Эффективность антивирусов с учетом распространения угроз

Общая информация

Этот дополнительный отчет был инициирован компанией Microsoft. Финансовая поддержка, оказанная корпорацией из Редмонда помогла AV-Comparatives создать новую модель расчета эффективности антивирусной защиты с учетом распространенности вредоносных программ. Microsoft предоставила данные телеметрии по распространенности угроз. Данный отчет является пробной версией будущих отчетов результатов испытаний на обнаружение вредоносных файлов.

В данном отчете влияние пользователя учитывается по критерию распространенности. Естественно, некоторые вредоносные программы представляют большую угрозу среднестатистическому пользователю, чем другие, из-за широкой распространенности. Некоторые зловреды могут быть нацелены на отдельные компании и пользовательские базы и при этом будут представлять меньший риск для обычных пользователей. Некоторые вредоносные программы можно обнаружить только на определенных сайтах, они нацелены на конкретные страны и регионы и могут работать только на определенных операционных системах и при выборе определенных языков интерфейса.

Инициатива Microsoft заключалась в использовании глобальных данных телеметрии для учета влияния пользователя на пропущенные обнаружения. Вредоносные файлы, проигнорированные антивирусами, оценивались с учетом весовых коэффициентов, зависящих от распространенности семейства вредоносного ПО. Результаты взвешенных значений с учетом распространенности в данном отчете представлены совместно с обычными результатами испытания на обнаружение угроз. Данные результаты предназначены для более точного представления о пользовательском влиянии на пропущенные зловреды. Кроме учета распространенности, в отчете использовались данные геолокации, для дифференциации пользовательского влияния в различных странах.

Распространение типов угроз в тестовом наборе

Данный отчет является дополнением к основному отчету результатов тестирования AV-Comparatives на файловое обнаружение за сентябрь 2015 года. Никаких дополнительных испытаний не проводилось. Был осуществлен дополнительный анализ полученных результатов с учетом вероятности столкновения с вредоносными образцами.

В реальной жизни, при определенных обстоятельствах, продукт, получивший меньший результат в испытании может лучше защитить среднестатического пользователя, чем первоначально более успешный продукт. Условный продукт А с уровнем обнаружения в 99 процентов пропускает 1 процент широко распространенных угроз. Продукт B проигнорировал 2 процента зловредов, но их распространенность крайне мала. Таким образом, для конечного пользователя защита, предоставляемая продуктом B, может быть более эффективной.

В своих тестах AV-Comparatives использует преимущественно широко распространенные угрозы и принимает во внимание различные данные о распространенности от разных источников, но в данном дополнительном отчете использовалась только информация, предоставленная Microsoft.

Тестируемые антивирусы

В данный отчет включены следующие продукты, протестированные в сентябре 2015 года:

• Avast Free Antivirus 2015
• AVG Internet Security 2015
• AVIRA Antivirus Pro 15.0
• Baidu Antivirus 5.4
• Bitdefender Internet Security 2015
• BullGuard Internet Security 15.1
• Emsisoft Anti-Malware 10.0
• eScan Internet Security 14.0
• ESET Smart Security 8.0
• F-Secure Internet Security 2015
• Fortinet FortiClient 5.2 (с FortiGate)
• Kaspersky Internet Security 2016
• Lavasoft Ad-Aware Free Antivirus+ 11.8
• McAfee Internet Security 2015
• Microsoft Windows Defender 4.8
• Panda Free Antivirus 16.0
• Quick Heal Total Security 16.0
• Sophos Endpoint Security and Control 10.3
• Tencent PC Manager 11.0 11.0
• ThreatTrack Vipre Internet Security 2015
• Trend Micro Internet Security 2016

Тестовый набор был сформирован на базе анализа телеметрических данных от различных источников (не только Microsoft) с целью включения преимущественно распространенных вредоносных образцов за последние несколько недель или месяцев до начала тестирования из числа угроз, представленных в реальных средах.

Обнаружение и защита

Уровень обнаружения угроз является лишь одним аспектом защиты полноценного антивирусного продукта, хотя и очень важным. Почти все антивирусы включают дополнительные компоненты, в частности веб-защиту и поведенческий анализ, которые могут защищать пользователя без необходимости идентификации каждого вредоносного файла.

AV-Comparatives также проводит динамическое тестирование продуктов, которое учитывает другие аспекты защиты продуктов. Тем не менее, уровень обнаружения файлов остается самым важным и определяющим фактором защиты, предлагаемой антивирусным продуктом.

Тестовый набор

Коллекция вредоносных образцов, использованная в сентябре 2015 года содержала 166 522 вредоносных образца. Количество столкновений с вредоносными образцами, применяемыми в тесте согласно телеметрическим данным Microsoft равнялось 3 568 492. Семейства вредоносных программ, используемые в тесте, насчитывают около 40 миллионов столкновений. На карте ниже можно увидеть страны, в которых данный семейства имеют наибольшее влияние.

Интерактивная карта http://impact.av-comparatives.org/ для каждого вендора показывает страны высокого риска, связанного с распространением файлов, которые были пропущены в тестовом наборе AV-Comparatives за сентябрь 2015 года.

Данные Microsoft по 150 странам были построены на анализе менее 10000 компьютеров, что является статистически не релевантным значением, когда вероятность ошибки велика. Эти страны на карте отображены белым цветом. Влияние на оставшиеся страны представлено оттенками синего на карте.

Уровни обнаружения и влияние распространенности угроз

В зависимости от пропущенных образцов и уровня обнаружения всего тестового набора, Microsoft рассчитала уровень обнаружения с учетом распространенности. Данные представлены в таблице ниже:

Таблица ниже показывает приведенные уровни обнаружения для крупных рынков согласно данным Microsoft (данные от более 5 миллионов машин):

С полным отчетом вы можете ознакомиться по этой ссылке.