Ochrona antywirusowa: ewolucja i metody

Przeczytaj także: Panda Malware Radar

Komponent analityczny

Stopień złożoności algorytmów podejmowania decyzji jest zróżnicowany. Ogólnie, algorytmy podejmowania decyzji można podzielić na trzy kategorie:

1. Porównanie proste

W kategorii tej werdykt wydawany jest na podstawie porównania pojedynczego obiektu z dostępną próbką. Wynik porównania jest binarny (tj. "tak" lub "nie"). Przykładem jest identyfikowanie szkodliwego kodu przy użyciu ścisłej sekwencji bajtów. Kolejnym przykładem wyższego poziomu jest identyfikowanie podejrzanego zachowania programu na podstawie pojedynczej akcji podjętej przez taki program (jak stworzenie wpisu w krytycznej sekcji rejestru systemowego lub folderu autorun).

2. Porównanie złożone

W tym przypadku werdykt wydawany jest na podstawie porównania jednego lub kilku obiektów z odpowiednimi próbkami. Szablony dla tych porównań mogą być elastyczne, a wyniki będą opierać się na prawdopodobieństwie. Przykładem jest identyfikowanie szkodliwego kodu poprzez wykorzystanie kilku sygnatur bajtowych, z których każda jest niesztywna (tj. poszczególne bajty nie są określone). Innym przykładem wyższego poziomu jest identyfikowanie szkodliwego kodu na podstawie funkcji API, które wywoływane są niesekwencyjnie przez szkodliwy kod z określonymi parametrami.

3. Systemy ekspertowe

W kategorii tej werdykt wydawany jest po złożonej analizie danych. System ekspertowy może zawierać elementy sztucznej inteligencji. Przykładem jest identyfikowanie szkodliwego kodu nie na podstawie ścisłego zestawu parametrów, ale wyników wieloaspektowej oceny wszystkich parametrów jednocześnie.

Prawdziwe technologie w działaniu

Przyjrzyjmy się teraz, w jaki sposób algorytmy wykorzystywane są w poszczególnych technologiach wykrywania szkodliwego oprogramowania.

Zwykle producenci nadają rozwijanym przez siebie nowym technologiom (np. Ochrona Proaktywna w Kaspersky Anti-Virus) nowe nazwy. Jest to dobra praktyka, ponieważ poszczególne technologie nie zostaną automatycznie zaszufladkowane do wąskich kategorii technicznych. Mimo to stosowanie ogólniejszych terminów takich jak "heurystyczny", "emulacja", "piaskownica" oraz "bloker zachowań" jest nieuniknione, jeżeli chcemy opisać technologie w dostępny, stosunkowo nietechniczny sposób.

Tutaj zaczyna się gąszcz terminologiczny. Terminy te nie posiadają wyraźnych znaczeń. Ten sam termin może być różnie interpretowany przez różne osoby. Co więcej, definicje stosowane przez autorów tak zwanych "przystępnych opisów" często nie pokrywają się z tymi podawanymi przez ekspertów. To wyjaśnia, dlaczego opisy technologii na internetowych stronach ich twórców są niekiedy naszpikowane terminologią techniczną, nie wyjaśniają jednak, w jaki sposób działa ta technologia, ani nie podają żadnych istotnych informacji o niej.

Na przykład niektórzy producenci oprogramowania antywirusowego twierdzą, że ich produkty są wyposażone w HIPS, technologię proaktywną lub technologię niesygnaturową. Użytkownik mógłby rozumieć termin "HIPS" jako monitor analizujący zdarzenia systemowe w celu znalezienia szkodliwego kodu, co może nie być prawdą. Opis ten mógłby znaczyć prawie wszystko, np. to że silnik emulatora jest wyposażony w system analizy heurystycznej (zobacz poniżej). Taka sytuacja powstaje nawet częściej, gdy rozwiązanie określane jest jako heurystyczne bez podawania dalszych szczegółów.

Nie znaczy to, że twórcy próbują oszukać klientów. Prawdopodobnie osoby, które przygotowują opis technologii, mylą terminy. To oznacza, że opisy technologii przeznaczone dla użytkowników końcowych mogą nie wyjaśniać dokładnie, w jaki sposób działa technologia, i że klienci powinni być ostrożni, jeżeli podczas wyboru rozwiązania bezpieczeństwa opierają się na opisach.