Стремительное развитие коммуникационных и информационных технологий в последнее время привело к резкому увеличению количества пользователей сети. Любой здравомыслящий человек не рискнет выйти во всемирную паутину, предварительно не установив антивирусное программное обеспечение. На сегодняшний день существует множество программных продуктов, которые, как утверждают их разработчики, способны защитить компьютер от вредоносного программного обеспечения. По этой причине актуальной является задача тестирования антивирусов с целью выявления наиболее качественного программного продукта.

В настоящее время все методики тестирования антивирусного программного обеспечения разделяют на 4 типа:

- статическое;
- динамическое;
- тестирование скорости реакции;
- ретроспективное.

Статическое тестирование — это наиболее простой вид тестирования. Оно заключается в сканировании по требованию, которое проводится на коллекции вредоносных программ. Для того чтобы получить содержательные результаты, любой статический тест должен проводиться на коллекции вредоносного ПО, содержащей тысячи файлов. Коллекции таких тестовых организаций, как AV-Test и AV-Comparatives, как правило, состоят из сотен тысяч файлов, а в некоторых случаях в них входит и более миллиона образцов. Тесты этих исследовательских лабораторий, так же как и любые тесты, имеют свои плюсы и свои минусы. Плюсы заключаются в том, что тестирование проводится на больших коллекциях вредоносного ПО, и в том, что в этих коллекциях представлены самые разнообразные типы вредоносных программ. Минусы же в том, что в этих коллекциях содержатся не только "свежие" образцы вредоносных программ, но и относительно старые. Как правило, используются образцы, собранные за последние полгода. Кроме того, в ходе этих тестов анализируются результаты проверки жесткого диска по требованию, тогда как в реальной жизни пользователь скачивает заражённые файлы из Интернета или получает их в виде вложений по электронной почте. Важно обнаруживать такие файлы именно в момент появления их на компьютере пользователя.

Что же касается динамического тестирования, то его главная цель состоит в том, чтобы с помощью всех доступных средств воспроизвести реальную пользовательскую среду, для которой предназначен тестируемый продукт, обеспечивающий безопасность. Это становится все важнее по мере появления в средствах защиты совершенно новых свойств, которые нельзя реализовать в классической тестовой среде.. Так, например, для проверки эффективности антивирусной защиты специалисты PC Pro не просто запускали проверку вирусной коллекции по требованию, а скачивали письма с зараженными вложениями, и при помощи специально написанных скриптов имитировали загрузку зараженных файлов из Интернета. Такой тест наиболее приближен к реальным условиям, и, как стало ясно, способность противодействовать вредоносным программам у многих продуктов оказался ниже, чем их уровень обнаружения при простой проверке зараженных файлов по требованию.

Тестирование скорости реакции на появление новых угроз в наши дни проводится редко, на этот вид тестов стоит обратить внимание. Он был особенно популярен во времена больших эпидемий почтовых червей. NetSky, Bagle, Mydoom, Sober и Sobig — классические примеры вредоносных программ того периода. В отличие от статического тестирования, при анализе скорости реакции используются совсем небольшие наборы образцов. В одном из видов тестирования на скорость реакции, в котором выводятся общие показатели по каждой антивирусной компании, используются тестовые коллекции большего, хотя все равно сравнительно маленького размера, и при этом результаты по конкретным вредоносным программам не публикуются. В другом виде тестов подсчеты ведутся отдельно по каждому образцу.

Для определения скорости реакции обычно оценивается реакция антивирусной программы при обнаружении новейших видов вредоносных программ. В этих целях используется несколько сотен семплов, собранных за последнее время. Здесь выигрывают антивирусы, базы которых пополняются наиболее активно.

И последний тип тестирования антивирусного программного обеспечения – это ретроспективное тестирование. В отличие от традиционных методов, в ретроспективном тестировании исследованию подвергаются версии антивирусных продуктов по состоянию на один и тот же момент времени в прошлом. Обычно этот момент удален от момента тестирования на достаточно длительный период, за который проявляется большое число новых компьютерных вирусов. Соответственно, полученная оценка отражает реальные возможности проактивной защиты протестированного антивирусного программного обеспечения.

Рассмотрев основные типы тестирования антивирусного программного обеспечения можно сделать вывод о том, что каждый из них имеет свои преимущества и недостатки и должен использоваться для решения различных задач в области тестирования систем антивирусной безопасности.



УДК 004.492
Автор: Д.Ю. Сизов
Национальный исследовательский ядерный университет «МИФИ»
Читайте также: