Questo articolo riguarda il software antivirus. Per l'applicazione dell'euristica nella valutazione dell'usabilità, vedere valutazione euristica.
Analisi euristicaè una tecnica utilizzata da molti programmi antivirus per computer progettati per rilevare virus informatici precedentemente sconosciuti, nonché nuove varianti di virus già "selvaggi".
L'analisi euristica è un'analisi basata su esperti che determina la suscettibilità di un sistema a una particolare minaccia/rischio utilizzando varie regole decisionali o metodi di ponderazione. L'analisi multicriteri (MCA) è uno dei mezzi di ponderazione. Questo metodo è diverso dall'analisi statistica, che si basa su dati/statistiche disponibili.
La maggior parte dei programmi antivirus che utilizzano l'analisi euristica per eseguire questa funzione eseguendo comandi di programmazione da un programma o uno script discutibile in una macchina virtuale specializzata, consentendo così al programma antivirus di simulare internamente cosa accadrebbe se file sospetto avrebbe dovuto essere eseguito durante il salvataggio del codice sospetto estratto dal mondo reale della macchina. Quindi analizza i comandi man mano che vengono eseguiti, monitora le attività comuni dei virus come la replica, la sovrascrittura dei file e cerca di nascondere l'esistenza di un file sospetto. Se vengono rilevate una o più azioni simili a virus, il file sospetto viene contrassegnato come potenziale virus e l'utente viene avvisato.
Un'altra tecnica di analisi euristica comune per un programma antivirus consiste nel decompilare un programma sospetto e quindi analizzare il codice nativo contenuto al suo interno. Il codice sorgente di un file sospetto viene confrontato con il codice sorgente di virus noti e attività simili a virus. Se una certa percentuale di codice sorgente corrisponde al codice di un virus noto o di un'attività simile a un virus, il file viene contrassegnato e l'utente viene avvisato.
L'analisi euristica può rilevare molti virus precedentemente sconosciuti e nuove varianti dei virus attuali. Tuttavia, l'analisi euristica funziona in base all'esperienza (confrontando il file sospetto con il codice e la funzione dei virus noti). Ciò significa che è più probabile che tu perda nuovi virus che contengono metodi di lavoro precedentemente sconosciuti non trovati in uno dei virus noti. Pertanto, le prestazioni sono piuttosto basse in termini di accuratezza e falsi positivi.
Man mano che i ricercatori umani scoprono nuovi virus, le informazioni su di essi vengono aggiunte all'analisi euristica del motore, fornendo così al motore un mezzo per rilevare nuovi virus.
L'analisi euristica è un metodo per rilevare i virus analizzando il codice delle proprietà sospette.
I metodi tradizionali di rilevamento dei virus implicano il rilevamento del malware confrontando il codice nel programma con quello di tipi noti di virus che sono già stati rilevati, analizzati e registrati in un database, noto come rilevamento delle firme.
Anche se utile e ancora in uso, il metodo di rilevamento basato sulle firme è diventato anche più limitato, a causa dello sviluppo di nuove minacce che sono esplose verso la fine del secolo e continuano a emergere continuamente.
Per risolvere questo problema, è stato specificamente progettato un modello euristico per identificare segni sospetti che possono essere trovati in nuovi virus sconosciuti e versioni modificate di minacce esistenti, nonché campioni di malware noti.
I criminali informatici sviluppano costantemente nuove minacce e l'analisi euristica è una delle poche tecniche utilizzate per combattere l'enorme volume di queste nuove minacce viste quotidianamente.
L'analisi euristica è anche uno dei pochi metodi in grado di combattere i virus polimorfici, un termine per codice dannoso che cambia e si adatta costantemente. L'analisi euristica includeva soluzioni di sicurezza avanzate offerte da aziende come Kaspersky Labs per rilevare nuove minacce prima che causino danni, senza la necessità di una firma specifica.
L'analisi euristica consente l'uso di molte tecniche diverse. Una tecnica euristica, nota come analisi euristica statica, implica la decompilazione di un programma sospetto e l'esame del suo codice sorgente. Questo codice viene confrontato con virus già noti e trovati nei database euristici. Se una qualsiasi percentuale del codice sorgente corrisponde a una voce nel database euristico, il codice viene contrassegnato come possibile minaccia.
Un'altra tecnica è nota come euristica dinamica. Quando gli scienziati vogliono analizzare qualcosa di sospetto senza mettere in pericolo le persone, tengono le sostanze in un ambiente controllato, come un laboratorio sicuro e per i test. Questo processo è simile per l'analisi euristica, ma anche nel mondo virtuale.
Isola i programmi sospetti o un pezzo di codice all'interno di un file specializzato macchina virtuale- o sandboxing - e offre al programma antivirus la possibilità di controllare il codice e simulare cosa accadrebbe se fosse consentito l'esecuzione di un file sospetto. Esamina ogni comando mentre funziona e cerca eventuali comportamenti sospetti come l'auto-replicazione, la sovrascrittura di file e altre azioni comuni ai virus. Potenziali problemi
L'analisi euristica è ideale per rilevare nuove minacce, ma per essere efficace l'euristica deve essere attentamente regolata per fornire il miglior rilevamento possibile di nuove minacce, ma senza generare falsi positivi su codice completamente innocente.
Cos'è un analizzatore euristico?
Per maggiore chiarezza, questo approccio può essere confrontato con intelligenza artificiale condurre autonomamente analisi e prendere decisioni. Tuttavia, questa analogia coglie solo parzialmente l'essenza, poiché l'euristica non sa imparare e, purtroppo, ha una bassa efficienza. Secondo gli esperti di antivirus, anche i più moderni analizzatori non sono in grado di bloccare più del 30% dei codici maligni. Un altro problema sono i falsi positivi, quando un programma legittimo viene identificato come infetto.
Tuttavia, nonostante tutte le carenze, i metodi euristici sono ancora utilizzati nei prodotti antivirus. Il fatto è che la combinazione di diversi approcci può migliorare l'efficienza finale dello scanner. Oggi, l'euristica viene fornita con i prodotti di tutti i principali attori del mercato: Symantec, Kaspersky Lab, Panda, Trend Micro e McAfee.
L'analisi euristica controlla la struttura del file e la sua conformità con i modelli di virus. La tecnica euristica più popolare consiste nel controllare il contenuto di un file per verificare la presenza di modifiche di firme di virus già note e delle loro combinazioni. Questo aiuta a identificare ibridi e nuove versioni di virus precedentemente noti senza ulteriore aggiornamento base antivirus.
L'analisi euristica viene utilizzata per rilevare virus sconosciuti e, di conseguenza, non comporta alcun trattamento.
Questa tecnologia non è in grado di determinare al 100% il virus che ha di fronte o meno e, come qualsiasi algoritmo probabilistico, pecca con falsi positivi.
Qualsiasi domanda verrà risolta da me, contattaci, ti aiuteremo in ogni modo possibile
Il programma antivirus cerca virus e oggetti dannosi confrontando il programma in esame con il suo database di descrizioni dei virus. Se viene trovata una corrispondenza, l'antivirus può trattare il virus trovato e le regole e i metodi di trattamento sono generalmente memorizzati nello stesso database.
Tuttavia, questo database diventa un punto debole dell'antivirus: può rilevare solo i virus descritti nel suo database. Questo problema può essere parzialmente eliminato dall'analizzatore euristico, uno speciale sottosistema antivirus che tenta di rilevare nuovi tipi di virus non descritti nel database. Oltre ai virus, l'analizzatore euristico AVZ tenta di rilevare spyware, dirottatori e trojan.
Il lavoro dell'analizzatore euristico si basa sulla ricerca di virus tipici e spyware caratteristiche (frammenti di codice del programma, determinate chiavi di registro, file e processi). Inoltre, l'analizzatore euristico tenta di valutare il grado di somiglianza dell'oggetto in esame con i virus noti.
Per cercare spyware, RootKit e Hijacker, l'analisi euristica più efficace non sono i singoli file sul disco, ma l'intero sistema nel suo insieme. Questo analizza la totalità dei dati nel registro, file su disco, processi e librerie in memoria, porte TCP e UDP in ascolto, servizi attivi e driver caricati.
