杀毒软件大比武：趋势科技力拔头筹

评测机构：AV-Test.org

结果于 2010 年 10 月发布 

 

 

执行摘要

 

 

2010 年 10 月，AV-Test.org 对分别来自 Symantec、McAfee、Microsoft、Sophos 和趋势科技的五款市场主要的企业端点解决方案执行了端点安全基准评测。

 

 

 

AV-Test.org 在开放式环境下测试真实发生的零日攻击，方法是追踪包含与自身关联的恶意软件的恶意 URL。该评测在所有厂商的平台上同时进行，确保评测进行期间对各方绝对公平。将产品配置为在多个不同等级阻止或检测威胁，以便展现每个厂商防御这些威胁的最大能力。

 

 

 

在这些评测中，趋势科技以明显优势拔得头筹，初始威胁阻止率超过 97%，1 小时之后为 99%，比第二名高出整整 16%。趋势科技还证明了其在源头（即 URL）处阻止这些威胁方面的明显优势，可以在该层阻止超过 84% 的威胁。

 

 

概述

 

 

传统上，端点评测的执行方法包括：更新各个产品的签名，从网络移除设备，然后将恶意文件测试集复制到该设备以确定可以捕获的数量。这种方法仅适用于存在的恶意文件数量较小时，但是今天，AV-Test.org 的最新统计数据表明，每月产生超过 1,500,000 个独特样例。

 

接触层检测和阻止会减少风险

 

 

对于仅使用基于文件的检测方法来尝试检测新产生的威胁的所有厂商而言，“海量威胁”正在导致一些问题。基于文件的检测要求每个威胁拥有防病毒公司创建和分发的类似签名文件。另外，现在大多数威胁通过受侵害的 Web 页面、BSEO（黑帽搜索引擎优化）和使用社会工程学等方法来源于 Internet。需要使用新技术来应对这些新威胁载体。

 

 

因此，AV-Test.org 执行了更为真实的端点解决方案评测，该评测不仅仅测试某个产品检测基于文件的威胁（感染层）的能力，还检测在威胁源头（接触层）阻止威胁的能力以及执行时（动态层）检测/阻止威胁的能力。由于开放式环境中出现的威胁的数量的快速增加，解决方案的追踪、分析和阻止无法识别的新威胁的能力变得越来越关键。接触层阻止会减少带给网络的风险，因为较少的威胁会影响网络带宽或需要计算资源在端点处将其阻止。在该评测中，只有在前一层中未被阻止的威胁才会在下一层中测试，以此类推。由 AV-Test.org 执行的评测的另一个方面是，1 小时后重新测试，确定是否有厂商已添加针对首次运行（亦称“防护时间”）时漏掉的威胁的新防护。

 

 

2010 年 10 月，AV-Test.org 测试了分别来自 Symantec、McAfee、Microsoft、Sophos 和趋势科技的五款市场主要的企业端点解决方案。评测结果表明，趋势科技凭借在接触层防护和防护时间两方面的明显优势拔得头筹。

 

 

下图表明，基于阻止的威胁数量，趋势科技防毒墙网络版在总体防护方面在这些主要厂商中排名第一。

 

 

 

注意：结果基于 T+60 分钟的结果

 

 

 

测试产品

 

 

AV-Test.org 在 2010 年 10 月期间测试了以下五款产品：

 

• 趋势科技防毒墙网络版 v10.5.1083

 

• Symantec Endpoint Protection v12.0.1001.95

 

• McAfee VirusScan Enterprise v8.7.0.570

 

• Microsoft Forefront Client Security v1.5.1981.0

 

• Sophos Endpoint Security and Control v9.5.3

 

 

 

 

结果和分析

 

 

在所有产品中，趋势科技位列榜首。

 

 

 

 

 

 

注意：结果基于 T+60 分钟的结果。每一层的阻止率不累加至总体得分。例如，趋势科技防毒墙网络版：在接触层阻止了 200 个威胁中的 169 个 (85%)；在感染层阻止了 31 个威胁中的 21 个 (68%)；在动态层阻止了 10 个威胁中的 8 个；总共阻止了 200 个威胁中的 198 个 (99%)。

