- Антивирус, авторам которого будет заранее известен состав вирусной коллекции, а еще лучше доступна сама коллекция
вирусов, всегда будет набирать 100 баллов. Ведь чем ближе контакт того или иного антивируса с экспертами тестирования,
тем лучше его результат "тестирования". Возможно, этим и объясняется такой разброс результатов различных тестирований?
- Существует немало "коллекций" вирусов, которые включают в себя программные модули,
похожие только на вирусы, а на самом деле не способные нанести какого было вреда. Чаще всего это программы,
которые были заражены вирусом, но в последствии
вирус, находящийся в них, был стерилизован, то есть программа была видоизменена и код вируса уже не получает управления.
Такая программа уже не является вредоносным объектом, но содержит следы (сигнатуры) присутствия вируса.
Если она проверяется антивирусом с примитивными алгоритмами распознавания вируса, например, методом
сканирования тела проверяемого объекта на наличие неких сигнатур, то этот "антивирус" издаст победный клич, и его
автор будет гордиться тем, что другой антивирус "пропускает" вирус. Таких примеров можно привести огромное множество,
поэтому если качество коллекции не проверено и не подтверждено независимыми специалистами, цена тестирования на
такой коллекции будет не высокой. Таким образом, примитивные антивирусы будет казаться лучше более совершенных
антивирусов, умеющих моделировать исполняемый код программы.
- Еще один немаловажный аспект заключается в том, насколько выбранный состав коллекции вирусов
адекватен существующей угрозе. Опять же существует огромное множество коллекций, состоящих из вирусов,
вероятность попадания которых на компьютеры равна нулю. Приходится сталкиваться с результатами "тестирования" на
коллекционных вирусах, находящихся только у автора антивируса, который очень горд тем, что этот набор вирусов
определяет только его антивирус и больше никто! Реальная ценность такого "антивируса" также равна нулю.
На самом деле истинная ценность антивируса заключается в его способности предотвратить атаки вредоносных объектов,
которые реально и сейчас угрожают Вашему компьютеру. К сожалению, все существующие методы тестирования антивирусов
такой оценки дать не могут!
Ниже предлагается методика оценки качества антивирусов, которая основана на вычислении вероятности антивируса,
противостоять атакам вредоносных объектам, которые реально угрожали компьютерной системе.
Численное значение такой оценки можно рассчитать по формуле:
Pav = (Nvir - Nbad) / Nvir
Где:
| Pav | - Вероятностная оценка качества антивируса, чем она ближе к единице, тем лучше антивирус. |
| Nvir | - Общее число зафиксированных вредоносных объектов на данном компьютере (организации). |
| Nbad | - Число вредоносных объектов, которые антивирус в момент атаки не выявил. |
Таблица 1 содержит расчеты показателя надежности (последняя колонка) различных антивирусов.
В качестве исходных данных были использованы результаты проверки реакции различных антивирусов на вредоносные объекты,
с которыми реально столкнулся автор этой публикации в период с января 2006 по июль 2007. Общее число зафиксированных
вредоносных объектов было 51. Расчетные показатели надежности различных антивирусов приведены в таблице 1.
