Перейти к содержанию
Kopeicev

Тест быстродействия корпоративных антивирусов

Recommended Posts

Kopeicev

Добрый вечер!

В ближайшее время мы будем проводить ещё один новый для нашего портала тест - тест быстродействия корпоративных продуктов.

Для участия в тестировании отобраны следующие участники:

Symantec Endpoint Protection

McAfee Endpoint Protection

Trend Micro Enterprise Security for Endpoints

Sophos Endpoint Security and Control

Kaspersky Endpoint Security 8 for Windows

ESET Smart Security 4.2 Business Edition

Dr.Web Enterprise Security Suite

ОС Windows 7 x86

Из отличий в методологии по сравнению с аналогичной версией теста для персональных продуктов стоит выделить другой метод проверки наличия оптимизации.

Инфраструктура тестового стенда будет выглядеть следующим образом:

ПК №1 - Endpoint №1

ПК №2:

Виртуальная машина 1 - Endpoint №2

Виртуальная машина 2 - консоль удалённого управления

Методология проверки наличия оптимизации:

1. Первый прогон проверки коллекции файлов на ПК №1.

2. Второй прогон проверки той же коллекции файлов на ПК №2 - Вирт. машине 1.

3. Повторный прогон проверки на ПК №1.

4. Сравнение результатов проверки пунктов 1 и 3.

---

Интересно услышать мнения об этом тесте, замечания, предложения, комментарии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kolan
Интересно услышать мнения об этом тесте, замечания, предложения, комментарии.

Предлагаю переименовать тест. Быстродействием тут и не пахнет.

"Тест проверки наличия технологий пропуска файлов после первого прохода". Как-то так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
"Тест проверки наличия технологий пропуска файлов после первого прохода".

Не, так будет непонятно. Всё же быстродействие проверяется, если Ваш набор слов высказать одним простым словом. Быстродействие может не только пропуском сканирования файлов достигаться, но и, например, просто более быстрым движком, более низкой нагрузкой на систему и пр.

Dr.Web Enterprise Security Suite

Всё же программный продукт - Dr.Web Enterprise Suite :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Предлагаю переименовать тест. Быстродействием тут и не пахнет.

"Тест проверки наличия технологий пропуска файлов после первого прохода". Как-то так.

Вообще то оптимизация это маленькая часть теста, но важная в плане методологии. Поэтому быстродействием тут очень даже пахнет. Или по вашему, например, скорость работы сканеров - это не быстродействие?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev

Внимательный читатель заметил в первом посте, что там описано отличие от теста быстродействия персональных продуктов в части сканирования, остальные части boot time, потребляемую память и т.д. никто не отменял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Не, так будет непонятно. Всё же быстродействие проверяется, если Ваш набор слов высказать одним простым словом. Быстродействие может не только пропуском сканирования файлов достигаться, но и, например, просто более быстрым движком, более низкой нагрузкой на систему и пр.

Что ты подразумеваешь в данном контексте под "пропуском сканирования файлов"? Исключение из проверки файловым монитором тех файлов, которые не были изменены?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego Dekker

Kopeicev, чётко укажите, какие версии берутся в тест: английские или русские.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Что ты подразумеваешь в данном контексте под "пропуском сканирования файлов"?

Я - ничего, это предыдущий оратор, которому отвечал, что-то подразумевает :)

Я так думаю, что подразумевалась оптимизация при повторных сканированиях файлов по запросу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Я - ничего, это предыдущий оратор, которому отвечал, что-то подразумевает :)

Я так думаю, что подразумевалась оптимизация при повторных сканированиях файлов по запросу.

А смысл в "по запросу", если подобная оптимизация играет свою роль именно при проверке "на лету", т.е. при включённом файловом мониторе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
А смысл в "по запросу", если подобная оптимизация играет свою роль именно при проверке "на лету", т.е. при включённом файловом мониторе?

Не знаю, но в тесте планируется так:

1. Первый прогон проверки коллекции файлов на ПК №1.

2. Второй прогон проверки той же коллекции файлов на ПК №2 - Вирт. машине 1.

3. Повторный прогон проверки на ПК №1.

