반응형
PCSL 이라는 보안 커뮤니티에서 실시하는 악성코드 진단율 테스트입니다.
저는 보안 전문가가 아니며 해당 프로그램에 대해 전문적이고 기술적인 지식을 가지고
이 글을 작성하는 것이 아니므로, 이 글의 일부 내용에는 오류가 있을 수 있음을 밝힙니다.
저는 보안 전문가가 아니며 해당 프로그램에 대해 전문적이고 기술적인 지식을 가지고
이 글을 작성하는 것이 아니므로, 이 글의 일부 내용에는 오류가 있을 수 있음을 밝힙니다.
PCSL은 PC Security Lab의 약자로 중국에 위치한 소규모 보안 연구 기관 또는 커뮤니티입니다.
여기서는 작년부터 각종 보안 제품의 진단율 테스트를 행하고 있는데 오늘 소개할 테스트는 올해의 5번째 테스트로 결과가 상당히 재미있습니다.
테스트 명칭은 Total Protection malware Test 이며 수동 검사와 실시간 탐지 검사를 병행해서 실시하고 있습니다.
실험 방법은 아래와 같습니다.
1. VMware에 윈도우 XP SP3 OS를 설치 : 이미지 생성 이후 각 보안 제품의 검사가 끝날 때마다 복구
2. 보안 제품 설치 : 검사 환경은 모든 감시 설정을 최고 수준으로 변경
3. 검사에 사용할 악성코드 복사
4. 수동 검사 실시 - 실시간 감시는 비활성화
5. 오진 여부를 참고할 1000여개의 정상 파일 수동 검사로 검사
5. 샘플 실시간 감시를 활성화 시킨 후 수동 검사에서 놓친 악성코드 실행시 차단 여부 확인
수동 검사(Static Detection)에서 진단한 악성코드 수와 실시간 감시(Dinamic Detection)에서 진단한 악성코드의 수를 종합하여 진단율을 측정합니다. 그리고 진단율과 오진 여부를 고려해서 최종 테스트 결과를 산출하게 됩니다.
악성코드는 2009년 5월부터 6월까지 두달간 수집된 3132개가 사용됩니다. 악성코드의 숫자가 적은 이유는 PCSL이 규모가 작기 때문으로 보입니다. 덕분에 테스트 결과가 상당히 흥미롭습니다.
참고로 최종 테스트 결과 산출 방정식은 아래와 같습니다.
(수동 검사 진단 수 + 실시간 감시 진단 수)/실험에 쓰인악성코드의 총수*100 -Log(오진 수 +1)
로그값을 취하기 때문에 오진 하나당 약 0.3 정도의 점수가 깍입니다.
테스트의 세부 정보는 아래의 링크를 참고 바랍니다.
http://www.pcsecuritylabs.net/document/PC%20Security%20Labs%20Manual.pdf
ArcaVir 2009 Internet Security ArcaBit http://www.arcabit.com/
Avira Premium Security Suite 9 Avira http://www.avira.com/
BitDefender Total Security 2009 BitDefender http://www.bitdefender.com/
Dr.Web® Security Space Dr.Web http://www.drweb.com/
a-squared Anti-Malware 4.5 Emsisoft http://www.emsisoft.com/
Twister Anti-TrojanVirus Filseclab http://www.filseclab.com/
Simple Antivirus v2.1 Finport http://www.simple-avr.com.ua/
F-Secure Internet Security 2009 F-Secure http://www.f-secure.com/
G DATA Internet Security 2010 GDATA http://www.gdata.de/
IKARUS virus utilities T3 IKARUS http://www.ikarussoftware.com/
Jiangmin Antivirus KV2009 Jiangmin http://www.jiangmin.com/
Kaspersky Internet Security 2010 Kaspersky http://www.kaspersky.com/
Kingsoft Internet Security 2009 Kingsoft http://www.duba.net/
eScan Internet Security Suite Micro World http://www.mwti.net/
Spy Emergency 2009 NETGATE http://www.spy-emergency.com/
Panda Internet Security 2010 Panda http://www.pandasecurity.com/
Quick Heal Total Security 2009 Quick Heal http://www.quickheal.co.in/
Sophos Anti-Virus SOPHOS http://www.sophos.com/
VIPRE Antivirus+Antispyware Sunbelt http://www.sunbeltsoftware.com/
Online-Armor ++ Tall Emu http://www.tallemu.com/
Trend Micro Internet Security 2009 Trend Micro http://www.trendmicro.com.cn/
TrustPort PC Security 2009 Trust Port http://www.trustport.com/
VBA32 Antivirus VBA32 http://www.anti-virus.by/en/
1. 진단율
2. 오진 수 및 최종 결과
결과적으로 진단율은 A-squared와 A-squared의 엔진을 사용하는 Online-Armor ++ 제품이 가장 높았지만 오진율로 인하여 최종 결과에서는 카스퍼스키가 1등을 하였습니다.