 

 

在威胁的源头阻止方面，趋势科技表现出拥有最强的技术（比第二名高出 23.5%），因此，请确保在检测前没有下载任何文件。这确保了这些威胁无需带宽去下载，也无需使用计算机资源来识别或执行恶意代码。

 

 

在感染层中，Microsoft 的表现最为优异，这有助于提高总体得分，但低的接触得分表明它们仍然注重使用基于签名或基于行为的检测方法来阻止威胁。随着越来越多的恶意文件发布到开放式环境中，这会导致一些问题。基于文件和签名的方法需要更多的工作来创建签名文件、分发并在每个端点上更新这些文件。因此，随着威胁数量的增加，防护所用的网络和端点计算机资源会越来越多。

 

 

 

总体上，得分低于许多通常所见的现今评测中的得分。可能的原因是，由于评测之前收集 URL 和文件库的时间很短，厂商没有太多的时间通过正常的行业分享过程获取样例。

 

 

现在越来越多的威胁数量要求厂商改进其在追踪、分析和阻止未知威胁的能力。出于该原因，AV-Test.org 在该评测中使用的方法是 1 小时后再次运行样例。这给了厂商产品一次机会，使它们可以自动追踪第一次运行时绕过其技术的威胁，分析每个 URL 和文件，并在下一次运行前最终提供防护。如果产品拥有管理此过程的内在自动机制，那么另加的 1  小时评测的效果应该有所改善。

 

注意：防护时间改善指在 T=0 分钟时漏掉并随后在 T=60 分钟时阻止的威胁的百分比。例如，趋势科技防毒墙网络版：T=0 分钟时，阻止了 195 个威胁，漏掉了 5 个威胁。在 T=0 分钟时漏掉的 5 个威胁中，在 T=60 分钟时阻止了 3 个（阻止率为 60%）。

 

趋势科技再次证明了其在该方面的强大能力，与第一次运行相比，防毒墙网络版提高了 60%。其他厂商的平均改善率为 0.35%。这表明，在首次运行期间未检测到的威胁总数中，60% 在 T+60 运行期间得到阻止。

 

 

排名、病毒库和方法

 

 

得分和排名

 

 

总体得分是通过累加每个解决方案阻止的威胁的总数得到的，不论是在哪一层阻止的该威胁。

 

请注意，这些排名与性能、可伸缩性、用户界面、特性或功能无关，唯一的指标是针对 2010 年 10 月病毒库的防护有效性。

 

病毒库

 

 

AV-Test.org 通过搜索 Internet 中拥有关联恶意软件的 URL 收集了评测所用的病毒库。对于该评测，收集了 200 个恶意 URL 样例和关联的 200 个恶意文件样例，以进行测试。

 

AV-Test.org 评测所用的 URL/文件均采用各种专有发现、分析和验证技术从现有站点收集。这些 URL 并非由参与测试的公司所提供，也不为他们所了解。

 

评测方法

 

 

可在以下 Web 页面找到评测方法。http://www.avtest.org/services_and_testing

 

 

总结

 

 

我们可以从得到的数据中获得如下结论。

 

1. 诸如趋势科技这样的厂商，在多个层次（接触、感染和动态）上投入并提供了阻止威胁的解决方案，可以针对现在传播的新威胁提供更好的安全性。通过使用 Web 信誉等主动式技术使威胁完全远离网络或计算机，而不是等待完成恶意文件的下载，防护效果得到了改善。

2. 零日威胁更难防御，这是与传统检测率测试相比总体得分偏低的原因，也是在任何真实评测中加入防护时间因素的原因。这表明了厂商在针对任何先前未发现的威胁时进行追踪、分析和提供防护的效率。

 

 

 

该比较报告由 AV-Test.org 于 2010 年 10 月独立完成，并由趋势科技赞助。AV-Test.org 旨在根据在其安全实验室进行的测试为产品提供客观公正的分析。