Den här artikeln handlar om antivirusprogram. För tillämpning av heuristik i användbarhetsutvärdering, se heuristisk utvärdering.
Heuristisk analysär en teknik som används av många datorantivirusprogram som är utformade för att upptäcka tidigare okända datavirus, såväl som nya varianter av virus som redan finns i det "vilda".
Heuristisk analys är en expertbaserad analys som bestämmer ett systems känslighet för ett visst hot/risk med hjälp av olika beslutsregler eller viktningsmetoder. Multikriterieanalys (MCA) är ett av vägningsmedlen. Denna metod skiljer sig från statistisk analys, som bygger på tillgänglig data/statistik.
De flesta antivirusprogram som använder heuristisk analys för att utföra denna funktion genom att utföra programmeringskommandon från ett tvivelaktigt program eller skript i en specialiserad virtuell maskin, vilket gör att antivirusprogrammet internt kan simulera vad som skulle hända om misstänkt fil borde ha körts medan den misstänkta koden som extraherats från maskinens verkliga värld sparades. Den analyserar sedan kommandon när de körs, övervakar vanliga virusaktiviteter som replikering, filöverskrivningar och försöker dölja förekomsten av en misstänkt fil. Om en eller flera virusliknande åtgärder upptäcks markeras den misstänkta filen som ett potentiellt virus och användaren varnas.
En annan vanlig heuristisk analysteknik för ett antivirusprogram är att dekompilera ett misstänkt program och sedan analysera den ursprungliga koden som finns däri. Källkoden för en misstänkt fil jämförs med källkoden för kända virus och virusliknande aktiviteter. Om en viss procent av källkod matchar koden för ett känt virus eller virusliknande aktivitet, filen flaggas och användaren varnas.
Heuristisk analys kan upptäcka många tidigare okända virus och nya varianter av nuvarande virus. Heuristisk analys fungerar dock baserat på erfarenhet (jämför den misstänkta filen med koden och funktionen för kända virus). Det betyder att du är mer benägen att missa nya virus som innehåller tidigare okända arbetsmetoder som inte finns i något av de kända virusen. Därför är prestandan ganska låg vad gäller noggrannhet och falska positiva resultat.
När nya virus upptäcks av mänskliga forskare läggs information om dem till motorns heuristiska analys, vilket ger motorn ett sätt att upptäcka nya virus.
Heuristisk analys är en metod för att upptäcka virus genom att analysera koden för misstänkta egenskaper.
Traditionella metoder för att upptäcka virus innebär att skadlig kod upptäcks genom att jämföra koden i programmet med koden för kända typer av virus som redan har påträffats, analyserats och registrerats i en databas - känd som signaturdetektion.
Även om den är användbar och fortfarande används, har den signaturbaserade detektionsmetoden också blivit mer begränsad, på grund av utvecklingen av nya hot som exploderade runt sekelskiftet och fortsätter att dyka upp hela tiden.
För att lösa detta problem har en heuristisk modell utformats speciellt för att identifiera misstänkta tecken som kan hittas i okända, nya virus och modifierade versioner av befintliga hot, såväl som kända skadliga program.
Cyberbrottslingar utvecklar ständigt nya hot, och heuristisk analys är en av de få tekniker som används för att bekämpa den stora mängden av dessa nya hot som ses dagligen.
Heuristisk analys är också en av få tekniker som kan bekämpa polymorfa virus – en term för skadlig kod som ständigt förändras och anpassas. Heuristisk analys inkluderade avancerade säkerhetslösningar som erbjuds av företag som Kaspersky Labs för att upptäcka nya hot innan de orsakar skada, utan behov av en specifik signatur.
Heuristisk analys tillåter användning av många olika tekniker. En heuristisk teknik, känd som statisk heuristisk analys, innebär att dekompilera ett misstänkt program och undersöka dess källkod. Denna kod jämförs med virus som redan är kända och som finns i heuristiska databaser. Om någon procentandel av källkoden matchar en post i den heuristiska databasen, flaggas koden som ett möjligt hot.
