Информационная безопасность. Макаренко С.И. - 185 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

185
Недостатки сигнатурного анализа определяют границы его
функциональности - возможность обнаруживать лишь уже известные
вирусы - против новых вирусов сигнатурный сканер бессилен.
Достоинством сигнатурного анализа является то, что наличие
сигнатур вирусов предполагает возможность лечения инфицированных
файлов, обнаруженных при помощи сигнатурного анализа. Однако, лечение
допустимо не для всех вирусов - трояны и большинство червей не поддаются
лечению по своим конструктивным особенностям, поскольку являются
цельными модулями, созданными для нанесения ущерба. Грамотная
реализация вирусной сигнатуры позволяет обнаруживать известные вирусы
со стопроцентной вероятностью.
Эвристический анализ - технология, основанная на вероятностных
алгоритмах, результатом работы которых является выявление
подозрительных объектов. В процессе эвристического анализа проверяется
структура файла, его соответствие вирусным шаблонам. Наиболее
популярной эвристической технологией является проверка содержимого
файла на предмет наличия модификаций уже известных сигнатур вирусов и
их комбинаций. Достоинством эвристического анализа является то, что
он может определять гибриды и новые версии ранее известных вирусов без
дополнительного обновления антивирусной базы. Недостатком то, что
эвристический анализ не предполагает лечения. Данная технология не
способна на 100% определить вирус перед ней или нет, и как любой
вероятностный алгоритм грешит ложными срабатываниями.
Поведенческий анализ - технология, в которой решение о характере
проверяемого объекта принимается на основе анализа выполняемых им
операций. Поведенческий анализ весьма узко применим на практике, так как
большинство действий, характерных для вирусов, могут выполняться и
обычными приложениями. Наибольшую известность получили
поведенческие анализаторы скриптов и макросов, поскольку
соответствующие вирусы практически всегда выполняют ряд однотипных
действий. Помимо этого поведенческие анализаторы могут отслеживать
попытки прямого доступа к файлам, внесение изменений в загрузочную
запись дискет, форматирование жестких дисков и т. д. Поведенческие
анализаторы не используют для работы дополнительных объектов, подобных
вирусным базам и, как следствие, неспособны различать известные и
неизвестные вирусы - все подозрительные программы априори считаются
неизвестными вирусами. Аналогично, особенности работы средств,
реализующих технологии поведенческого анализа, не предполагают лечения.
Например, средства защиты, вшиваемые в BIOS, также можно отнести
к поведенческим анализаторам. При попытке внести изменения в MBR
компьютера, анализатор блокирует действие и выводит соответствующее
уведомление пользователю. 
      Недостатки сигнатурного анализа определяют границы его
функциональности - возможность обнаруживать лишь уже известные
вирусы - против новых вирусов сигнатурный сканер бессилен.
      Достоинством сигнатурного анализа является то, что наличие
сигнатур вирусов предполагает возможность лечения инфицированных
файлов, обнаруженных при помощи сигнатурного анализа. Однако, лечение
допустимо не для всех вирусов - трояны и большинство червей не поддаются
лечению по своим конструктивным особенностям, поскольку являются
цельными модулями, созданными для нанесения ущерба. Грамотная
реализация вирусной сигнатуры позволяет обнаруживать известные вирусы
со стопроцентной вероятностью.

      Эвристический анализ - технология, основанная на вероятностных
алгоритмах, результатом работы которых является выявление
подозрительных объектов. В процессе эвристического анализа проверяется
структура файла, его соответствие вирусным шаблонам. Наиболее
популярной эвристической технологией является проверка содержимого
файла на предмет наличия модификаций уже известных сигнатур вирусов и
их комбинаций. Достоинством эвристического анализа является то, что
он может определять гибриды и новые версии ранее известных вирусов без
дополнительного обновления антивирусной базы. Недостатком – то, что
эвристический анализ не предполагает лечения. Данная технология не
способна на 100% определить вирус перед ней или нет, и как любой
вероятностный алгоритм грешит ложными срабатываниями.

      Поведенческий анализ - технология, в которой решение о характере
проверяемого объекта принимается на основе анализа выполняемых им
операций. Поведенческий анализ весьма узко применим на практике, так как
большинство действий, характерных для вирусов, могут выполняться и
обычными      приложениями.     Наибольшую      известность    получили
поведенческие    анализаторы     скриптов    и    макросов,   поскольку
соответствующие вирусы практически всегда выполняют ряд однотипных
действий. Помимо этого поведенческие анализаторы могут отслеживать
попытки прямого доступа к файлам, внесение изменений в загрузочную
запись дискет, форматирование жестких дисков и т. д. Поведенческие
анализаторы не используют для работы дополнительных объектов, подобных
вирусным базам и, как следствие, неспособны различать известные и
неизвестные вирусы - все подозрительные программы априори считаются
неизвестными вирусами. Аналогично, особенности работы средств,
реализующих технологии поведенческого анализа, не предполагают лечения.
      Например, средства защиты, вшиваемые в BIOS, также можно отнести
к поведенческим анализаторам. При попытке внести изменения в MBR
компьютера, анализатор блокирует действие и выводит соответствующее
уведомление пользователю.


                                  185

Страницы