Конспект лекций по дисциплине


Download 490.5 Kb.
bet36/42
Sana09.01.2023
Hajmi490.5 Kb.
#1085034
TuriЛекция
1   ...   32   33   34   35   36   37   38   39   ...   42
Bog'liq
Конспект лекций по дисциплине ИБ

Эвристический анализ
Эвристика (греч. отыскиваю, открываю) - наука, изучающая творческую деятельность, методы, используемые в открытии нового и в обучении. Эвристические методы (другое название Эвристики) позволяют ускорить процесс решения задачи. Значительный интерес к их исследованию возник в связи с возможностью решения ряда задач (распознавание объектов, доказательство теорем и т. д.), в которых человек не может дать точный алгоритм решения, с помощью технических устройств. Назначением Эвристики является построение моделей процесса решения какой-либо новой задачи. Именно эвристика лежит в основе работы механизмов антивируса, которые должны противостоять тем вирусам, для которых сигнатур ещё не было разработано.
Практически в каждом современном антивирусном продукте есть такая часть, как эвристический анализатор. Чем же он занимается? Дело в том, что вирусы не бывают на 100% оригинальными (впрочем, то же самое можно сказать и о любом другом вредоносном программном обеспечении). В каждом из вирусов, например, есть код, отвечающий за самокопирование; в каждом spyware есть клавиатурный шпион, а каждый троян по своей природе и дня не может прожить без "общения" с кем-нибудь по сети. Такой код имеет очень похожие участки во всех программах определённого класса, и эвристический анализатор как раз и занимается тем, что ищет такие "общевирусные" куски кода в файлах.
Несмотря на то, что эвристический поиск кажется более удобным методом обнаружения вредоносных программ, нежели сигнатурный, у него есть свои недостатки. Самый существенный из них - просто чудовищно гигантское количество ложных срабатываний, поскольку, например, код клавиатурного шпиона есть и в Punto Switcher, широко известном средстве замены фраз типа "jq? Z pf,sk gthtrk.xbnm hfcrkflre rkfdbfnehs" на "ой, я забыл переключить раскладку клавиатуры". Но эвристические анализаторы сейчас находят всё большее распространение, поскольку совершенствуются алгоритмы их работы.


Детектирование аномального поведения
Этот метод тоже прост и встроен во множество антивирусных программных продуктов, но вот насчёт единого имени для него разработчики антивирусов договориться как-то не удосужились. Поэтому для этого способа обнаружения вредоносных программ можно встретить самые разные названия, среди которых - обнаружение аномалий, детектирование потенциально вредоносных действий и проактивная защита (правда, последний термин некоторые производители антивирусов понимают по-своему, но об этом ниже).
Основывается этот вид защиты, как и эвристический анализ, на том, что поведение всех представителей определённого класса вредителей имеет общие черты. Только если эвристический анализатор пытается угадать, что будет делать подозрительная программа, ещё до того, как она запущена, то детектор аномалий запускает её в защищённой среде (виртуальной машине, встроенной в антивирус) и там уже наблюдает её в действии. Причём иногда даже не надо виртуальной машины для того, чтобы оценить намерения вредоносного кода.
Этот метод имеет схожие с эвристическим анализом плюсы и минусы. То есть, с его помощью, конечно же, можно отловить те вирусы, трояны и шпионы, которые ещё не попали в сигнатурную базу. С другой стороны, многие программы, как я уже говорил, делают все "вирусные" действия без какого-либо злого умысла. И если пользователь видит, что антивирус принял его любимую утилиту за какой-нибудь злобный троян, то доверие к такому продукту резко падает, что отражается на прибылях разработчиков. Так что этот метод работы применяется чаще не в антивирусах, а брандмауэрах (файрволах), которые имеют несколько иные задачи. Но и в антивирусах детектирование аномального поведения используется не так уж редко, но, в основном, как вспомогательный метод.
Что касается проактивной защиты, то раскрученный в СНГ российский разработчик антивирусного ПО "Лаборатория Касперского" понимает под этим не только детектирование аномалий, но и дополнительную защиту в виде подсчёта контрольных сумм файлов, сравнение текущего состояние важных ключей реестра с эталонным, и некоторые другие подобные методы. Но, по сути, основой проактивной защиты по Касперскому всё равно остаётся именно обнаружение потенциально вредоносного поведения программ.

Современные антивирусные программы всегда дополняют один способ поиска вирусов другим. Например, сигнатурные методы и детектирование аномального поведения в любом случае "живут" в симбиозе.





Download 490.5 Kb.

Do'stlaringiz bilan baham:
1   ...   32   33   34   35   36   37   38   39   ...   42




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling