Ablakok. Vírusok. Jegyzetfüzetek. Internet. hivatal. Segédprogramok. Drivers
Menü

Tranzit és dinamikus védelmi módok heurisztikus elemzése. Heurisztikus elemzési módszerek. Szerverplatform támogatási korlátozások

Ez a cikk a víruskereső szoftverekről szól. A heurisztikák használhatóság-értékelésben való alkalmazásához lásd a heurisztikus értékelés című részt.

Heurisztikus elemzés egy olyan technika, amelyet számos számítógépes vírusirtó program használ, amelyek célja a korábban ismeretlen számítógépes vírusok, valamint a „vadon” már létező vírusok új változatainak észlelése.

A heurisztikus elemzés egy szakértői alapú elemzés, amely különböző döntési szabályok vagy súlyozási módszerek segítségével meghatározza a rendszer érzékenységét egy adott fenyegetésre/kockázatra. A többszempontú elemzés (MCA) az egyik súlyozási eszköz. Ez a módszer eltér a statisztikai elemzéstől, amely a rendelkezésre álló adatokra/statisztikákra támaszkodik.

művelet

A legtöbb víruskereső program, amely heurisztikus elemzést használ ennek a funkciónak a végrehajtására úgy, hogy programozási parancsokat hajt végre egy megkérdőjelezhető programból vagy parancsfájlból egy speciális virtuális gépen, ezáltal lehetővé téve a víruskereső program számára, hogy belsőleg szimulálja, mi történne, ha gyanús fájl A gép valós világából kivont gyanús kód mentése közben kellett volna végrehajtani. Ezután elemzi a parancsokat végrehajtásuk során, figyeli a gyakori vírustevékenységeket, például a replikációt, a fájlok felülírását, és megpróbálja elrejteni a gyanús fájlok létezését. Ha egy vagy több vírusszerű műveletet észlel, a gyanús fájlt potenciális vírusként jelöli meg, és figyelmezteti a felhasználót.

A víruskereső programok másik gyakori heurisztikus elemzési technikája a gyanús program visszafordítása, majd a benne található natív kód elemzése. A gyanús fájl forráskódját összehasonlítja az ismert vírusok és vírusszerű tevékenységek forráskódjával. Ha egy bizonyos százaléka forráskód megegyezik egy ismert vírus vagy vírusszerű tevékenység kódjával, a fájl megjelölésre kerül, és a felhasználó figyelmeztetést kap.

hatékonyság

A heurisztikus elemzés számos korábban ismeretlen vírust és a jelenlegi vírusok új változatait képes kimutatni. A heurisztikus elemzés azonban a tapasztalatok alapján működik (a gyanús fájl összehasonlítása ismert vírusok kódjával és funkciójával). Ez azt jelenti, hogy nagyobb valószínűséggel hagyja figyelmen kívül azokat az új vírusokat, amelyek korábban ismeretlen munkamódszereket tartalmaznak, amelyek nem találhatók meg az ismert vírusok egyikében sem. Ezért a teljesítmény meglehetősen alacsony a pontosság és a hamis pozitív értékek tekintetében.

Amint az emberi kutatók új vírusokat fedeznek fel, a róluk szóló információk bekerülnek a motor heurisztikus elemzésébe, így biztosítva a motor számára az új vírusok észlelését.

Mi a heurisztikus elemzés?

A heurisztikus elemzés egy módszer a vírusok kimutatására a gyanús tulajdonságok kódjának elemzésével.

A hagyományos vírusészlelési módszerek magukban foglalják a rosszindulatú programok felderítését a programban lévő kód és az ismert típusú vírusok kódjának összehasonlításával, amelyekkel már találkoztak, elemeztek és rögzítettek egy adatbázisban – ez az úgynevezett aláírás-észlelés.

Bár hasznos és még mindig használatban van, az aláírás-alapú észlelési módszer korlátozottabbá vált a századforduló környékén robbanásszerűen felbukkanó és folyamatosan megjelenő új fenyegetések miatt.

A probléma megoldására egy heurisztikus modellt fejlesztettek ki, amely kifejezetten az ismeretlen, új vírusokban és a meglévő fenyegetések módosított változataiban, valamint az ismert kártevő-mintákban található gyanús jeleket azonosítja.

A kiberbűnözők folyamatosan új fenyegetéseket fejlesztenek ki, és a heurisztikus elemzés azon kevés technikák egyike, amelyeket a naponta tapasztalható új fenyegetések nagy mennyiségének leküzdésére használnak.

A heurisztikus elemzés azon kevés módszerek egyike, amelyek képesek a polimorf vírusok elleni küzdelemre – ez a kifejezés a rosszindulatú kódokra, amelyek folyamatosan változnak és alkalmazkodnak. A heurisztikus elemzés olyan fejlett biztonsági megoldásokat tartalmazott, amelyeket olyan vállalatok kínáltak, mint a Kaspersky Labs, hogy az új fenyegetéseket még azelőtt észleljék, mielőtt azok kárt okoznának, anélkül, hogy külön aláírásra lenne szükség.

Hogyan működik a heurisztikus elemzés?

A heurisztikus elemzés sokféle technika alkalmazását teszi lehetővé. Az egyik heurisztikus technika, az úgynevezett statikus heurisztikus elemzés, egy gyanús program visszafordítását és forráskódjának vizsgálatát foglalja magában. Ezt a kódot olyan vírusokkal hasonlítják össze, amelyek már ismertek és megtalálhatók a heurisztikus adatbázisokban. Ha a forráskód bármely százaléka megegyezik a heurisztikus adatbázis bejegyzésével, a kód lehetséges fenyegetésként jelenik meg.

Egy másik technika dinamikus heurisztika néven ismert. Amikor a tudósok valami gyanúsat akarnak elemezni anélkül, hogy az embereket veszélyeztetnék, az anyagokat ellenőrzött környezetben, például biztonságos laboratóriumban és tesztelésben tartják. Ez a folyamat hasonló a heurisztikus elemzéshez – de a virtuális világban is.

Elszigeteli a gyanús programokat vagy egy kódrészletet egy speciális programon belül Virtuális gép- vagy sandboxing - és lehetőséget ad a víruskereső programnak, hogy ellenőrizze a kódot, és szimulálja, mi történne, ha egy gyanús fájl futni hagyna. Megvizsgál minden egyes parancsot működés közben, és megkeres minden gyanús viselkedést, például önreplikációt, fájlok felülírását és egyéb, a vírusokra jellemző műveleteket. Lehetséges problémák

A heurisztikus elemzés ideális az új fenyegetések észlelésére, de ahhoz, hogy hatékony legyen, a heurisztikát gondosan be kell hangolni, hogy az új fenyegetéseket a lehető legjobban észlelje anélkül, hogy hamis pozitív eredményeket generálna teljesen ártatlan kódon.

Mi az a heurisztikus elemző?

  1. A heurisztikus módszer, az aláírási módszertől eltérően, nem a rosszindulatú kód aláírásainak, hanem olyan tipikus műveletsorok észlelésére irányul, amelyek lehetővé teszik, hogy megfelelő valószínűséggel következtetést vonjunk le a fájl természetére vonatkozóan. A heurisztikus elemzés előnye, hogy működéséhez nincs szükség előre összeállított adatbázisokra. Ennek köszönhetően az új fenyegetéseket még azelőtt felismerik, hogy tevékenységük a víruselemzők számára ismertté válna.
  2. kérlek írj ha tudod
  3. A heurisztikus szkennelés egy víruskereső program olyan működési módja, amely aláírásokon és heurisztikán alapul. Ez a technológia, azonban nagyon óvatosan használják a modern programokban, mivel növelheti a hamis pozitív eredmények számát.
  4. A heurisztikus elemző (heurisztikus) egy víruskereső modul, amely elemzi a kódot futtatható fájlés meghatározza, hogy a vizsgált objektum fertőzött-e.
    A heurisztikus elemzés nem használ szabványos aláírásokat. Éppen ellenkezőleg, a heurisztika előre meghatározott, néha nem teljesen világos szabályok alapján dönt.

    A jobb érthetőség kedvéért ez a megközelítés összehasonlítható mesterséges intelligenciaönálló elemzés és döntéshozatal. Ez a hasonlat azonban csak részben ragadja meg a lényeget, mivel a heurisztika nem tudja, hogyan kell tanulni, és sajnos alacsony a hatékonysága. A vírusirtó szakértők szerint még a legmodernebb elemzők sem képesek megállítani a rosszindulatú kódok több mint 30%-át. Egy másik probléma a hamis pozitív eredmény, amikor egy legitim programot fertőzöttként azonosítanak.

    A víruskereső termékekben azonban minden hiányosság ellenére továbbra is alkalmaznak heurisztikus módszereket. A tény az, hogy a különböző megközelítések kombinációja javíthatja a szkenner végső hatékonyságát. Napjainkban a heurisztikát az összes jelentős piaci szereplő termékeivel látják el: a Symantec, a Kaspersky Lab, a Panda, a Trend Micro és a McAfee.
    A heurisztikus elemzés ellenőrzi a fájl szerkezetét és a vírussablonoknak való megfelelését. A legnépszerűbb heurisztikus technika a fájl tartalmának ellenőrzése a már ismert vírusszignatúrák és azok kombinációinak módosítása szempontjából. Ez segít azonosítani a hibrideket és a korábban ismert vírusok új verzióit anélkül további frissítés vírusirtó alap.
    A heurisztikus elemzést az ismeretlen vírusok kimutatására használják, és ennek eredményeként nem jár kezeléssel.
    Ez a technológia nem képes 100%-osan meghatározni az előtte lévő vírust vagy sem, és mint minden valószínűségi algoritmus, téves pozitív eredményekkel vétkezik.

    Bármilyen kérdése van - megoldom, forduljon hozzánk, amiben tudunk, segítünk

  5. A heurisztikus elemző összefoglalja a programkód tendenciáit a rendszermegszakítási hívások tekintetében, extrapolálva a lehetséges rosszindulatúság mértékét. Így az operációs rendszer kiegyensúlyozott védelme biztosított.
    Nos, nagyjából mindent elmagyaráztam, érted? ;))
  6. ez a mesterséges intelligencia egy fajtája. a való életben ez a technológia nem elérhető, van néhány közelítés, mintha a vírusirtó maga elemzi a programot és eldönti, hogy vírus-e vagy sem

A víruskereső program vírusokat és rosszindulatú objektumokat keres a vizsgált program vírusleíró adatbázisával való összehasonlítása alapján. Ha talál egyezést, az antivírus képes kezelni a talált vírust, és a kezelés szabályait és módszereit általában ugyanabban az adatbázisban tárolják.

Ez az adatbázis azonban a vírusirtó gyenge pontjává válik – csak az adatbázisában leírt vírusokat képes észlelni. Ez a probléma részben kiküszöbölhető a heurisztikus elemzővel - egy speciális víruskereső alrendszerrel, amely megpróbálja észlelni az új típusú vírusokat, amelyek nem szerepelnek az adatbázisban. A vírusok mellett az AVZ heurisztikus elemző kémprogramokat, gépeltérítőket és trójaiakat is megpróbál észlelni.

A heurisztikus elemző munkája tipikus vírusok felkutatásán és spyware funkciók (programkód töredékei, bizonyos rendszerleíró kulcsok, fájlok és folyamatok). Ezenkívül a heurisztikus elemző megpróbálja felmérni a vizsgált objektum ismert vírusokkal való hasonlóságának mértékét.

A kémprogramok, a RootKit és a Hijacker kereséséhez a leghatékonyabb heurisztikus elemzés nem az egyes fájlok a lemezen, hanem a teljes rendszer egésze. Ez elemzi a rendszerleíró adatbázisban lévő adatok összességét, a lemezen lévő fájlokat, a memóriában lévő folyamatokat és könyvtárakat, a figyelő TCP és UDP portokat, az aktív szolgáltatásokat és a betöltött illesztőprogramokat.

A heurisztikus elemzés jellemzője a hibák meglehetősen magas százaléka – a heurisztika jelentheti a gyanús objektumok észlelését, de ezt az információt a virológusoknak ellenőrizniük kell. Az ellenőrzés eredményeként az objektumot rosszindulatúként ismeri fel, és bekerül az adatbázisokba, vagy hamis pozitív eredményt rögzít, és a heurisztikus elemző algoritmusaiba korrekciót vezet be.

A legtöbb vírusirtó (beleértve az AVZ-t is) képes beállítani a heurisztikus analizátor érzékenységét. Ebben az esetben mindig felmerül egy ellentmondás - minél nagyobb az érzékenység, annál nagyobb a valószínűsége annak, hogy a heurisztika egy ismeretlen rosszindulatú objektumot észlel. Az érzékenység növekedésével azonban nő a hamis pozitív eredmények valószínűsége, ezért valamiféle "arany középutat" kell keresnie.

A heurisztikus analizátor több érzékenységi szinttel és két speciális üzemmóddal rendelkezik:

blokkolja a heurisztikus analizátort. Ebben az esetben az analizátor teljesen ki van kapcsolva a munkából. Az AVZ-ben a heurisztikus analizátor érzékenységi szintjének beállítása mellett lehetőség van a rendszer heurisztikus elemzésének be- és kikapcsolására is;

"paranoid" mód - ebben az üzemmódban a lehető legnagyobb érzékenység be van kapcsolva, és a legkisebb gyanú esetén figyelmeztetések jelennek meg. Ez a mód természetesen elfogadhatatlan a nagyon sok téves pozitív eredmény miatt, de néha hasznos.

Az AVZ heurisztikus analizátor fő üzenetei a következő listában találhatók:

"Fájlnév >>> gyanús vírusnév (rövid információ az objektumról)" Hasonló üzenet jelenik meg, ha olyan objektumot észlel, amely az AVZ szerint hasonló egy ismert rosszindulatú objektumhoz. A zárójelben lévő adatok lehetővé teszik a fejlesztő számára, hogy megtalálja a víruskereső adatbázisban azt a bejegyzést, amely az üzenet kiadásához vezetett;

"Fájlnév >>> PE fájl nem szabványos kiterjesztéssel" - ez azt jelenti, hogy egy programfájlt észleltek, de a tipikus EXE, DLL, SYS kiterjesztés helyett más, nem szabványos kiterjesztéssel rendelkezik. Ez nem veszélyes, de sok vírus elfedi a PE fájljait úgy, hogy PIF-et ad nekik. , COM kiterjesztések. Ez az üzenet bármely heurisztikus szinten megjelenítve a PIF, COM kiterjesztésű PE-fájloknál, mások számára - csak a maximális heurisztikus szinten;

"Fájlnév >>> A fájlnévben több mint 5 szóköz van" - sok szóköz van a fájlnévben - ez ritka, de sok vírus szóközt használ a valódi kiterjesztés elfedésére, így "photo.jpeg .exe" nevű fájlokat hoz létre;

"Fájlnév >>> Kiterjesztés maszkolás észlelve" - hasonló az előző üzenethez, de akkor kerül kiadásra, ha a névben több mint 15 szóköz található;

"Fájlnév >>> fájlnak nincs látható neve" - olyan fájlokhoz adják ki, amelyeknek nincs neve (azaz a fájlnév úgy néz ki, mint ".exe" vagy ".pif");

"Process Filename működhet a hálózattal" - olyan folyamatok esetén jelenik meg, amelyek olyan könyvtárakat használnak, mint a wininet.dll, rasapi32.dll, ws2_32.dll - azaz olyan rendszerkönyvtárak, amelyek a hálózattal való munkavégzéshez vagy a tárcsázási folyamat vezérléséhez és a kapcsolat létrehozásához szükséges funkciókat tartalmazzák. Ezt az ellenőrzést csak a maximális értéknél hajtják végre heurisztika szintje A hálózati könyvtárak használatának ténye természetesen nem a program rosszindulatúságának a jele, de érdemes odafigyelni a listán szereplő érthetetlen folyamatokra;

Az üzenet után egy szám jeleníthető meg, amely a veszély mértékét jelzi százalékban. Különös figyelmet kell fordítani a 30-nál nagyobb súlyosságú fájlokra.

Az ismertekhez hasonló vírusok keresése

A heurisztikus jelentése "találni". A heurisztikus elemzés azon a (nagyon valószínű) feltételezésen alapul, hogy az új vírusok gyakran hasonlítanak néhány ismert vírushoz. Ezért a víruskereső adatbázisok olyan aláírásokat tartalmaznak, amelyek nem egy, hanem több vírust egyszerre észlelnek. Ezért a heurisztikus módszer olyan fájlok keresése, amelyek nem teljesen, de nagyon szorosan egyeznek az ismert vírusok aláírásával.

Előnyök: Az új vírusok felismerésének képessége még azelőtt, hogy az aláírások kiosztásra kerülnének.

Hiba:

  • annak valószínűsége, hogy tévesen észlelik a vírus jelenlétét egy fájlban, miközben a fájl valójában tiszta - az ilyen eseményeket hamis pozitívnak nevezik;
  • A kezelés lehetetlensége - mind az esetleges téves pozitív eredmények, mind a vírus típusának esetleges pontatlan meghatározása miatt a kezelési kísérlet nagyobb információvesztéshez vezethet, mint maga a vírus, és ez elfogadhatatlan;
  • • alacsony hatásfok – a legelterjedtebb járványokat okozó, valóban innovatív vírusok ellen az ilyen típusú heurisztikus elemzésnek nem sok haszna van.

Gyanús tevékenységet végző vírusok keresése

Egy másik heurisztikán alapuló módszer azon a feltételezésen alapul, hogy rosszindulatúígy vagy úgy, a számítógép károsítására törekszenek, és a fő rosszindulatú tevékenységek azonosításán alapulnak.

Például:

  • Fájl törlése
  • fájlba írás;
  • Rögzítés a rendszerleíró adatbázis bizonyos területein;
  • Lehallgató port megnyitása
  • a billentyűzetről bevitt adatok lehallgatása;
  • · levelek postázása;

Az egyes műveletek külön-külön történő végrehajtása nem ok arra, hogy a programot rosszindulatúnak tekintsük. Ha azonban a program több ilyen műveletet hajt végre egymás után, például saját indítását írja a rendszerleíró adatbázis automatikus indítókulcsába, lefogja a billentyűzetről bevitt adatokat, és bizonyos gyakorisággal elküldi ezeket az adatokat valamilyen internetcímre, akkor ez a program legalábbis gyanús. Az ezen az elven alapuló heurisztikus elemző folyamatosan figyeli a programok által végrehajtott műveleteket.

Előnyök: képes észlelni a korábban ismeretlen rosszindulatú programokat, még akkor is, ha azok nem nagyon hasonlítanak a már ismertekhez (egy új sérülékenység behatolása a számítógépbe, majd a már ismert rosszindulatú műveletek végrehajtása). Egy ilyen program az első típusú heurisztikus elemzővel átugorható, a második típusú analizátorral viszont detektálható.

Hibák:

  • Hamis pozitívumok
  • a kezelés lehetetlensége;
  • nem nagy hatásfok.

Mielőtt elkezdené a „heurisztikus elemzés” fogalmát, meg kell érteni, mit jelent maga a „heurisztika” szó. Ehhez vissza kell mennünk a történelembe, mégpedig az ókori Görögországba. A "heurisztikus" szó a "találj" szóból származik, amelyet a görög nyelvből fordítanak. Mindennek az a lényege, hogy minden probléma megoldása e módszerek szerint olyan feltételezéseken alapul, amelyek igazak lehetnek.

Nem jellemző rájuk a szigorú tények vagy feltételezések használata.