Таблица 1. Показатели надежности антивирусов
Наименование
антивируса
| Пропущено вирусов за соответствующий период 2006 - 2007 годов
| Пропущено
вирусов из
51 атак
| Качество
антивируса
|
|---|
| 10.12 - 23.02 |
17.05 |
05.06 - 13.07 |
12.07 |
17.07 |
21.07 |
24-26.07 |
27.07 |
27.07 |
30.07 |
31.07 |
03.08 |
| DrWeb | 12 | 1 | 0 | 0 |
0 | 0 | 3 | 0 | 0 | 1 |
0 | 0 |
17 | 0,667 |
|---|
| Kaspersky |
11 | 1 | 3 | 1 | 0 | 0 | 2 | 1 | 0 | 0 |
1 | 1 |
21 | 0,588 |
|---|
| AntiVir |
13 | 1 | 2 | 0 | 2 | 1 | 0 | 0 | 1 | 0 |
1 | 1 |
22 | 0,569 |
|---|
| Fortinet |
14 | 1 | 0 | 0 | 2 | 2 | 1 | 0 | 1 | 1 |
1 | 1 |
23 | 0,549 |
|---|
| Sophos |
19 | 1 | 0 | 0 | 0 | 1 | 0 | 0 | 1 | 1 |
1 | 0 |
24 | 0,529 |
|---|
| BitDefender |
14 | 1 | 3 | 0 | 2 | 1 | 0 | 1 | 1 | 1 |
1 | 1 |
25 | 0,510 |
|---|
| McAfee |
19 | 0 | 1 | 0 | 2 | 2 | 0 | 0 | 1 | 1 |
0 | 1 |
27 | 0,471 |
|---|
| Ikarus |
19 | 1 | 1 | 0 | 2 | 1 | 1 | 0 | 1 | 0 |
1 | 0 |
27 |
| eSafe |
15 | 1 | 4 | 1 | 1 | 2 | 3 | 1 | 1 | 0 |
0 | 0 |
28 | 0,451 |
|---|
| NOD32v2 |
16 | 1 | 4 | 0 | 2 | 1 | 0 | 1 | 1 | 1 |
1 | 1 |
29 | 0,431 |
|---|
| CAT-QuickHeal |
19 | 0 | 3 | 0 | 2 | 2 | 0 | 1 | 1 | 0 |
1 | 1 |
30 | 0,412 |
|---|
| ClamAV |
16 | 0 | 3 | 1 | 2 | 2 | 2 | 1 | 1 | 1 |
1 | 1 |
31 | 0,392 |
|---|
| VBA32 |
18 | 0 | 4 | 0 | 1 | 1 | 2 | 1 | 1 | 1 |
1 | 1 |
31 |
| Sunbelt |
20 | 1 | 3 | 0 | 2 | 2 | 0 | 1 | 1 | 0 |
1 | 1 |
32 | 0,373 |
|---|
| Norman |
21 | 1 | 1 | 1 | 1 | 1 | 3 | 0 | 1 | 1 |
1 | 0 |
32 |
| F-Prot |
16 | 1 | 4 | 1 | 2 | 2 | 3 | 1 | 1 | 1 |
1 | 1 |
33 | 0,353 |
|---|
| Microsoft |
26 | 1 | 1 | 0 | 0 | 1 | 0 | 0 | 1 | 1 |
1 | 1 |
33 |
| Panda |
19 | 1 | 4 | 0 | 2 | 2 | 1 | 1 | 1 | 0 |
1 | 1 |
33 |
| Authentium |
16 | 1 | 4 | 1 | 2 | 2 | 3 | 1 | 1 | 1 |
1 | 1 |
34 | 0,333 |
|---|
| AVG |
18 | 1 | 4 | 0 | 2 | 2 | 2 | 1 | 1 | 1 |
1 | 1 |
34 |
| TheHacker |
23 | 1 | 2 | 1 | 1 | 1 | 3 | 0 | 1 | 1 |
1 | 1 |
36 | 0,294 |
|---|
| Ewido |
22 | 1 | 4 | 1 | 2 | 1 | 3 | 1 | 1 | 1 |
1 | 1 |
38 | 0,255 |
|---|
| Avast |
25 | 0 | 4 | 1 | 2 | 2 | 0 | 1 | 1 | 1 |
1 | 0 |
39 | 0,235 |
|---|
|
К сожалению в таблицу 1 не вписался один из известных в России антивирусов Symantec, более известный у нас как Norton antivirus.
Это связано с тем, что данный антивирус был включен в базу антивирусов сайта VirusTotal с 30 января 2007, что не дало возможности
включить его показатели в общую таблицу. Однако, благодаря гибкости предлагаемой методики оценки, надежность антивируса Symantec
удалось рассчитать по имеющимся данным последний проверок.
Таблица 2. Сравнение показателя надежности антивируса Symantec с другими антивирусами.
|
|
|
