国内杀软和国外杀软没有可比性
按反病毒软件部署的目标来分类,可以分为:
1) 单机/个人用户: 金山、瑞星、江民、趋势(Pccillin)、卡巴斯基、Bitdefender、Nod32、Symantec、Avast
2) 服务器: Mcafee、 F-secure、AVG、 Symantec
3) 办公网络环境:Symantec、Mcafee、 CA eTrust、 趋势(Officescan)
国内的瑞星、江民也推出了网络版的反病毒产品,但是笔者没有接触过,就不敢妄加评论了。
评价一个反病毒产品的性能好坏、不能单纯的从它在测试中的排名、或者测试中杀毒数量的多少来进行比较,必须是按照其产品定位,将其部署到生产环境中,才能看出产品的优劣。很显然,在一个办公网络环境中部署、管理单机版的反病毒产品将是管理员的噩梦,而在个人用户机器上部署服务器版的反病毒软件也会有机器性能和保护效果的损失。
国外的反病毒厂商的反病毒方案产品线大多包含了服务器版和网络版,个人版的杀毒软件只是产品线中的一环,并不是大部分业务收益的来源。而国内的反病毒厂商则把大部分精力放在个人反病毒产品上。这种产品定位的区别可以从技术积累和目标市场的成熟程度上得到答案。国外的信息化和信息安全重视程度远比国内的高,因此对反病毒产品的要求并不单是能杀病毒那么简单,而是要求反病毒产品成为信息安全体系中坚固的一环,并对整个信息安全体系的稳固性产生积极的影响。而在国内,因为信息化程度和信息安全立法等大环境的不成熟,市场的需求还是以个人用户的病毒防护为主。因此,从这个角度来说,国内的杀毒厂商和国外的杀毒厂商是不具备比较条件的。
Mcafee、Symantec与国内厂家的不同之处
举个例子,Mcafee 的 Virusscan Enterprise版本本身的杀毒能力中规中距,在各杀毒评测中的评比一直是徘徊在中上水平,其查杀国内木马病毒的能力也比国内的反病毒产品为弱,但是Virusscan Enterprise部署的环境是定位为企业环境下的网络安全防护产品,它预定义的访问保护规则和缓冲区溢出防护,再加上Mcafee ePO的支持,就能够满足企业的需要,构成整个企业信息安全体系中的中坚。Symantec的部署体系、趋势Officescan的网络威胁快速反应,也是所属厂商所独有的。而国内的反病毒软件只做到其中反病毒的一项功能,其初级的访问控制能力在现在的0day 漏洞大潮中对用户毫无保护能力。
再举个例子,非本土厂商的反病毒产品的设计目标是满足用户的部署需求,在满足部署需求的前提下,某项性能的轻微损失是可以接受的—— Symantec 和 趋势的杀毒能力在众多杀毒测试中是落后于国产反病毒产品的,但是Yahoo选用Symantec、Hotmail选用趋势就很能说明问题,在大数据流量的环境下,能过滤95%病毒的高速过滤和部署后业务的低影响才是用户的部署需求。Symantec和趋势都有对应的邮件反病毒网关,拥有为大规模邮件系统特别设计的负载平衡、高速过滤等功能,就是国内反病毒厂商的技术能力所望尘莫及的。
从市场效益上看,服务器产品、网络产品和定制产品方案的收益是远超个人安全产品的,遗憾的是本土的反病毒厂商一直被排斥在这几类高端业务之外,显然和经营理念、发展战略是分不开的,单纯努力的增强自己技术力量并不能从根本上解决这个问题。
从反病毒的技术方面分类,反病毒产品也可以分为:
1) 基于特征码的反病毒引擎:除Nod32、瑞星(不确定)之外的大部分反病毒软件
2) 基于虚拟机的反病毒引擎:Nod32、瑞星(2007版本)
基于特征码的杀毒引擎占据了反病毒市场的绝大部分份额。因为从功能实现的技术难度、针对已知病毒威胁和升级的难易程度来说,都要比使用虚拟机内核的反病毒产品来说要容易的多,而且使用虚拟机内核的反病毒产品本身的杀毒机理是根据扫描目标的行为或操作来定义是否病毒。因此一个不完善的虚拟机内核反病毒产品很容易漏掉在其行为特征库里面没有定义的病毒。在这次熊猫烧香病毒风波中,Nod32的表现就很不令人满意,原因也在于此。
因此市面上的大部分反病毒产品引擎都选择了更稳妥的特征码检测方式,某些反病毒产品还使用了多套反病毒引擎作为备份,以多套病毒特征码保证对病毒的变种检测能力。
从病毒样本反汇编的结果看,卡巴斯基和江民的病毒特征码的定义都定位在样本的代码段,而卡巴斯基更喜欢定位在样本的关键代码处,相对来说对付病毒变种是要比江民要强一点,因为非关键代码的改动要比关键代码容易不少。而江民的注册表、键盘记录控制和卡巴斯基的主动防御则各有千秋。其他厂商的特征码定位则有点偷懒的意思,偶尔会有定位在目标样本数据段数据、甚至是只根据样本长度来判断的情况出现。对于进行加壳的样本来说,现在的大部分反病毒产品的解决方案都是附带一个脱壳引擎,并建立常见壳的特征库,进行相应的脱壳操作后再进行杀毒扫描,新推出的瑞星2007就以脱壳能力为其一个卖点。
对于能够进行自加密和动态加密的病毒来说,单纯的脱壳/特征码扫描机制是无法检测的,使用虚拟机内核进行目标样本的动态分析才是更好的解决方案,但是高速高效的虚拟机内核引擎本身对反病毒厂商的技术开发能力要求也是很高的,从这点上看技术门槛也不低。
总结
由于国内信息安全形势的畸形,网游木马、银行木马的流行程度远比国外要严重得多,国内反病毒厂商纷纷以此为卖点来销售自己的产品。从某种程度上来说,这是机遇,更是对国内反病毒厂商的伤害,在做应用层面的产品的同时,国内反病毒厂商放在基础技术研究的精力也就要相应减少,再继而开发不出高端的产品,没法对自身实力的增强产生积极影响,如此便形成了一个恶性循环。这次熊猫烧香病毒风波的口水战,便是国外反病毒厂商看不起国内厂商的技术水平引起,国内厂商对此也要负一定的责任。作为市场的竞争对手,对方怎么看不重要,只有自己的技术和实力提升上去才能让对方闭嘴,国内反病毒厂商的技术增强和经营理念的转变显然还任重而道远。
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |