Vấn đề phát sinh ở đây là: với sự gia tăng theo số mũ của các loại malware (mã độc) mới như hiện nay thì nếu như theo cách nhận dạng và xử lý Malware theo cách so sánh mẫu truyền thống nghĩa là khi có Malware mới thì các hãng bảo mật tiến hành lấy mẫu và thêm mẫu đó vào pattern file (file có chứa tập hợp các mẫu Malware), khi phát hiện ra file hoặc chương trình nào đó có chứa các mẫu này thì xử lý. Như vậy kích thước pattern file của các chương trình Antivirus sẽ ngày càng lớn, tốc độ xử lý của các máy tính cá nhân là có hạn khiến cho cách so sánh mẫu truyền thống hoạt động chậm hơn, chiếm nhiều tài nguyên của máy tính hơn. Thêm nữa, với kích thước pattern file lớn, việc cập nhật pattern file cho các máy tính sẽ trở nên chậm chạp. Khoảng thời gian  khi một Malware mới được phát hiện ra cho đến khi hệ thống được cập nhật để xử lý sẽ kéo dài thêm, tạo điều kiện cho Malware hoạt động.

Tình hình này đòi hỏi các hãng bảo mật phải tìm ra phương thức mới giúp các phần mềm Antivirus bảo vệ endpoint hoạt động hiệu quả hơn. Công nghệ Reputation ra đời và ngày càng trở thành một thành phần quan trọng trong các phần mềm Antivirus cũng như một số sản phẩm bảo mật khác.

Công nghệ Reputation.

“Các phần mềm Antivirus sử dụng công nghệ Reputation nhận dạng mã độc hiệu quả hơn nhiều so với các phần mềm Antivirus sử dụng công nghệ truyền thống.” (Theo IDG)

Công nghệ Reputation đang trở thành một thành phần quan trọng trong các phần mềm Antivirus. Ngày nay, tội phạm ảo liên tục đưa ra các loại mã độc tinh vi hơn khiến cho các phần mềm antivirus chỉ dựa trên công nghệ so sánh mẫu không thể ngăn chặn được chúng. “Có rất nhiều mã độc có thể vượt qua các phần mềm antivirus bởi các biến thể liên tục thay đổi.” – trích lời ông Carey Nachenberg, một thành viên sáng lập ra hệ thống Reputation của Symantec.

Hiện nay, xu hướng mới của các hệ thống là “điện toán đám mây” – Cloud Computing. Các doanh nghiệp có thể sử dụng các cụm máy chủ khổng lồ do các tập đoàn hàng đầu thế giới cung cấp thay vì phải tự đầu tư để có được các cụm máy chủ khổng lồ này để tiết kiệm chi phí. Công nghệ Reputation cũng hoạt động dựa trên nguyên lý gần giống như vậy.

Các hãng bảo mật lớn như Trend Micro, McAfee, Symantec, Kaspersky, … đều tự mình xây dựng một cơ sở dữ liệu khổng lồ của riêng mình. Cơ sở dữ liệu này có chứa hàng tỷ thông tin về các chương trình, các file, các Web site, domain, IP, … có chứa Malware hoặc chuyên sử dụng để phát tán Malware. Cơ sở dữ liệu này được cập nhật liên tục các thông tin mới do các trạm thu thập thông tin rải rác trên khắp thế giới thu thập được.

“Công nghệ Reputation làm việc dựa trên việc tập hợp các thông tin liên quan và đưa ra kết luận.” Carey Nachenberg nói: “Chương trình này đã tồn tại bao lâu? Nó từ đâu tới? Có bao nhiêu người sử dụng nó?... Tất cả các thông tin này sẽ được tập hợp để đưa ra kết luận xem phần mềm đó là an toàn hay có chứa mã độc.”

Các chương trình Antivirus được tích hợp công nghệ Reputation sẽ hoạt động dựa trên cơ sở dữ liệu này. Khi người dùng truy cập vào web site, có kết nối các IP, domain, download file thì chương trình Antivirus sẽ truy vấn tới cơ sở dữ liệu Reputation để xem web site, domain, file đó có nằm trong danh sách không, nếu có thì ngăn chặn truy cập của người dùng tới chúng.

