Сравнение эффективности проактивной антивирусной защиты (тест II)Источник: anti-malware Сергей Ильин
Второй по счету тест проактивной защиты (эвристических анализаторов) в 16-ти персональных антивирусных продуктах, в котором они сравниваются по количеству ложных срабатываний, что очень важно для общего анализа эффективности работы любой проактивной технологии. Поэтому наряду с качеством детектирования эвристических анализаторов нужно рассматривать количество ложных срабатываний, возникших во время проведения тестирования. В тесте принимали участие 16 антивирусных программ, среди которых:
В таблице 1 приведено общее количество ложных срабатываний каждого антивируса, а также разбивка по причине возникновения ложного срабатывания - сигнатуры или эвристика. Напомню, что используемые в этой статье данные взяты из теста Андреаса Клименти (проект www.av-comparatives.org), который проводился в мае 2006 года. Таблица 1: Количество ложных срабатываний различных антивирусов
Как видно, наибольшее количество ложных срабатываний сделали VBA32, Dr. Web и AntiVir, при этом подавляющая их часть вызвана именно эвристиками. За этот тройкой плотной группой идет большое количество антивирусов, которые совершили от 8 до 3 ложных срабатываний. Нужно отметить, что все 5 ложных срабатываний NOD32 относятся к работе эвристик, а у Avast! - к сигнатурам. Минимальное количество ложных срабатываний в данном тесте показал Norton Anti-Virus, у которого их нет вообще, совсем рядом оказался McAfee VirusScan, у которого всего одно ложное срабатывание. Более наглядно данные таблицы представлены на следующем рисунке. Рисунок 1: Количество ложных срабатываний различных антивирусов
Теперь интересно посмотреть, как соотносится количество ложных срабатываний и эффективность работы различных эвристиков. Для этого введем специальный коэффициент Ke, который будет равняться отношению суммарного количества ложных срабатываний эвристика к общему количеству детектированных вредоносных программ, выраженному в процентах. При таком расчете сразу будет видно, какие из антивирусных компаний "докручивают" свой эвристик за счет увеличения ложных срабатываний. Результаты расчета приведены в таблице и рисунке 2. Таблица 2: Отношение количества ложных срабатываний к эффективности работы эвристиков (Ke)
Рисунок 2: Отношение количества ложных срабатываний к эффективности работы эвристиков (Ke)
ВыводыВ процентном выражении наибольшее количество ложных срабатываний эвристики в данном тесте оказалось у TrustPort AV WS - 1.8%, за ним следует уже знакомая нам по таблице 1 тройка лидеров: VBA32 Workstation, Dr. Web и AntiVir PE Premium, их результат - 1.5-0.5%. Надежность работы эвристических анализаторов у этих антивирусов можно считать низкой.
Удовлетворительными по количеству ложных срабатываний можно считать результаты работы AVG Professional, F-Prot Anti-Virus, Panda Anti-Virus, Avast! Professional, F-Secure Anti-Virus, Kaspersky Anti-Virus Personal Pro, AntiVirusKit (AVK), BitDefender Professional Plus и Norman VirusControl - 0.5-0.2% ложных срабатываний. Тройка же лидеров, у которых ложные срабатывания эвристика минимальны и не выходят за рамки 0.1% выглядит так: Norton Anti-Virus, McAfee VirusScan и NOD32 Anti-Virus. Однако не стоит забывать, что в случае с Norton и McAfee платой за низкий уровень ложных срабатываний является низкий процент эффективности - 16% и 30% соответственно. |