Эвристический анализ - Википедия - Heuristic analysis

Эвристический анализ это метод, используемый многими компьютер антивирус программы, предназначенные для обнаружения ранее неизвестный компьютерные вирусы, а также новые варианты вирусов уже в «дикой природе».[1]

Эвристический анализ - это эксперт основанный на анализе, который определяет восприимчивость системы к конкретной угрозе / риску с использованием различных правил принятия решений или методов взвешивания. Многокритериальный анализ (MCA) - один из способов взвешивания. Этот метод отличается от статистического анализа, который основывается на имеющихся данных / статистике.

Операция

Большинство антивирусных программ, использующих эвристический анализ, выполняют эту функцию, выполняя программные команды сомнительной программы или сценария в специализированном виртуальная машина, тем самым позволяя антивирусной программе внутренне моделировать, что произойдет, если подозрительный файл будет запущен, при этом подозрительный код останется изолированным от реальной машины. Затем он анализирует команды по мере их выполнения, отслеживая общие вирусные действия, такие как репликация, перезапись файлов и пытается скрыть существование подозрительного файла. При обнаружении одного или нескольких действий, похожих на вирус, подозрительный файл помечается как потенциальный вирус, и пользователь получает уведомление.

Другой распространенный метод эвристического анализа заключается в том, что антивирусная программа декомпилировать подозрительной программы, затем проанализируйте содержащийся в ней машинный код. Исходный код подозрительного файла сравнивается с исходным кодом известных вирусов и вирусоподобных действий. Если определенный процент исходного кода совпадает с кодом известных вирусов или вирусоподобных действий, файл помечается, и пользователь получает предупреждение.

Эффективность

Эвристический анализ способен обнаруживать многие ранее неизвестные вирусы и новые варианты существующих вирусов. Однако эвристический анализ работает на основе опыта (путем сравнения подозрительного файла с кодом и функциями известных вирусов). Это означает, что он может пропустить новые вирусы, которые содержат ранее неизвестные методы работы, которых нет ни в каких известных вирусах. Следовательно, эффективность относительно точности и количества ложные срабатывания.

По мере того как новые вирусы обнаруживаются исследователями-людьми, информация о них добавляется в механизм эвристического анализа, тем самым предоставляя механизму средства обнаружения новых вирусов.

Что такое эвристический анализ?

Эвристический анализ - это метод обнаружения вирусов путем проверки кода на подозрительные свойства.

Традиционные методы обнаружения вирусов включают идентификацию вредоносного ПО путем сравнения кода в программе с кодом известных типов вирусов, которые уже были обнаружены, проанализированы и записаны в базе данных - это называется обнаружением сигнатур.

Будучи полезным и все еще используемым, метод обнаружения сигнатур также стал более ограниченным из-за развития новых угроз, которые резко выросли на рубеже веков и продолжают появляться все время.

Чтобы противостоять этой проблеме, эвристическая модель была специально разработана для выявления подозрительных характеристик, которые можно найти в неизвестных, новых вирусах и модифицированных версиях существующих угроз, а также в образцах известных вредоносных программ.

Киберпреступники постоянно разрабатывают новые угрозы, и эвристический анализ - один из немногих методов, используемых для борьбы с огромным объемом этих новых угроз, которые наблюдаются ежедневно.

Эвристический анализ также является одним из немногих методов, способных бороться с полиморфными вирусами - термином, обозначающим вредоносный код, который постоянно изменяется и адаптируется.

Как работает эвристический анализ?

Эвристический анализ может использовать ряд различных методов. Один из эвристических методов, известный как статический эвристический анализ, включает декомпилирование подозрительной программы и изучение ее исходного кода. Затем этот код сравнивается с вирусами, которые уже известны и находятся в эвристической базе данных. Если определенный процент исходного кода совпадает с чем-либо в эвристической базе данных, код помечается как возможная угроза.

Другой метод известен как динамическая эвристика. Когда ученые хотят проанализировать что-то подозрительное, не подвергая опасности людей, они содержат это вещество в контролируемой среде, такой как безопасная лаборатория, и проводят тесты. Процесс аналогичен эвристическому анализу, но в виртуальном мире.

Он изолирует подозрительную программу или фрагмент кода внутри специализированной виртуальной машины - или «песочницы» - и дает антивирусной программе возможность протестировать код и смоделировать, что произойдет, если подозрительный файл будет разрешен для запуска. Он проверяет каждую команду по мере ее активации и ищет любые подозрительные действия, такие как саморепликация, перезапись файлов и другие действия, общие для вирусов. О потенциальных проблемах сообщается пользователю.

Эвристический анализ идеально подходит для выявления новых угроз, но для того, чтобы эвристика была эффективной, ее необходимо тщательно настроить, чтобы обеспечить наилучшее обнаружение новых угроз, но без ложных срабатываний на совершенно невинный код.

По этой причине эвристические инструменты часто являются лишь одним из видов оружия в сложном антивирусном арсенале. Обычно они используются вместе с другими методами обнаружения вирусов, такими как анализ сигнатур и другие проактивные технологии.

Рекомендации

  1. ^ Wong, W .; Штамп, М. (2006). «Охота за метаморфическими машинами». Журнал компьютерной вирусологии. 2 (3): 211–229. Дои:10.1007 / s11416-006-0028-7.

внешняя ссылка