Эвристический анализ
Эта статья нуждается в дополнительных цитатах для проверки . ( июнь 2012 г. ) |
Эвристический анализ — метод, используемый многими компьютерными антивирусными программами, предназначенный для обнаружения ранее неизвестных компьютерных вирусов , а также новых вариантов вирусов, уже находящихся в «дикой природе». [1]
Эвристический анализ — это экспертный анализ, который определяет восприимчивость системы к конкретной угрозе/риску с использованием различных правил принятия решений или методов взвешивания. Многокритериальный анализ (MCA) является одним из средств взвешивания. Этот метод отличается от статистического анализа, который основывается на имеющихся данных/статистике.
Операция
[ редактировать ]Большинство антивирусных программ, использующих эвристический анализ, выполняют эту функцию, выполняя команды программирования сомнительной программы или сценария на специализированной виртуальной машине , тем самым позволяя антивирусной программе внутренне моделировать то, что произойдет, если подозрительный файл будет запущен, сохраняя при этом подозрительный код, изолированный от реальной машины. Затем он анализирует команды по мере их выполнения, отслеживая распространенные вирусные действия, такие как репликация, перезапись файлов, и пытается скрыть существование подозрительного файла. Если обнаружено одно или несколько вирусоподобных действий, подозрительный файл помечается как потенциальный вирус, и пользователь предупреждается об этом.
Другой распространенный метод эвристического анализа заключается в том, что антивирусная программа декомпилирует подозрительную программу, а затем анализирует содержащийся в ней машинный код. Исходный код подозрительного файла сравнивается с исходным кодом известных вирусов и вирусоподобных действий. Если определенный процент исходного кода совпадает с кодом известных вирусов или вирусоподобными действиями, файл помечается пометкой и пользователь предупреждается.
Эффективность
[ редактировать ]Эвристический анализ способен обнаруживать многие ранее неизвестные вирусы и новые варианты существующих вирусов. Однако эвристический анализ действует на основе опыта (путем сравнения подозрительного файла с кодом и функциями известных вирусов). Это означает, что он может пропустить новые вирусы, содержащие ранее неизвестные методы работы, которых нет ни в одном известном вирусе. Следовательно, эффективность довольно низкая в отношении точности и количества ложных срабатываний .
По мере того, как новые вирусы обнаруживаются исследователями-людьми, информация о них добавляется в механизм эвристического анализа, тем самым предоставляя механизму средства для обнаружения новых вирусов.
Ссылки
[ редактировать ]- ^ Вонг, В.; Штамп, М. (2006). «Охота на метаморфические двигатели». Журнал компьютерной вирусологии . 2 (3): 211–229. дои : 10.1007/s11416-006-0028-7 . S2CID 8116065 .