A fentiek meglehetősen homályosan és talán érthetetlenül hangzanak. Ezért megpróbáljuk megérteni, mi a heurisztikus elemzés konkrét példákon. Így.

Létezik nagyszámú nagyon hasonló tulajdonságokkal rendelkező vírusok az interneten. Így modern víruskereső programok keressen olyan fájlokat, amelyek aláírása nagyon hasonlít a rosszindulatú programkódokhoz. Ezzel jelentősen csökkenthető a víruskereséshez használt adatbázisok mennyisége. A heurisztikus elemzés segítségével a víruskereső gyártók jelentősen megtakarítják azon számítógépek erőforrásait, amelyekre telepítve vannak. szoftver. Lehetővé teszi az új vírusok észlelését még az aláírások frissítése előtt.

A következő példa szintén a vírusok elleni küzdelemhez kapcsolódik. Logikája már a „rosszindulatú programok” elnevezésben rejlik. Ezzel a megközelítéssel azt feltételezzük, hogy minden vírus így vagy úgy.. Van egy hozzávetőleges lista azokról a műveletekről, amelyeket a heurisztikus elemzés ellenőriz, mielőtt döntést hozna. Ez írás, törlés, írás rendszerleíró adatbázis, kattintások olvasása, portok megnyitása, spam küldése. Természetesen, ha egy akciót végrehajtanak, akkor ez nem ok a pánikra, de ha egyidejűleg és különösen gyors ütemben történik, akkor van ok a gondolkodásra. Ennek a folyamatnak a fő előnye, hogy képes észlelni a vírusokat akkor is, ha azok nem egyeznek az adatbázisban már található aláírásokkal.

Egy másik iparág, ahol heurisztikus elemzést alkalmaznak, a közgazdaságtan. Ráadásul alkalmazása nagyon széles. A közgazdasági elemzés egyike a sok alágazatnak, ahol a tárgyalt módszerek alkalmazása nagy segítséget jelent. Lényegében egy részletes és átfogó tanulmány. Különféle rendelkezésre álló forrásokból származó információkon alapul. Egy adott szervezet működésének számos belső vonatkozását is értékelik. Ezen intézkedések végrehajtása a munka javítását célozza, amit új optimális menedzsment megoldások bevezetésével és fejlesztésével érünk el.

A heurisztika széleskörű elterjedése jelentősen leegyszerűsítheti a döntéshozatali folyamatokat, valamint számos, a statisztikai adatok felhasználásával eltávolítható probléma kiküszöbölhető. Ezzel rengeteg erőforrást és időt takaríthatunk meg. A korábban megszerzett tapasztalatok biztonsággal hasznosíthatók a szervezet mindennapi tevékenységében.

Tematikus anyagok:
Hogyan kell dolgozni a feketelistával?
Hogyan kell dolgozni a feketelistával?
Korlátlan internet az mts-től
Korlátlan internet az mts-től
Milyen típusú kapcsolatot kell megadni az útválasztó konfigurálásakor?
Milyen típusú kapcsolatot kell megadni az útválasztó konfigurálásakor?
Hogyan működik a Yandex Taxi alkalmazás az utasok számára
Hogyan működik a Yandex Taxi alkalmazás az utasok számára
Minden módon kapcsolatba léphet a Tele2 szolgáltatójával
Minden módon kapcsolatba léphet a Tele2 szolgáltatójával
Tiltsa le a Megafon fizetős szolgáltatásait egy szolgáltatón keresztül
Tiltsa le a Megafon fizetős szolgáltatásait egy szolgáltatón keresztül
A tarifa leírása
A tarifa leírása "MTS Tablet
Mi a leggyorsabb internet
Mi a leggyorsabb internet

Frissítve: 2021.08.18
103583
Ha hibát észlel, jelöljön ki egy szövegrészt, és nyomja meg a Ctrl + Enter billentyűket
OSSZA MEG:

Webhelykategóriák

Copyright © 2023 sukachoff.com - Windows. Vírusok. Jegyzetfüzetek. Internet. hivatal. Segédprogramok. Drivers