В данной статье приводится анализ результатов теста на скорость реакции продуктов различных антивирусных компаний, среди которых Kaspersky, BitDefender, Dr. Web, F-Secure, Norman, Sophos, AntiVir, Command, Ikarus, Trend Micro, F-Prot, Panda Software, AVG, Avast, Computer Associates eTrust, McAfee, VirusBuster, Symantec. Сравнение проводится на наиболее значимых вирусных эпидемиях 2005 и 2004 года.
Наряду с быстрым ростом общего количества новых вредоносных программ, среди которых вирусы, трояны, интернет-черви, шпионские программы, растет и скорость их распространения. В сети Интернет действует множество организованных преступных группировок, для которых создание новых вирусов, рассылка спама или организация заказных DDoS-атак давно стало источником дохода. Часто злоумышленникам достаточно всего несколько часов для организации "локальной эпидемии", целью которой служит пополнение своей зомби-сети за счет компьютеров новых жертв.
Поэтому при классическом, реактивном подходе к антивирусной защите (на основе сигнатур) время реакции, под которым подразумевается промежуток времени между первым детектированием вредоносного кода и выходом соответствующей сигнатуры, становится одним из основных параметром в сравнении антивирусных продуктов.
Суммарное время реакции на новую угрозу можно разложить на следующие составляющие:
- временя детектирования вредоносного кода (до попадания его в антивирусную лабораторию);
- время анализа вредоносного кода экспертами, подготовки его сигнатуры, политики безопасности и т.д.;
- время тестирования сигнатуры, политики безопасности и т.д.;
- время выхода соответствующего обновления баз данных для загрузки клиентам.
Последняя составляющая напрямую зависит от частоты выхода обновлений, которая рассматривалась для различных вендоров в статье «Частота обновлений антивирусных баз различных производителей».
Однако интересно все же посмотреть на скорость реакции различных вендоров в целом, а не по отдельным ее составляющим. Для этого необходимо провести значительную работу, накапливая статистические данные по детектированию вредоносных программ независимыми источниками и выпуску обновлений антивирусными компаниями.
Такие исследования на регулярной ежегодной основе проводятся независимым исследователем AV-Test GmbH, Андреасом Марксем (Andreas Marx). В его последнем отчете, опубликованном The Washington Post, приводятся результаты теста на скорость реакции продуктов различных антивирусных компаний на наиболее значимых вирусных эпидемиях 2005 года.
на 16 наиболее опасных вариантах червей для Microsoft Windows 2005 года, включая Bagle, Bobax, Bropia, Fatso, Kelvir, Mydoom, Mytob, Sober и Wurmark.
Результаты сравнения приведены в таблице ниже, где для каждого антивирусного производителя указывается среднее на 16 измерений время реакции с разбивкой по интервалам в два часа.
Результаты тестирования на скорость реакции, 2005 год
|
Как видно, лучшей по скорости реакции является Лаборатория Касперского, ее клиенты защищены уже в среднем менее чем через 2 часа после появления новой угрозы. Следом за Kaspersky идет целая группа производителей, среди которых BitDefender, Dr. Web, F-Secure, Norman и Sophos, их среднее время реакции составило от 2 до 4 часов, что также очень хорошо.
Далее идут AntiVir, Command, Ikarus и Trend Micro со временем реакции от 4 до 6 часов, а также F-Prot и Panda Software со временем реакции от 6 до 8 часов, что можно считать удовлетворительными результатом.
У всех остальных вендоров дела со скоростью реакции обстоят не важно. Интересен еще тот факт, что AntiVir, Avast и AVG, чьи персональные антивирусные продукты распространяются бесплатно, демонстрируют скорость реакции лучше, чем лидеры рынка - компании Symantec и McAfee. Последнюю строчку занял антивирусный движок CA eTrust VET (используется в продуктах Zonelabs), который оказался самым медленным по скорости реакции среди участвовавших в тесте.
Для сравнения в 2004 году результаты были следующими:
Результаты тестирования на скорость реакции, 2004 год
|
Как видно некоторые антивирусные производители за год заметно улучшили свои показатели по скорости реакции, среди них: Kaspersky, Dr. Web, F-Secure, Norman, Symantec, Sophos, F-Prot, Avast, McAfee и VirusBuster. Есть и такие, кто по этому показателю стал хуже, огорчили Panda Software и CA eTrust-VET.
Понятно, что по одной только скорости реакции нельзя судить о качестве того и иного антивируса. Существует также различные проактивные технологии, а также множество других важных для антивирусов критериев оценки, но все же значение скорости реакции сложно переоценить.
Мы будем рады прочитать Ваши комментарии и ответить на все Ваши вопросы по данному сравнению в нашем форуме.
Автор: Сергей Ильин
Основатель проекта Anti-Malware.ru
10.01.2006
