قویترین آنتی ویروس ها برای مقابله با بدافزارها

معرفی: در تست حفاظت در مقابل بدافزار، هدف اصلی، شناسایی بهترین و قویترین آنتی ویروس ها برای مقابله با بدافزارها میباشد. این مقاله برگرفته از “تست حفاظت در مقابل بدافزار AV-Comparatives March 2023” میباشد. در این تست فایل های مخرب بر روی سیستم اجرا می شوند. در حالی که در تست “حفاظت از دنیای واقعی” تست ها بیشتر بر پایه وب گرفته میشود اما در تست “حفاظت در مقابل بدافزار” تست ها عمدتا بر پایه مواردی است که بدافزار از قبل روی دیسک وجود دارد برای مثال درایوهای شبکه، USB و موارد اینچنینی.

در این تست از نسخه Internet Security نرم افزارهای مورد آزمایش قرار گرفته استفاده شده است.

محصولات تست شده برای شناسایی قویترین آنتی ویروس ها :

Kaspersky — Bitdefender — ESET — Norton — McAfee — Panda — Avira — AVG — Avast — F-Secure — GData — K7 — Microsoft Defender — TrendMicro

همه محصولات بر روی سیستم ویندوز 10 مایکروسافت 64 بیتی کاملاً به روز نصب شده بودند. محصولات در ابتدای ماه مارس با تنظیمات پیش فرض و با استفاده از آخرین به روز رسانی های خود تست شدند.

روش تست:

تست حفاظت در مقابل بدافزار، با هدف شناسایی بهترین و قویترین آنتی ویروس ها برای مقابله با بدافزارها انجام میگیرد. در این تست توانایی یک برنامه امنیتی را برای محافظت از سیستم در برابر آلودگی توسط فایل های مخرب، قبل – حین یا بعد از اجرا ارزیابی می کند. روش مورد استفاده برای هر محصول آزمایش شده به شرح زیر است:

قبل از اجرا، تمام نمونه‌های آزمایشی توسط برنامه امنیتی، تحت اسکن های، “اسکن در زمان دسترسی” و “اسکن درخواستی” قرار می‌گیرند، که هر کدام از این‌ها به صورت آفلاین و آنلاین انجام می‌شوند.

هر نمونه ای که توسط هیچ یک از این اسکن ها شناسایی نشده باشد، سپس در سیستم با دسترسی اینترنت/ابر اجرا می شود و ویژگی های تشخیص رفتار وارد بازی می شوند. اگر محصولی از تمام تغییرات ایجاد شده توسط یک نمونه بدافزار خاص در یک بازه زمانی معین جلوگیری نکند، آن مورد آزمایشی “اشتباه شده” محسوب می‌شود. اگر از کاربر خواسته شود تصمیم بگیرد که آیا یک نمونه بدافزار باید اجرا شود یا خیر، در صورت مشاهده بدترین تصمیم گیری توسط کاربر، مورد آزمایشی به عنوان “وابسته به کاربر” رتبه بندی می شود.

تشخیص در مقابل حفاظت:

تست تشخیص فایل که در سال‌های گذشته انجام میشد یک تست “فقط تشخیص” بود. یعنی فقط توانایی برنامه های امنیتی را برای شناسایی فایل مخرب قبل از اجرا آزمایش می کرد. این توانایی یکی از ویژگی های مهم یک محصول آنتی ویروس است و برای هر کسی حیاتی به حساب می آید. برای مثال وقتی می‌خواهید قبل از ارسال آن فایل به دوستان، خانواده یا همکاران، بی‌ضرر بودن فایل را بررسی کنید.

اما این تست محافظت از بدافزار نه تنها نرخ تشخیص، بلکه قابلیت‌های حفاظتی را نیز بررسی می‌کند، یعنی توانایی جلوگیری از ایجاد هرگونه تغییر در سیستم توسط یک برنامه مخرب.

در برخی موارد، یک برنامه آنتی ویروس ممکن است یک نمونه بدافزار را زمانی که غیرفعال است تشخیص ندهد اما زمانی که اجرا میشود آن را تشخیص دهد.

علاوه بر این، تعدادی از محصولات آنتی ویروس از روش “تشخیص رفتاری” برای جستجو و مسدود کردن تلاش‌های یک برنامه مخرب برای انجام تغییرات سیستمی استفاده می‌کنند.

تست “حفاظت در مقابل بدافزار” ما، توانایی کلی محصولات امنیتی را برای محافظت از سیستم در برابر برنامه‌های مخرب، چه قبل، حین یا بعد از اجرا، اندازه‌گیری می‌کند. این تست، “تست حفاظت از دنیای واقعی” ما را تکمیل می‌کند، که نمونه‌های بدافزار خود را از URLهای زنده تهیه می‌کند و به ویژگی‌هایی مانند مسدودکننده‌های URL اجازه می‌دهد تا وارد عمل شوند. هر دو آزمایش شامل اجرای هر بدافزاری است که توسط ویژگی های دیگر شناسایی نشده است، بنابراین به ویژگی های “آخرین خط دفاعی” اجازه می دهد تا وارد بازی شود.

یکی از مهمترین مکانیسم‌های “تشخیص ابری” این است: نویسندگان بدافزار دائماً به دنبال روش‌های جدید برای دور زدن مکانیسم‌های شناسایی و امنیتی هستند. استفاده از تشخیص ابری، سازندگان محصولات امنیتی را قادر می‌سازد تا فایل‌های مشکوک را به صورت آنی شناسایی و طبقه‌بندی کنند تا از کاربر در برابر بدافزارهایی که در حال حاضر ناشناخته هستند محافظت کنند. نگه داشتن برخی از بخش‌های فناوری حفاظت، در فضای ابری، مانع از تطبیق سریع نویسندگان بدافزارها با قوانین جدید تشخیص می‌شود.

موارد آزمون:

مجموعه آزمایشی مورد استفاده برای این آزمایش، شامل 10015 نمونه بدافزار بود که پس از مشورت با داده‌های تله متری با هدف گنجاندن نمونه‌های رایج اخیر که کاربران را در این زمینه به خطر می‌اندازند جمع‌آوری شدند. روند جمع آوری نمونه در اواسط فوریه 2023 متوقف شد.

سیستم رتبه بندی:

نرخ‌های حفاظت از بدافزار با روش خوشه‌بندی سلسله مراتبی توسط آزمایش‌کنندگان گروه‌بندی می‌شوند. با این حال، در مواردی که منطقی نیست، تسترها خیلی به این موضوع پایبند نیستند. به عنوان مثال، در سناریویی که همه محصولات به نرخ حفاظت پایین دست می‌یابند محصولاتی که بالاترین امتیاز را دارند، لزوماً بالاترین جایزه ممکن را دریافت نمی‌کنند.

تعداد موارد “مثبت غلط” نیز می تواند بر رتبه یک محصول تأثیر بگذارد. آزمایش‌کننده‌ها روش‌های آماری را هنگام تعریف محدوده‌های مثبت غلط در نظر می‌گیرند. محدوده‌های FP برای دسته‌های مختلف نشان داده شده در زیر ممکن است در صورت لزوم تطبیق داده شوند (مثلاً اگر اندازه مجموعه فایل‌های تمیز را تغییر دهیم).

نرخ های تشخیص آفلاین در مقابل آنلاین:

بسیاری از محصولات آزمایش شده از فناوری‌های ابری یا امضاهای مبتنی بر ابر استفاده می‌کنند که تنها در صورت وجود اتصال اینترنتی قابل دسترسی هستند.

با انجام “اسکن در زمان دسترسی” و “اسکن درخواستی” به صورت آفلاین و آنلاین، مشخص میشود که هر محصول چقدر به ابر وابسته است، و در نتیجه در صورت در دسترس نبودن اتصال به اینترنت، چقدر از سیستم محافظت می‌کند.

ما پیشنهاد می کنیم که تولیدکنندگان محصولات امنیتی که به میزان زیادی وابسته به فناوری ابر هستند باید در صورت قطع اتصال به ابر به طور مناسب به کاربران هشدار دهند، زیرا ممکن است به طور قابل توجهی بر حفاظت ارائه شده تأثیر بگذارد.

در حالی که ما در آزمایش خود بررسی می‌کنیم که سرویس‌های ابری تولید کنندگان محصولات امنیتی قابل دسترسی باشند، کاربران باید بدانند که صرف آنلاین بودن لزوماً به این معنی نیست که سرویس ابری محصول آنها در دسترس است و به درستی کار می‌کند.

برای اطلاع خوانندگان و به دلیل درخواست‌های مکرر از مجلات و تحلیل‌گران، ما همچنین نشان می‌دهیم که چه تعداد از نمونه‌ها توسط هر برنامه امنیتی در اسکن‌های تشخیص آفلاین و آنلاین شناسایی شده‌اند.

لطفاً هنگام مشاهده نرخ‌های حفاظتی زیر، نرخ‌های “هشدار غلط” را نیز در نظر بگیرید.

هشدارهای غلط	نرخ حفاظت آنلاین	نرخ تشخیص آنلاین	نرخ تشخیص آفلاین
2	99.97%	99.5%	96.9%	Avast
2	99.97%	99.5%	96.9%	AVG
2	99.96%	99.1%	97.0%	Avira
6	99.94%	98.1%	98.1%	Bitdefender
0	99.94%	97.4%	97.4%	ESET
14	99.96%	98.7%	96.9%	F-Secure
2	99.95%	98.8%	98.8%	G DATA
67	99.87%	96.6%	96.6%	K7
2	99.96%	97.9%	90.0%	Kaspersky
9	99.99%	99.7%	89.6%	McAfee
32	99.98%	99.3%	83.1%	Microsoft
3	99.99%	99.7%	91.1%	Norton
102	99.97%	95.5%	72.2%	Panda
0	99.97%	98.8%	96.8%	TotalAV
6	99.91%	98.1%	98.1%	Total Defense
10	97.19%	91.8%	60.9%	Trend Micro

نتایج آزمون قویترین آنتی ویروس ها :

مجموع نرخ‌های محافظت آنلاین (در گروه‌ها):

میزان حفاظت	در معرض خطر	وابسته به کاربر	مسدود سازی
99.99%	1	–	10014	McAfee / Norton
99.98%	2	–	10013	Microsoft
99.97%	3	–	10012	Panda / TotalAV
99.97%	2	2	10011	Avast / AVG
99.96%	4	–	10011	Avira / F-Secure / Kaspersky
99.95%	5	–	10010	G Data
99.94%	6	–	10009	Bitdefender / ESET
99.91%	9	–	10006	Total Defense
99.87%	13	–	10002	K7
97.19%	281	–	9734	Trend Micro

نتیجه تست هشدار غلط:

به منظور ارزیابی بهتر کیفیت محصولات آنتی ویروس در قابلیت تشخیص فایل های تمیز از فایل های مخرب، تست هشدار غلط را ارائه می دهیم. هشدارهای غلط گاهی اوقات می توانند دردسر زیادی ایجاد کنند. لطفاً هنگام بررسی نرخ‌های تشخیص، نرخ هشدار غلط را نیز در نظر بگیرید زیرا محصولی که مستعد هشدارهای غلط است ممکن است در نتیجه آزمایش بتواند به نرخ تشخیص بالاتری دست یابد اما هشدارهای غلط چنین آنتی ویروسی میتواند دردسرهای زیادی برای کاربران خود درست کند. در این آزمایش، مجموعه ای از فایل های تمیز اسکن و اجرا شد (همانطور که با بدافزار انجام شد و نتایج زیر بدست آمد).

با توجه به نمودار فوق، میزان هشدارهای غلط محصول ESET بسیار پایین است و تا محصول Kaspersky و همچنین Norton هم مشکلی که باعث به دردسر افتادن کاربر شود وجود ندارد. اما در محصول Bitdefender میزان هشدارهای غلط 3 برابر Kaspersky میشود که این موضوع میتواند باعث اذیت کاربران Bitdefender شود.

در انتهای لیست هم میزان هشدارهای K7 و Panda وحشتناک بالاست و دردسرهای بسیاری برای کاربران خود ایجاد میکنند.

نکته مهم برای انتخاب بهترین و قویترین آنتی ویروس ها برای مقابله با بدافزارها :

نباید فقط به نرخ شناسایی و مسدودسازی آنها توجه کرد زیرا محصولی که در شناسایی درصد بالایی از فایل‌های مخرب موفق است اما از هشدارهای غلط رنج می‌برد، ممکن است لزوماً بهتر از محصولی نباشد که فایل‌های مخرب کمتری را شناسایی می‌کند، اما هشدارهای نادرست کمتری تولید می‌کند.

مشاهده نسخه اصلی این آزمایش در سایت AV-Comparatives