En annan teknik är känd som dynamisk heuristik. När forskare vill analysera något misstänkt utan att äventyra människor håller de ämnena i en kontrollerad miljö, som ett säkert laboratorium och tester. Denna process är liknande för heuristisk analys - men också i den virtuella världen.
Det isolerar misstänkta program eller en bit kod i en specialiserad virtuell maskin- eller sandboxning - och ger antivirusprogrammet en chans att kontrollera koden och simulera vad som skulle hända om en misstänkt fil fick köras. Den undersöker varje kommando när den fungerar och letar efter eventuella misstänkta beteenden som självreplikering, överskrivning av filer och andra åtgärder som är vanliga för virus. Potentiella problem
Heuristisk analys är idealisk för att upptäcka nya hot, men för att vara effektiv måste heuristiken vara noggrant inställd för att ge bästa möjliga upptäckt av nya hot, men utan att generera falska positiva resultat på helt oskyldig kod.
Vad är en heuristisk analysator?
För större tydlighet kan detta tillvägagångssätt jämföras med artificiell intelligens självständigt genomföra analyser och fatta beslut. Men denna analogi fångar bara delvis essensen, eftersom heuristiken inte vet hur man lär sig och tyvärr har låg effektivitet. Enligt antivirusexperter kan inte ens de mest moderna analysatorerna stoppa mer än 30% av skadliga koder. Ett annat problem är falska positiva resultat, när ett legitimt program identifieras som infekterat.
Men trots alla brister används fortfarande heuristiska metoder i antivirusprodukter. Faktum är att kombinationen av olika tillvägagångssätt kan förbättra skannerns slutliga effektivitet. Idag levereras heuristik med produkter från alla större marknadsaktörer: Symantec, Kaspersky Lab, Panda, Trend Micro och McAfee.
Den heuristiska analysen kontrollerar filstrukturen och dess överensstämmelse med virusmallar. Den mest populära heuristiska tekniken är att kontrollera innehållet i en fil för modifieringar av redan kända virussignaturer och deras kombinationer. Detta hjälper till att identifiera hybrider och nya versioner av tidigare kända virus utan ytterligare uppdatering antivirusbas.
Heuristisk analys används för att upptäcka okända virus och involverar som ett resultat inte behandling.
Den här tekniken kan inte till 100 % bestämma viruset framför sig eller inte, och som vilken sannolikhetsalgoritm som helst, syndar den med falska positiva resultat.
Eventuella frågor - kommer att lösas av mig, kontakta oss, vi hjälper till på alla sätt vi kan
Antivirusprogrammet söker efter virus och skadliga objekt baserat på en jämförelse av det undersökta programmet med dess databas med virusbeskrivningar. Om en matchning hittas kan antiviruset behandla det hittade viruset, och reglerna och behandlingsmetoderna lagras vanligtvis i samma databas.
Denna databas blir dock en svag punkt hos antiviruset - den kan bara upptäcka de virus som beskrivs i dess databas. Detta problem kan delvis elimineras av den heuristiska analysatorn - ett speciellt antivirusundersystem som försöker upptäcka nya typer av virus som inte beskrivs i databasen. Förutom virus försöker AVZ heuristiska analysator att upptäcka spionprogram, kapare och trojaner.
Den heuristiska analysatorns arbete är baserat på sökningen efter typiska virus och spionprogram funktioner (fragment av programkod, vissa registernycklar, filer och processer). Dessutom försöker den heuristiska analysatorn bedöma graden av likhet mellan föremålet som studeras och kända virus.
För att söka efter spionprogram, RootKit och Hijacker är den mest effektiva heuristiska analysen inte enskilda filer på disken, utan hela systemet som helhet. Detta analyserar helheten av data i registret, filer på disk, processer och bibliotek i minnet, lyssnande TCP- och UDP-portar, aktiva tjänster och laddade drivrutiner.
En egenskap hos heuristisk analys är en ganska hög andel fel - en heuristik kan rapportera upptäckten av misstänkta föremål, men denna information måste verifieras av virologer. Som ett resultat av kontrollen identifieras objektet som skadligt och inkluderas i databaserna eller så registreras ett falskt positivt och en korrigering införs i den heuristiska analysatorns algoritmer.
De flesta antivirus (inklusive AVZ) har förmågan att justera den heuristiska analysatorns känslighet. I det här fallet uppstår alltid en motsägelse - ju högre känslighet, desto högre är sannolikheten att upptäcka ett okänt skadligt objekt av heuristiken. Men med en ökning av känsligheten ökar sannolikheten för falska positiva, så du måste leta efter någon form av "gyllene medelväg".
Den heuristiska analysatorn har flera känslighetsnivåer och två speciallägen:
blockerar den heuristiska analysatorn. I detta fall är analysatorn helt avstängd från arbetet. I AVZ, förutom att justera känslighetsnivån för den heuristiska analysatorn, är det möjligt att slå på och av den heuristiska analysen av systemet;
"paranoid" läge - i det här läget aktiveras maximal möjlig känslighet och varningar visas vid minsta misstanke. Detta läge är naturligtvis oacceptabelt på grund av det mycket höga antalet falska positiva, men det är ibland användbart.
Huvudmeddelandena för AVZ heuristisk analysator ges i följande lista:
"Filnamn >>> misstänkt virusnamn (kort information om objektet)" Ett liknande meddelande utfärdas när ett objekt upptäcks som, enligt AVZ, liknar ett känt skadligt objekt. Datan inom parentes gör att utvecklaren kan hitta posten i antivirusdatabasen som ledde till utfärdandet av detta meddelande;
"Filnamn >>> PE-fil med tillägg som inte är standard" - detta betyder att en programfil har upptäckts, men istället för den typiska EXE-, DLL-, SYS-tillägget har den ett annat, icke-standardiserat tillägg. Detta är inte farligt, men många virus maskerar sina PE-filer genom att ge dem PIF , COM-tillägg. Det här meddelandet visas i valfri heuristisk nivå för PE-filer med PIF, COM-tillägg, för andra - endast på den maximala heuristiska nivån;
"Filnamn >>> Det finns fler än 5 mellanslag i filnamnet" - massor av mellanslag i ett filnamn - detta är sällsynt, men många virus använder mellanslag för att maskera den verkliga förlängningen och skapar filer med namn som "photo.jpeg .exe";
"Filnamn >>> Tilläggsmaskering upptäckt" - liknande det föregående meddelandet, men utfärdat när mer än 15 blanksteg finns i namnet;
"Filnamn >>> filen har inget synligt namn" - utfärdat för filer som inte har ett namn (dvs. filnamnet ser ut som ".exe" eller ".pif");
"Process Filename kan fungera med nätverk" - visas för processer som använder bibliotek som wininet.dll, rasapi32.dll, ws2_32.dll - d.v.s. systembibliotek som innehåller funktioner för att arbeta med nätverket eller styra processen att ringa upp och upprätta en anslutning. Denna kontroll utförs endast vid maximalt nivå av heuristik Faktumet att använda nätverksbibliotek är naturligtvis inte ett tecken på att programmet är skadligt, men det är värt att uppmärksamma obegripliga processer i den här listan;
Efter meddelandet kan en siffra visas som representerar graden av fara i procent. Särskild uppmärksamhet bör ägnas filer för vilka en allvarlighetsgrad på mer än 30 har utfärdats.
Sök efter virus som liknar kända
Heuristik betyder "att hitta". Heuristisk analys är baserad på det (mycket rimliga) antagandet att nya virus ofta visar sig likna vissa kända. Därför innehåller antivirusdatabaserna signaturer för att upptäcka inte ett utan flera virus samtidigt. Därför är den heuristiska metoden att leta efter filer som inte helt men mycket nära matchar signaturerna för kända virus.