So sánh hiệu quả các chương trình Antivirus hiện nay

NSS Labs (tổ chức độc lập chuyên phân tích, đánh giá và cấp chứng nhận cho các sản phẩm an toàn thông tin) đã tiến hành một cuộc thử nghiệm so sánh giữa 9 sản phẩm Antivirus khác nhau bằng cách lần lượt cài các chương trình này lên PC và sử dụng PC này để truy cập tới hơn 3000 Web sites có chứa mã độc. Kết quả của cuộc thử nghiệm cho thấy sản phẩm Antivirus của Trend Micro được tích hợp công nghệ Reputation có hiệu quả hơn hẳn so với các sản phẩm còn lại.

Chủ tịch NSS, ông Rick Moy nói: “ Không phải tất cả các chương trình Antivirus đều giống nhau, giữa chúng có sự khác biệt rất lớn. Công nghệ Reputation mang tới sự khác biệt đó.”.

Thử nghiệm trên 2 sản phẩm Trend Micro Internet Security và McAfee Total Protection, NSS so sánh hiệu quả làm việc của 2 phần mềm này khi tắt và bật công nghệ Reputation. Trend Micro khi bật Reputation giúp tăng tới 23% khả năng nhận dạng và diệt mã độc trong khi McAfee chỉ là 8%.

Trend Micro và McAfee cũng là 2 hãng đứng đầu trong việc bảo vệ hệ thống chống lại các loại mã độc mới, theo công bố của NSS.

Kết quả cuối cùng, Trend Micro Internet Security dẫn đầu trong cuộc kiểm tra của NSS, nhận dạng và diệt tới 96,4% các loại mã độc. Đứng thứ 2 là Kaspersky Internet Security, một sản phẩm cũng sử dụng công nghệ Reputation, tuy nhiên NSS không thể tắt được tính năng Reputation của Kaspersky Internet Security để xem sản phẩm làm việc thế nào khi tắt tính năng này.

Hệ thống Reputation của Trend Micro bảo vệ người dùng bằng cách ngăn chặn việc truy cập tới các URL có chứa mã độc hoặc được coi là các URL không an toàn (URL dẫn tới các web site lừa đảo, các web site giả mạo, …). Hệ thống Reputation của Trend Micro cũng có thể sử dụng để phát hiện và ngăn chặn các chương trình có chứa mã độc – công nghệ File Reputation của Trend Micro. Symantec cũng sẽ sử dụng công nghệ này trong sản phẩm Norton Internet Security 2010. Khi NSS tiến hành thử nghiệm này thì sản phẩm Norton Internet Security 2010 chưa ra mắt.

4 chương trình Antivirus đứng đầu trong cuộc thử nghiệm của NSS:

(Tên sản phẩm / Tỷ lệ mã độc nhận dạng và xử lý được trong cuộc thử nghiệm)

1)    Trend Micro Internet Security 2009 / 96,4%

2)    Kaspersky Internet Security / 87.8%

3)    Norton Internet Security / 81,8%

4)    McAfee Total Protection Suite 2009 / 81,6%

Ngoài ra NSS Labs cũng tiến hành thử nghiệm so sánh việc tiêu tốn tài nguyên trong các quá trình hoạt động của 4 phần mềm Antivirus hàng đầu hiện nay.

-       Quét toàn bộ hệ thống:

Sản phẩm Antivirus của Trend Micro chỉ chiếm nhiều hiệu năng của CPU trong quá trình full scan nhiều hơn một chút so với các sản phẩm khác nhưng lại mất rất ít thời gian để thực hiện xong công việc này.

 

Thời gian quét :

 

 

CPU cần sử dụng khi quét:

 

Bộ nhớ (RAM) cần sử dụng:

Trong suốt quá trình full scan, Trend Micro đòi hỏi ít bộ nhớ hơn các sản phẩm khác. Điều đó có nghĩa là người sử dụng vẫn có thể làm việc bình thường trong suốt quá trình quét. Đối với các endpoint sử dụng McAfee, Symantec, hay Sophos, việc full scan là một việc khá xa xỉ bởi lẽ các sản phẩm này đòi hỏi sử dụng tới hơn 1GB bộ nhớ trong quá trình quét.

 

-       Download file:

Đây là một việc làm thiết yếu của người sử dụng khi truy cập và xem nhanh dữ liệu trên Internet. Thông qua một loạt bài test với các dạng file và các kích thước file khác nhau, Trend Micro dẫn đầu trong các sản phẩm cạnh tranh.

Trong các sản phẩm thử nghiệm trong cuộc kiểm thử của NSS Labs thì phần mềm Antivirus của Trend Micro là sản phẩm ấn tượng nhất. Các thử nghiệm trên được chọn lựa sao cho giống nhất so với hoạt động thực tế của người sử dụng.