Antivirus

memo

http://blog.nikkeibp.co.jp/pconline/chief/2006/11/fujita1.html
アンチウィルスソフトウェアにおける検出性能の記事。
Wildlistや某研究機関の検体を元に何%というのはよく見るけど確かに無意味。


ウイルス単体に対するシグニチャ形式の対応は、結局後手に回ってしまっているので
ヒューリスティックやビヘイビアベースで、どれだけ先手を打てるかが鍵だと思う。
デスクトップ環境では結構誤検出するけど、EMAILやWEBのゲートウェイ環境なら
結構アグレッシブに掛けられるのではないだろうか。


既知の物への対応は当然として、ゲートウェイ用途で選ぶとしたらこの辺が
着目点かな。ベンダーによってスキャンエンジン本体に何処までの機能
乗せてるかがまちまちなので、圧縮ファイルなどの扱いは同一ベンダー製品でも
結構差があったり。

  • 新種への対応速度
  • 未知のウイルスに対する検出性能
  • 局所的な流行に対する対応
  • 処理速度

今時EMAILの添付にexeとか無いだろと思ったりもしてたけど、秘文
とかで暗号化した独自形式のexeファイルが普通に飛んできたりして愕然。
こういう業務フローになってたりすると、exeファイルが添付されていても
ウイルススキャンして未検出なら何の疑いもなく開く人居るだろうなぁ。