테스트 결과를 가만히 살펴보면 안티버 같은 제품처럼 시그니처 진단 기능만 존재하고 행동기반 진단 기능이 없는 제품도 Dinamic 테스트에서 진단하는 악성코드가 있습니다. 세부적인 정보가 없어서 개인적인 추측에 의한 의견입니다만, 이는 악성코드 실행시 악의적인 목적을 위해 생성한 악성코드 파일이 진단되면서 결과적으로 악의적인 행동을 차단했기에 일어난 결과라고 보입니다. 실제로도 그런 경우가 종종 발생하기 때문에 예상이 틀리지는 않을 것 같습니다.
Spy emergency 같은 제품은 홈페이지에서 광고하는 것과 달리 아직까지는 통합형(안티 바이러스+안티스파이웨어)제품이라고 하기에는 다소 무리가 있는 제품이라 생각하는데 역시 테스트 결과도 그리 좋지 않습니다.
의외인 것은 오진율로 악명 높은 이카루스와 이카루스 엔진을 사용하는 제품들이 테스트 결과에 상위권에 속해 있다는 것인데, 이는 테스트 샘플의 수가 적기 때문이 아닌가 생각됩니다.
보안 제품 선택이나 성능을 알아보기위한 참고 자료로 하기에는 다소 무리가 있는 테스트이지만 결과가 상당히 재미있어서 소개합니다. :)
PCSL은 PC Security Lab의 약자로 중국에 위치한 소규모 보안 연구 기관 또는 커뮤니티입니다.
여기서는 작년부터 각종 보안 제품의 진단율 테스트를 행하고 있는데 오늘 소개할 테스트는 올해의 5번째 테스트로 결과가 상당히 재미있습니다.
테스트 명칭은 Total Protection malware Test 이며 수동 검사와 실시간 탐지 검사를 병행해서 실시하고 있습니다.
실험 방법은 아래와 같습니다.
1. VMware에 윈도우 XP SP3 OS를 설치 : 이미지 생성 이후 각 보안 제품의 검사가 끝날 때마다 복구
2. 보안 제품 설치 : 검사 환경은 모든 감시 설정을 최고 수준으로 변경
3. 검사에 사용할 악성코드 복사
4. 수동 검사 실시 - 실시간 감시는 비활성화
5. 오진 여부를 참고할 1000여개의 정상 파일 수동 검사로 검사
5. 샘플 실시간 감시를 활성화 시킨 후 수동 검사에서 놓친 악성코드 실행시 차단 여부 확인
수동 검사(Static Detection)에서 진단한 악성코드 수와 실시간 감시(Dinamic Detection)에서 진단한 악성코드의 수를 종합하여 진단율을 측정합니다. 그리고 진단율과 오진 여부를 고려해서 최종 테스트 결과를 산출하게 됩니다.
악성코드는 2009년 5월부터 6월까지 두달간 수집된 3132개가 사용됩니다. 악성코드의 숫자가 적은 이유는 PCSL이 규모가 작기 때문으로 보입니다. 덕분에 테스트 결과가 상당히 흥미롭습니다.
참고로 최종 테스트 결과 산출 방정식은 아래와 같습니다.
(수동 검사 진단 수 + 실시간 감시 진단 수)/실험에 쓰인악성코드의 총수*100 -Log(오진 수 +1)
로그값을 취하기 때문에 오진 하나당 약 0.3 정도의 점수가 깍입니다.