Una caratteristica dell'analisi euristica è una percentuale piuttosto elevata di errori: un'euristica può segnalare il rilevamento di oggetti sospetti, ma questa informazione deve essere verificata dai virologi. A seguito del controllo, l'oggetto viene riconosciuto come dannoso e inserito nei database oppure viene registrato un falso positivo e viene introdotta una correzione negli algoritmi dell'analizzatore euristico.
La maggior parte degli antivirus (incluso AVZ) ha la capacità di regolare la sensibilità dell'analizzatore euristico. In questo caso, sorge sempre una contraddizione: maggiore è la sensibilità, maggiore è la probabilità di rilevare un oggetto dannoso sconosciuto dall'euristica. Ma con un aumento della sensibilità, aumenta la probabilità di falsi positivi, quindi è necessario cercare una sorta di "mezzo aureo".
L'analizzatore euristico ha diversi livelli di sensibilità e due modalità speciali:
bloccando l'analizzatore euristico. In questo caso, l'analizzatore è completamente spento dal lavoro. In AVZ, oltre a regolare il livello di sensibilità dell'analizzatore euristico, è possibile attivare e disattivare l'analisi euristica del sistema;
modalità "paranoica": in questa modalità viene attivata la massima sensibilità possibile e vengono visualizzati avvisi al minimo sospetto. Questa modalità è naturalmente inaccettabile a causa dell'altissimo numero di falsi positivi, ma a volte è utile.
I messaggi principali dell'analizzatore euristico AVZ sono riportati nel seguente elenco:
"Nome file >>> nome_virus sospetto (brevi informazioni sull'oggetto)"Un messaggio simile viene emesso quando viene rilevato un oggetto che, secondo AVZ, è simile a un oggetto dannoso noto. I dati tra parentesi consentono allo sviluppatore di trovare la voce nel database dell'antivirus che ha portato all'emissione di questo messaggio;
"Nome file >>> File PE con estensione non standard" - questo significa che è stato rilevato un file di programma, ma invece della tipica estensione EXE, DLL, SYS, ha un'estensione diversa e non standard. Questo non è pericoloso, ma molti virus mascherano i loro file PE dando loro estensioni PIF, COM. Questo messaggio visualizzato in qualsiasi livello euristico per file PE con PIF, estensioni COM, per altri - solo al massimo livello euristico;
"Nome del file >>> Ci sono più di 5 spazi nel nome del file" - molti spazi nel nome di un file - questo è raro, ma molti virus usano gli spazi per mascherare l'estensione reale, creando file con nomi come "photo.jpeg .exe";
"Nome file >>> Rilevato mascheramento dell'estensione" - simile al messaggio precedente, ma emesso quando nel nome vengono trovati più di 15 spazi;
"Nome file >>> il file non ha un nome visibile" - emesso per i file che non hanno un nome (ovvero il nome del file è simile a ".exe" o ".pif");
"Process Filename può funzionare con la rete" - visualizzato per processi che utilizzano librerie come wininet.dll, rasapi32.dll, ws2_32.dll - ovvero librerie di sistema contenenti funzioni per lavorare con la rete o gestire il processo di composizione e stabilire una connessione. Questo controllo viene eseguito solo al massimo livello euristico.
Dopo il messaggio può essere visualizzato un numero che rappresenta il grado di pericolo in percentuale. Particolare attenzione dovrebbe essere prestata ai fascicoli per i quali è stato emesso un livello di gravità superiore a 30.
Ricerca di virus simili a quelli conosciuti
Euristico significa "trovare". L'analisi euristica si basa sul presupposto (molto plausibile) che i nuovi virus spesso si rivelino simili ad alcuni noti. Pertanto, i database antivirus contengono firme per rilevare non uno, ma più virus contemporaneamente. Pertanto, il metodo euristico consiste nel cercare i file che non corrispondono completamente ma molto da vicino alle firme dei virus noti.
Vantaggi: la capacità di rilevare nuovi virus anche prima che le firme vengano assegnate per loro.
Difetto:
Ricerca di virus che eseguono attività sospette
Un altro metodo basato sull'euristica si basa sul presupposto che malware in un modo o nell'altro, cercano di danneggiare il computer e si basano sull'identificazione delle principali azioni dannose.
Per esempio:
L'esecuzione separata di ciascuna di queste azioni non è un motivo per considerare il programma dannoso. Tuttavia, quando il programma esegue diverse azioni di questo tipo in successione, ad esempio, scrive il proprio avvio nella chiave di esecuzione automatica del registro di sistema, intercetta i dati inseriti dalla tastiera e invia questi dati a un indirizzo su Internet con una certa frequenza, quindi questo programma è almeno sospetto. Un analizzatore euristico basato su questo principio monitora costantemente le azioni eseguite dai programmi.
Vantaggi: la capacità di rilevare programmi dannosi precedentemente sconosciuti, anche se non sono molto simili a quelli già noti (utilizzando una nuova vulnerabilità per penetrare in un computer e quindi eseguendo azioni dannose già familiari). Tale programma può essere saltato da un analizzatore euristico del primo tipo, ma può essere rilevato da un analizzatore del secondo tipo.
Screpolatura:
Prima di iniziare a considerare il concetto di "analisi euristica", è necessario comprendere cosa significhi la stessa parola "euristica". Per fare questo, dobbiamo tornare alla storia, vale a dire all'antica Grecia. La parola "euristica" deriva dalla parola "trova", tradotta dalla lingua greca. Il punto principale di tutto è che tutte le soluzioni a qualsiasi problema, secondo questi metodi, si basano su ipotesi che possono essere vere.
Non sono caratterizzati dall'uso di fatti o presupposti rigorosi.
Quanto sopra suona piuttosto vago e, forse, incomprensibile. Pertanto, proveremo a capire cos'è l'analisi euristica su esempi specifici. COSÌ.
Esiste un gran numero di virus su Internet che hanno proprietà molto simili. Quindi, moderno programmi antivirus cercare i file le cui firme sono molto simili al codice del malware. Ciò consente di ridurre notevolmente la quantità di database utilizzati per la ricerca dei virus. Utilizzando l'analisi euristica, i produttori di antivirus salvano in modo significativo le risorse dei computer su cui sono installati. Software. Consente inoltre di rilevare nuovi virus ancor prima che le firme vengano aggiornate.
Anche il prossimo esempio è legato alla lotta ai virus. La sua logica sta nel nome stesso "programmi dannosi". Con questo approccio, si presume che tutti i virus infliggano in un modo o nell'altro: esiste un elenco approssimativo di azioni che l'analisi euristica controlla prima di prendere una decisione. È scrivere, eliminare, scrivere a registro di sistema, leggere clic, aprire porte, inviare spam. Naturalmente, quando viene eseguita un'azione, questo non è motivo di panico, ma quando si svolgono contemporaneamente e ad un ritmo particolarmente veloce, allora ci sono ragioni per pensare. Il vantaggio principale di questo processo è la capacità di rilevare i virus anche se non corrispondono alle firme già presenti nel database.
Un altro settore in cui viene applicata l'analisi euristica è l'economia. Inoltre, la sua applicazione è molto ampia. L'analisi economica è uno dei tanti sottosettori in cui l'applicazione dei metodi discussi è di grande aiuto. Al suo centro, è uno studio dettagliato e completo. Si basa su informazioni provenienti da varie fonti disponibili. Vengono valutati anche molti aspetti interni del funzionamento di una particolare organizzazione. La realizzazione di queste azioni è finalizzata al miglioramento del lavoro, che si ottiene con l'introduzione e lo sviluppo di nuove soluzioni di gestione ottimali.
L'uso diffuso dell'euristica può semplificare notevolmente i processi decisionali, nonché eliminare una serie di problemi che possono essere rimossi attraverso l'uso di dati statistici. Ciò consente di risparmiare molte risorse e tempo. L'esperienza acquisita in precedenza può essere tranquillamente utilizzata nelle attività quotidiane dell'organizzazione.