Я так понимаю, что "прогон" - это сканер. Или это копирование файлов из одного места в другое при включённом файловом мониторе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Я так понимаю, что "прогон" - это сканер. Или это копирование файлов из одного места в другое при включённом файловом мониторе?

Это вопрос к авторам теста. Если брать на примере Dr.Web, то в файловом мониторе SpIDerGuard G3 такая технология присутствует. Собственно, потому я хочу понять, что в данном случае понимается под термином "прогон файлов". В зависимости от сиего уточнения могут быть заданы дополнительные вопросы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Антивирус Касперского для Windows workstation

Зачем старье брать? Берите KES 8 for Windows.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Берите KES 8 for Windows.

Естественно ее будем брать.

Kopeicev, чётко укажите, какие версии берутся в тест: английские или русские.

Английские будем брать, чтобы не было вопросов о "более старых версиях", так как русские обычно с опоздание выходят. Да и тесты не только на Россию идут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Ego Dekker, кстати правильнее будет взять ESET Smart Security, так как тестируем комплексные продукты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Уже отмечал на ранних стадиях - а зачем тестировать Sophos Endpoint Security and Control? Кому он интересен? Я даже не про распространенность в России. Только время зря будет потрачено

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mvs
Виртуальная машина 2 - консоль удалённого управления

а консоль для чего?

будет выполнятся проверка как быстро выполняются групповые(заданные) задачи сканирования из консолей управления антивирусом?

или она лишь нужна для распространения на клиентов настроек отпимизации сканирования ? (политики, настройки)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

А вообще ИМХо я не вижу смысла в этом тесте. Какова его цель? Миссия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
Внимательный читатель заметил в первом посте, что там описано отличие от теста быстродействия персональных продуктов в части сканирования, остальные части boot time, потребляемую память и т.д. никто не отменял.

Огласите пожалуйста полный список тест кейсов.

Как будем считать баллы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
А вообще ИМХо я не вижу смысла в этом тесте. Какова его цель? Миссия.

чтобы говорили, "а зато он быстрее всех у меня вирус пропустил" ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
чтобы говорили, "а зато он быстрее всех у меня вирус пропустил" ;)

Провокационная идея - детект в секунду.

Берем чистую коллекцию и черную

скорость по чистой коллекции

делим на детект по вирусам.

Замешивать в кучу -некорректно, мало ли как процедуры лечения отрабатывают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Провокационная идея - детект в секунду.

Брр, Олег, это вообще кому-нибудь может быть интересно?

--------

Будет ли доступ в Инет во время тестов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Бррр провокация.

Быстро проверять но не детектить и медленно проверять но детектить все.. надо же как то уровновесить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
а консоль для чего?

будет выполнятся проверка как быстро выполняются групповые(заданные) задачи сканирования из консолей управления антивирусом?

или она лишь нужна для распространения на клиентов настроек отпимизации сканирования ? (политики, настройки)

Во-первых, у ряда продуктов просто не поставить клиента без сервера управления. Во-вторых мы хотим проверить эффективность сетевых/серверных технологий оптимизации. И третье - это намного ближе к реальности.

А вообще ИМХо я не вижу смысла в этом тесте. Какова его цель? Миссия.

Не видишь смысла в проверке скорости работы антивирусов? Мли считаешь, что офисному планктону все равно на то, что у него комп тормозит и ворд по минуте открывается? :)

Огласите пожалуйста полный список тест кейсов.

Все аналогично этой методологии http://www.anti-malware.ru/node/4068 + проверка серверных технологий оптимизации сканирования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Не видишь смысла в проверке скорости работы антивирусов? Мли считаешь, что офисному планктону все равно на то, что у него комп тормозит и ворд по минуте открывается? :)

Мнение офисного планктона в вопросах касающихся корпоративной безопасности - волновать никого не должно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Мнение офисного планктона в вопросах касающихся корпоративной безопасности - волновать никого не должно.

+1 вот и я хотел аналогичное сказать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
    • Липковский Борис
      Вдруг понадобится, спасибо за информацию.
    • Липковский Борис
      Я собираю с разных стран магнитики. Это очень круто.
    • Липковский Борис
      Каждый находит свое увлечение.Заработок зависит от работы которую ты умеешь делать на отлично. Самое главное если есть время.
×