Эвристический анализ - это метод, используемый многими компьютерными антивирусными программами, предназначенный для обнаружения ранее неизвестных компьютерных вирусов , а также новых вариантов вирусов, уже находящихся в «дикой природе». [1]
Эвристический анализ - это экспертный анализ, который определяет восприимчивость системы к конкретной угрозе / риску с использованием различных правил принятия решений или методов взвешивания. Многокритериальный анализ (MCA) - один из способов взвешивания. Этот метод отличается от статистического анализа, который основывается на имеющихся данных / статистике.
Операция
Большинство антивирусных программ, использующих эвристический анализ, выполняют эту функцию, выполняя программные команды сомнительной программы или сценария на специализированной виртуальной машине , тем самым позволяя антивирусной программе внутренне моделировать, что произойдет, если подозрительный файл будет запущен при сохранении подозрительный код, изолированный от реальной машины. Затем он анализирует команды по мере их выполнения, отслеживая распространенные вирусные действия, такие как репликация, перезапись файлов и пытается скрыть существование подозрительного файла. Если обнаруживается одно или несколько действий, похожих на вирус, подозрительный файл помечается как потенциальный вирус, и пользователь получает уведомление.
Другой распространенный метод эвристического анализа заключается в том, что антивирусная программа декомпилирует подозрительную программу, а затем анализирует содержащийся в ней машинный код. Исходный код подозрительного файла сравнивается с исходным кодом известных вирусов и вирусоподобных действий. Если определенный процент исходного кода совпадает с кодом известных вирусов или вирусоподобных действий, файл помечается, и пользователь получает предупреждение.
Эффективность
Эвристический анализ позволяет обнаруживать многие ранее неизвестные вирусы и новые варианты существующих вирусов. Однако эвристический анализ работает на основе опыта (путем сравнения подозрительного файла с кодом и функциями известных вирусов). Это означает, что он может пропустить новые вирусы, которые содержат ранее неизвестные методы работы, которых нет ни в каких известных вирусах. Следовательно, эффективность относительно точности и количества ложных срабатываний довольно низкая .
По мере того как новые вирусы обнаруживаются исследователями-людьми, информация о них добавляется в механизм эвристического анализа, тем самым предоставляя механизму средства для обнаружения новых вирусов.
Рекомендации
- ^ Wong, W .; Штамп, М. (2006). «Охота за метаморфическими машинами». Журнал компьютерной вирусологии . 2 (3): 211–229. DOI : 10.1007 / s11416-006-0028-7 .