上來(lái)講，并沒(méi)有多少創(chuàng)新，但在病毒傳播技術(shù)方面，該病毒充分利用了互聯(lián)網(wǎng)的傳播能力，并且變種更新頻頻，一時(shí)間造成了極大的影響。隨后的種種新病毒也都充分利用互聯(lián)網(wǎng)進(jìn)行傳播，這使得新病毒的出現(xiàn)進(jìn)入了一個(gè)大爆炸的時(shí)期。在2007年，互聯(lián)網(wǎng)上每小時(shí)出現(xiàn)的新病毒已達(dá)到600個(gè);而到了如今，每小時(shí)出現(xiàn)的新病毒數(shù)量已達(dá)到兩千個(gè)。在這種情況下，對(duì)于大多數(shù)的檢測(cè)率測(cè)試來(lái)說(shuō)，在它們開(kāi)始之前實(shí)際上就已經(jīng)過(guò)時(shí)了。

另外，目前還有很多專(zhuān)門(mén)從事使惡意程序避免被安全軟件檢測(cè)到的數(shù)字犯罪人員，他們?cè)诎l(fā)布病毒之前，往往會(huì)針對(duì)一些安全軟件尤其是一些知名品牌進(jìn)行“免殺”處理，以避開(kāi)安全軟件的檢測(cè)。這使得很多在評(píng)測(cè)中表現(xiàn)不錯(cuò)的安全軟件，實(shí)際中可能表現(xiàn)并不會(huì)那么好。

此外，目前還有許多流行的威脅并不利用惡意文件來(lái)達(dá)到目的，比如目前流行的利用仿冒網(wǎng)站以圖騙取用戶(hù)銀行賬戶(hù)信息的網(wǎng)絡(luò)釣魚(yú)，對(duì)于這種威脅，傳統(tǒng)的評(píng)測(cè)方法根本不能體現(xiàn)出安全軟件對(duì)這種威脅防范的能力。

根據(jù)統(tǒng)計(jì)，目前有92％的威脅都是來(lái)自于互聯(lián)網(wǎng)的，基于互聯(lián)網(wǎng)的威脅只有基于互聯(lián)網(wǎng)的安全防護(hù)技術(shù)才能應(yīng)對(duì)。而云安全的本質(zhì)，實(shí)際上就可以理解為安全軟件的互聯(lián)網(wǎng)化。它將安全廠商的眾多服務(wù)器與無(wú)數(shù)用戶(hù)終端連接在一起，構(gòu)成一個(gè)云的網(wǎng)絡(luò)，依靠這個(gè)龐大的網(wǎng)絡(luò)，不僅使得對(duì)病毒樣本進(jìn)行實(shí)時(shí)采集、分析以及處理的速度得到巨大的提升，還可以在網(wǎng)絡(luò)威脅的源頭就對(duì)其進(jìn)行封堵，在網(wǎng)絡(luò)威脅到達(dá)用戶(hù)用戶(hù)終端之前就對(duì)其進(jìn)行阻止。

盡管各安全廠商之間的云安全體系互有不同，但總體來(lái)說(shuō)，都是力圖為用戶(hù)提供兩層防護(hù)。第一層可以稱(chēng)之為暴露防護(hù)層，這一層可攔截用戶(hù)對(duì)帶毒來(lái)源的訪(fǎng)問(wèn)，在服務(wù)端就對(duì)網(wǎng)絡(luò)威脅進(jìn)行過(guò)濾，阻止用戶(hù)訪(fǎng)問(wèn)那些有害的URL鏈接或者域名。而若仍有漏網(wǎng)之魚(yú)如病毒、木馬等惡意程序到達(dá)了用戶(hù)端，這時(shí)就進(jìn)入第二層防護(hù)，可稱(chēng)為感染防護(hù)層，這時(shí)就要依靠客戶(hù)端的殺毒軟件在對(duì)惡意程序其進(jìn)行清除。具體到實(shí)際操作上，也就是說(shuō)，云安全的體系下，除了傳統(tǒng)的基于惡意程序的病毒特征庫(kù)，還有有一個(gè)基于URL或者域名的惡意網(wǎng)址庫(kù)，利用這兩個(gè)庫(kù)，就構(gòu)成了云安全的兩層防護(hù)體系。

新的評(píng)測(cè)思路

 

新的安全軟件評(píng)測(cè)思路

既然在目前的安全軟件技術(shù)下，基本都采取兩層的防護(hù)體系，那么，新的安全軟件評(píng)測(cè)方法也應(yīng)該要能反應(yīng)出安全軟件在這兩層上的防護(hù)能力上來(lái)。由于傳統(tǒng)的安全軟件評(píng)測(cè)方法實(shí)際上是針對(duì)感染層防護(hù)而設(shè)計(jì)的，因而只需加入對(duì)暴露層防護(hù)能力的測(cè)試也就是攔截惡意URL的能力測(cè)試即可。具體來(lái)說(shuō)，我們應(yīng)收集大量的一組非重復(fù)的惡意軟件URL，這些URL在測(cè)試當(dāng)時(shí)都需保證仍然有效且能夠存取。而被測(cè)試的安全軟件產(chǎn)品則應(yīng)分別安全在不同的計(jì)算機(jī)（實(shí)體機(jī)或者虛擬機(jī)）上。在測(cè)試過(guò)程中，每一部測(cè)試機(jī)都將同時(shí)嘗試存取這些測(cè)試用的惡意URL，從而觀測(cè)它是否會(huì)攔截這些URL，并根據(jù)結(jié)果給出一個(gè)最終暴露層防護(hù)能力分?jǐn)?shù)來(lái)。再進(jìn)行傳統(tǒng)的感染層防護(hù)能力的測(cè)試，得出一個(gè)感染層防護(hù)能力分?jǐn)?shù)，將這二者相加，即得出一個(gè)總體防護(hù)分?jǐn)?shù)來(lái)。

當(dāng)然，為了保護(hù)測(cè)試的準(zhǔn)確，并驗(yàn)證安全廠商進(jìn)行病毒庫(kù)或者惡意網(wǎng)址庫(kù)更新的能力，我們還應(yīng)該保證這一測(cè)試應(yīng)持續(xù)較長(zhǎng)的時(shí)間，并在其間定期投入新的惡意URL或者病毒樣本，以充分模擬真實(shí)的使用環(huán)境。

通過(guò)這一測(cè)試方法，我們可以更全面地考察安全軟件的防護(hù)能力。不過(guò)，這其中仍有不少值得仔細(xì)考慮的地方。比如惡意URL庫(kù)的選定，如何來(lái)獲取這些URL，選擇何種范圍的惡意URL庫(kù)才最能反應(yīng)出真實(shí)應(yīng)用中的情況，又如何來(lái)保證這些惡意URL的有效性？又如在得出最終評(píng)分時(shí)，感染層防護(hù)能力的分?jǐn)?shù)和暴露層防護(hù)能力的分?jǐn)?shù)，之間權(quán)重比該如何確定？

盡管仍存在種種疑問(wèn)，但我們可以確信，這是安全軟件評(píng)測(cè)方法的發(fā)展趨勢(shì)。事實(shí)上，目前有一些安全軟件評(píng)測(cè)機(jī)構(gòu)，如NSS Labs, West Coast Labs, Cascadia Labs等，已經(jīng)開(kāi)始做出了嘗試。

在2009年7月和8月期間，NSS Labs完成了產(chǎn)業(yè)界最接近真實(shí)世界的防毒/終端保護(hù)套裝的測(cè)試。在該測(cè)試中，每個(gè)受測(cè)產(chǎn)品在測(cè)試開(kāi)始之前都會(huì)先更新到最新版本，并且在整個(gè)測(cè)試過(guò)程中被允許訪(fǎng)問(wèn)互聯(lián)網(wǎng)。NSS Labs使用最新的威脅，進(jìn)行了為期17天的24小時(shí)不間斷的測(cè)試，而在此期間，每8小時(shí)就會(huì)完成一輪59項(xiàng)獨(dú)立測(cè)試，并且每一輪都會(huì)加入新的惡意程序和URL。

在NSS Labs的評(píng)測(cè)中，可以看到一個(gè)最大的特點(diǎn)就是，安全軟件的評(píng)測(cè)不再是孤立的，NSS Labs努力模擬出一個(gè)最接近用戶(hù)真實(shí)互聯(lián)網(wǎng)應(yīng)用環(huán)境的測(cè)試環(huán)境來(lái)進(jìn)行測(cè)試。網(wǎng)絡(luò)威脅在互聯(lián)網(wǎng)化，安全軟件也走向互聯(lián)網(wǎng)化，而與之相應(yīng)，安全軟件評(píng)測(cè)方法也應(yīng)走向互聯(lián)網(wǎng)化。

不過(guò)，新的方法需要付出的代價(jià)就是，這一方法復(fù)雜得多，它會(huì)需要更多的人力物力，還有更多的測(cè)試周期。對(duì)于廣大個(gè)人愛(ài)好者來(lái)說(shuō)，要進(jìn)行這種測(cè)試是非常有難度的。如何才能尋求出一種簡(jiǎn)單而又準(zhǔn)確的測(cè)試方法，讓廣大個(gè)人用戶(hù)都能親自去對(duì)比一下自己喜愛(ài)的安全軟件的防護(hù)能力，還是我們需要仔細(xì)考慮的問(wèn)題。