Войти
Эвристический анализ - это метод, используемый многими компьютерными антивирусными программами, предназначенными для обнаружения ранее неизвестных компьютерных вирусов, а также новые варианты вирусов, уже находящихся в "дикой природе".
Эвристический анализ - это экспертный анализ, который определяет подверженность системы определенной угрозе / риску с использованием различных правила принятия решений или методы взвешивания. Многокритериальный анализ (MCA) - один из способов взвешивания. Этот метод отличается от статистического анализа, который основывается на имеющихся данных / статистике.
Большинство антивирусных программ, использующих эвристический анализ, выполняют эту функцию, выполняя программные команды сомнительной программы или сценария на специализированной виртуальной машине, тем самым позволяя антивирусной программе внутренне моделировать то, что произойдет. если подозрительный файл должен был выполняться, сохраняя подозрительный код изолированным от реальной машины. Затем он анализирует команды по мере их выполнения, отслеживая распространенные вирусные действия, такие как репликация, перезапись файлов и пытается скрыть существование подозрительного файла. Если обнаруживается одно или несколько действий, похожих на вирус, подозрительный файл помечается как потенциальный вирус, и пользователь получает уведомление.
Другой распространенный метод эвристического анализа состоит в том, что антивирусная программа декомпилирует подозрительную программу, а затем анализирует содержащийся в ней машинный код. Исходный код подозрительного файла сравнивается с исходным кодом известных вирусов и вирусоподобных действий. Если определенный процент исходного кода совпадает с кодом известных вирусов или вирусоподобных действий, файл помечается, и пользователь уведомляется.
Эвристический анализ способен обнаруживать многие ранее неизвестные вирусы и новые варианты существующих вирусов. Однако эвристический анализ работает на основе опыта (путем сравнения подозрительного файла с кодом и функциями известных вирусов). Это означает, что он может пропустить новые вирусы, которые содержат ранее неизвестные методы работы, которых нет ни в каких известных вирусах. Следовательно, эффективность относительно точности и количества ложных срабатываний.
довольно низкая. По мере того, как исследователи-люди обнаруживают новые вирусы, информация о них добавляется в механизм эвристического анализа, тем самым предоставляя машине средства для обнаружения новых вирусов. вирусы.
Эвристический анализ - это метод обнаружения вирусов путем исследования кода на предмет подозрительных свойств.
Традиционные методы обнаружения вирусов включают в себя идентификацию вредоносного ПО путем сравнения кода в программе с кодом известных типов вирусов, которые уже были обнаружены, проанализированы и записаны в базе данных - это называется обнаружением сигнатур.
Несмотря на то, что метод обнаружения сигнатур полезен и все еще используется, он стал более ограниченным из-за развития новых угроз, которые резко выросли на рубеже веков и продолжают появляться все время.
Для решения этой проблемы была специально разработана эвристическая модель для выявления подозрительных характеристик, которые могут быть обнаружены в неизвестных, новых вирусах и модифицированных версиях существующих угроз, а также в образцах известных вредоносных программ.
Киберпреступники постоянно разрабатывают новые угрозы, и эвристический анализ - один из немногих методов, используемых для борьбы с огромным количеством этих новых угроз, которые появляются ежедневно.
Эвристический анализ также является одним из немногих методов борьбы с полиморфными вирусами - термином, обозначающим вредоносный код, который постоянно изменяется и адаптируется.
Эвристический анализ может использовать ряд различных методов. Один из эвристических методов, известный как статический эвристический анализ, включает декомпилирование подозрительной программы и изучение ее исходного кода. Затем этот код сравнивается с вирусами, которые уже известны и находятся в эвристической базе данных. Если определенный процент исходного кода совпадает с чем-либо в эвристической базе данных, код помечается как возможная угроза.
Другой метод известен как динамическая эвристика. Когда ученые хотят проанализировать что-то подозрительное, не подвергая опасности людей, они содержат это вещество в контролируемой среде, такой как безопасная лаборатория, и проводят тесты. Процесс аналогичен эвристическому анализу, но в виртуальном мире.
Он изолирует подозрительную программу или фрагмент кода внутри специализированной виртуальной машины - или «песочницы» - и дает антивирусной программе возможность протестировать код и смоделировать, что произойдет, если подозрительный файл будет разрешен для запуска. Он проверяет каждую команду по мере ее активации и выявляет любые подозрительные действия, такие как саморепликация, перезапись файлов и другие действия, общие для вирусов. О потенциальных проблемах сообщается пользователю.
Эвристический анализ идеально подходит для выявления новых угроз, но для того, чтобы эвристика была эффективной, ее необходимо тщательно настроить, чтобы обеспечить наилучшее обнаружение новых угроз, но без ложных срабатываний на совершенно невинный код.
По этой причине эвристические инструменты, как правило, являются лишь одним оружием в сложном антивирусном арсенале. Обычно они используются вместе с другими методами обнаружения вирусов, такими как анализ сигнатур и другие проактивные технологии.
.
