Ochrona antywirusowa: ewolucja i metody

Przeczytaj także: Panda Malware Radar

Istnieje niewiele odmian znaczenia terminu wykrywanie oparte na sygnaturach: z technicznego punktu widzenia, oznacza on pracę z kodem bajtowym plików, z analitycznego punktu widzenia, jest to prymitywny sposób przetwarzania danych, zazwyczaj z wykorzystaniem prostego porównania. Jest to najstarsza, ale najbardziej niezawodna technologia. Dlatego mimo znaczących kosztów ponoszonych w związku z aktualizacją baz danych, technologia ta nadal jest wykorzystywana we wszystkich programach antywirusowych.

Nie istnieje również wiele możliwych interpretacji terminów emulator oraz piaskownica. W technologii tego typu komponentem analitycznym może być algorytm dowolnej złożoności, od prostego porównania do systemów ekspertowych.

Termin heurystyczny jest mniej oczywisty. Według Ozhegova-Shvedovaya, rosyjskiego słownika, "heurystyka" to połączenie metod badawczych potrafiących wykrywać coś, co było wcześniej nieznane". Heurystyka to przede wszystkim rodzaj komponentu analitycznego w oprogramowaniu zabezpieczającym, a nie wyraźnie zdefiniowana technologia. Poza specyficznym kontekstem, pod względem rozwiązywania problemów przypomina ona "niejednoznaczną" metodę wykorzystywaną do rozwiązywania niejednoznacznego zadania.

Kiedy zaczęły wyłaniać się technologie antywirusowe - w tym czasie po raz pierwszy użyto słowa "heurystyczny" - termin ten oznaczał osobną technologię: taką, która identyfikowała wirusa przy użyciu kilku elastycznie przypisanych szablonów bajtowych, tj. systemu z komponentem technicznym (np. praca z plikami) oraz komponentem analitycznym (przy użyciu złożonego porównania). Obecnie termin heurystyczny stosowany jest zwykle w szerszym znaczeniu na oznaczenie technologii wykorzystywanej w celu znalezienia nieznanych szkodliwych programów. Innymi słowy, mówiąc o wykrywaniu heurystycznym, twórcy mają na myśli system ochrony z komponentem analitycznym, który wykorzystuje wyszukiwanie rozmyte w celu znalezienia rozwiązania (to mogłoby odpowiadać komponentowi analitycznemu, który wykorzystuje złożoną analizę lub system ekspertowy). Podstawa technologiczna oprogramowania służącego do ochrony, tj. metoda, jaką wykorzystuje do gromadzenia danych w celu dalszej analizy, może być różna, od pracy z plikami po pracę ze zdarzeniami lub statusem systemu operacyjnego.

Wykrywanie behawioralne oraz wykrywanie proaktywne to terminy o jeszcze mniej jednoznacznych znaczeniach. Mogą odnosić się do szeregu różnych technologii, od heurystyki po monitorowanie zdarzeń systemowych.

Termin HIPS często wykorzystywany jest w opisach technologii antywirusowych, nie zawsze jednak poprawnie. Mimo że skrót ten oznacza Host Intrusion Prevention System, nie odzwierciedla to podstawowej natury tej technologii pod względem ochrony antywirusowej. W tym kontekście technologia ta jest bardzo wyraźnie określona: HIPS to rodzaj ochrony, która z technicznego punktu widzenia opiera się na monitorowaniu zdarzeń systemowych. Komponent analityczny oprogramowania służącego do ochrony może być dowolnego typu, od występujących równocześnie osobnych podejrzanych zdarzeń, po złożoną analizę sekwencji akcji programu. W odniesieniu do produktu antywirusowego HIPS może oznaczać wiele różnych rzeczy: prymitywną ochronę niewielkiej liczby kluczy rejestru, system, który dostarcza powiadomienia o próbach uzyskania dostępu do pewnych folderów, bardziej złożony system analizujący zachowanie programu lub nawet inny rodzaj technologii wykorzystującej monitorowanie zdarzeń systemowych jako podstawę.

Różne metody wykrywania szkodliwego oprogramowania: plusy i minusy

Jeżeli przeanalizujemy technologie służące do ochrony przed szkodliwym oprogramowaniem nie pojedynczo ale grupowo z wykorzystaniem modelu przedstawionego na początku artykułu, wyłoni się następujący obraz.

Komponent techniczny technologii jest odpowiedzialny za to, jak wiele zasobów wymaga program (a tym samym, jak szybko działa), za bezpieczeństwo oraz ochronę.