Jak testować antywirusa

Przy takich badaniach mogą się ujawnić niepożądane tendencje, takie jak długi czas od pojawienia się zagrożenia do skutecznego blokowania go przez pakiet, chwilowe utraty skuteczności ochrony albo okresowo pojawiające się fałszywe alarmy. Ważnym wynikiem jest skuteczność blokowania ataków dnia zerowego, gdyż określa ona sprawność automatów działających w modelu cloud computing i odzwierciedla ochronę stacji roboczej, której użytkownik w bardzo intensywny sposób korzysta z Internetu.

Liczby i współczynniki

Żaden test nie będzie miał sensu, dopóki nie zostaną obliczone wyniki. Przy obliczeniach stosuje się współczynniki, które określają poszczególne aspekty osiągów pakietu. Pierwszym parametrem jest współczynnik ochrony warstwy ekspozycji (Exposure Layer Score), który określa sprawność blokowania adresów URL oraz plików z nimi skojarzonych. Dla uproszczenia często zakłada się, że jeden URL równa się jeden plik, co nie zawsze musi być prawdą.

Współczynnik ochrony przed infekcją (Infection Layer Score) określa sprawność wykrywania jedynie plików. Ten wskaźnik faworyzuje tradycyjne pakiety, które nie potrafiły analizować adresu URL, skąd pobierany jest plik. Współczynnik całkowitej sprawności pakietu (End-to-End Protection Score) określa ogólny stosunek zablokowanych ataków do wszystkich badanych próbek. Nie uwzględnia on w ogóle współpracy i redundancji poszczególnych etapów ochrony pakietu, dlatego niezbyt dobrze oddaje sprawność technologiczną wszystkich składników oprogramowania.

Ogólny wynik musi uwzględniać sprawność każdego z etapów ochrony, dlatego wprowadzono indeks całkowitej sprawności pakietu (Overall Protection Index), który opiera się na średniej ocen z poszczególnych warstw.

Od błysku do grzmotu

Przy ocenie skuteczności ochrony przed nieznanymi atakami, nie można zapomnieć o badaniu czasu od pierwszej analizy próbki (kodu, adresu URL) do wdrożenia skutecznego blokowania danego obiektu. Czas ten zazwyczaj jest liczony w godzinach, przy czym wiarygodne wyniki wymagają wielokrotnych powtórzeń, przy wykorzystaniu różnych próbek. Wynik końcowy może być średnią arytmetyczną lub medianą. Zazwyczaj oscyluje wokół 48 godzin, chociaż zdarzają się znacznie szybsze reakcje, gdy zadziała mechanizm geokodowania oraz kojarzenia próbek ze znanymi wektorami infekcji. W takim przypadku reakcja może nastąpić nawet po kilku minutach. Ponieważ trudno oddzielić oba przypadki, najlepiej wykonać dużo prób i dokonać analizy statystycznej. Im krótszy czas od analizy do skutecznej blokady, tym lepiej. Firmy, które dokonały dużych inwestycji w technologię cloud computing, zazwyczaj wykazują się wynikami lepszymi od średniej.


TOP 200