Fördelar: Möjligheten att upptäcka nya virus redan innan signaturer tilldelas för dem.
Fel:
Sök efter virus som utför misstänkta aktiviteter
En annan metod baserad på heuristik bygger på antagandet att skadlig programvara på ett eller annat sätt försöker de skada datorn och är baserade på identifieringen av de huvudsakliga skadliga åtgärderna.
Till exempel:
Att utföra varje sådan åtgärd separat är inte en anledning att betrakta programmet som skadligt. Men när programmet utför flera sådana åtgärder i följd, till exempel, skriver det lanseringen av sig själv till autorun-nyckeln i systemregistret, fångar upp data som matas in från tangentbordet och skickar dessa data till någon Internetadress med en viss frekvens, då detta program, åtminstone, misstänkt. En heuristisk analysator baserad på denna princip övervakar ständigt de åtgärder som programmen utför.
Fördelar: möjligheten att upptäcka tidigare okända skadliga program, även om de inte är särskilt lika de som redan är kända (genom att använda en ny sårbarhet för att penetrera en dator och sedan utföra redan välbekanta skadliga åtgärder). Ett sådant program kan hoppas över av en heuristisk analysator av den första typen, men kan detekteras av en analysator av den andra typen.
Brister:
Innan man börjar överväga begreppet "heuristisk analys", är det nödvändigt att förstå vad själva ordet "heuristik" betyder. För att göra detta måste vi gå tillbaka till historien, nämligen till antikens Grekland. Ordet "heuristisk" kommer från ordet "hitta", översatt från det grekiska språket. Huvudpoängen med allt är att alla lösningar på eventuella problem, enligt dessa metoder, bygger på antaganden som kan vara sanna.
De kännetecknas inte av användningen av strikta fakta eller antaganden.
Ovanstående låter ganska vagt och kanske obegripligt. Därför kommer vi att försöka förstå vad heuristisk analys är på specifika exempel. Så.
Existerar Ett stort antal virus på Internet som har mycket liknande egenskaper. Alltså modernt antivirusprogram leta efter filer vars signaturer liknar skadlig kod. Detta gör att du avsevärt kan minska mängden databaser som används för att söka efter virus. Med hjälp av heuristisk analys sparar antivirustillverkare avsevärt resurserna på datorer som de är installerade på. programvara. Det gör det också möjligt att upptäcka nya virus redan innan signaturerna uppdateras.
Nästa exempel är också relaterat till kampen mot virus. Dess logik ligger i själva namnet "skadliga program". Med detta tillvägagångssätt antas det att alla virus orsakar på ett eller annat sätt.Det finns en ungefärlig lista över åtgärder som heuristisk analys kontrollerar innan beslut fattas. Det är att skriva, ta bort, skriva till systemregistret, läsa klick, öppna portar, skicka skräppost. Naturligtvis, när en åtgärd utförs, är detta inte en anledning till panik, men när de sker samtidigt och i en särskilt snabb takt, då finns det anledning att tänka. Den största fördelen med denna process är möjligheten att upptäcka virus även om de inte matchar signaturerna som redan finns i databasen.
En annan bransch där heuristisk analys tillämpas är ekonomi. Dessutom är dess tillämpning mycket bred. Ekonomisk analys är en av många delsektorer där tillämpningen av de diskuterade metoderna är till stor hjälp. I grunden är det en detaljerad och omfattande studie. Den bygger på information från olika källor som finns tillgängliga. Många interna aspekter av en viss organisations funktion utvärderas också. Genomförandet av dessa åtgärder syftar till att förbättra arbetet, vilket uppnås genom införande och utveckling av nya optimala förvaltningslösningar.
Den utbredda användningen av heuristik kan avsevärt förenkla beslutsprocesser, samt eliminera en mängd olika problem som kan tas bort genom användning av statistiska data. Detta sparar mycket resurser och tid. Tidigare erfarenheter kan säkert användas i organisationens dagliga verksamhet.