테스트의 세부 정보는 아래의 링크를 참고 바랍니다.
http://www.pcsecuritylabs.net/document/PC%20Security%20Labs%20Manual.pdf
(1) 테스트에 사용된 보안 제품
ArcaVir 2009 Internet Security ArcaBit http://www.arcabit.com/
Avira Premium Security Suite 9 Avira http://www.avira.com/
BitDefender Total Security 2009 BitDefender http://www.bitdefender.com/
Dr.Web® Security Space Dr.Web http://www.drweb.com/
a-squared Anti-Malware 4.5 Emsisoft http://www.emsisoft.com/
Twister Anti-TrojanVirus Filseclab http://www.filseclab.com/
Simple Antivirus v2.1 Finport http://www.simple-avr.com.ua/
F-Secure Internet Security 2009 F-Secure http://www.f-secure.com/
G DATA Internet Security 2010 GDATA http://www.gdata.de/
IKARUS virus utilities T3 IKARUS http://www.ikarussoftware.com/
Jiangmin Antivirus KV2009 Jiangmin http://www.jiangmin.com/
Kaspersky Internet Security 2010 Kaspersky http://www.kaspersky.com/
Kingsoft Internet Security 2009 Kingsoft http://www.duba.net/
eScan Internet Security Suite Micro World http://www.mwti.net/
Spy Emergency 2009 NETGATE http://www.spy-emergency.com/
Panda Internet Security 2010 Panda http://www.pandasecurity.com/
Quick Heal Total Security 2009 Quick Heal http://www.quickheal.co.in/
Sophos Anti-Virus SOPHOS http://www.sophos.com/
VIPRE Antivirus+Antispyware Sunbelt http://www.sunbeltsoftware.com/
Online-Armor ++ Tall Emu http://www.tallemu.com/
Trend Micro Internet Security 2009 Trend Micro http://www.trendmicro.com.cn/
TrustPort PC Security 2009 Trust Port http://www.trustport.com/
VBA32 Antivirus VBA32 http://www.anti-virus.by/en/
(2) 테스트 결과
1. 진단율
2. 오진 수 및 최종 결과
결과적으로 진단율은 A-squared와 A-squared의 엔진을 사용하는 Online-Armor ++ 제품이 가장 높았지만 오진율로 인하여 최종 결과에서는 카스퍼스키가 1등을 하였습니다.
테스트 결과를 가만히 살펴보면 안티버 같은 제품처럼 시그니처 진단 기능만 존재하고 행동기반 진단 기능이 없는 제품도 Dinamic 테스트에서 진단하는 악성코드가 있습니다. 세부적인 정보가 없어서 개인적인 추측에 의한 의견입니다만, 이는 악성코드 실행시 악의적인 목적을 위해 생성한 악성코드 파일이 진단되면서 결과적으로 악의적인 행동을 차단했기에 일어난 결과라고 보입니다. 실제로도 그런 경우가 종종 발생하기 때문에 예상이 틀리지는 않을 것 같습니다.
Spy emergency 같은 제품은 홈페이지에서 광고하는 것과 달리 아직까지는 통합형(안티 바이러스+안티스파이웨어)제품이라고 하기에는 다소 무리가 있는 제품이라 생각하는데 역시 테스트 결과도 그리 좋지 않습니다.
의외인 것은 오진율로 악명 높은 이카루스와 이카루스 엔진을 사용하는 제품들이 테스트 결과에 상위권에 속해 있다는 것인데, 이는 테스트 샘플의 수가 적기 때문이 아닌가 생각됩니다.
보안 제품 선택이나 성능을 알아보기위한 참고 자료로 하기에는 다소 무리가 있는 테스트이지만 결과가 상당히 재미있어서 소개합니다. :)
반응형
'▶ 보안 제품 테스트 정보 > :: 기타 테스트' 카테고리의 다른 글
| MRG 악성코드 테스트 #20 : 실시간 감시 진단 (0) | 2009.09.03 |
|---|---|
| PC World 무료 보안 제품 비교 분석 리뷰 (12) | 2009.08.27 |
| Matousec 사전 방역 성능 테스트 (2009.06.29) (8) | 2009.06.30 |
| Matousec 사전 방역 성능 테스트 (2009.06.11) (8) | 2009.06.22 |
| 2월 VirusInfo - Malware Detection test (6) | 2009.05.08 |