ВУЗ:
Составители:
Рубрика:
нии, имеет мало общего? Ахиллесова пята современных антивирусных
технологий - их реактивность
. То есть, сначала зараза, а лишь потом -
средства ее обнаружения и зачистки.
Все то время, пока образец не по-
пал в антивирусную лабораторию, идет инфицирование. Единственная
надежда - на эвристик, но уровень его детектирования не дотягивает
даже до 70%. Кроме того, ложные срабатывания становятся головной
болью для производителей легитимного ПО и обычных пользователей.
Так какие же технологии будут занимать умы
пользователей в
ближайшем будущем? Безусловно, это технологии, основанные на ана-
лизе поведения (так называемые HIPS) и белых списках. Рассмотрим
каждую из них.
Исторически первая технология анализа поведения была основана
на модели детекторов аномалий (на ней же базируются файрволлы) и
имеет общее название classic HIPS. То есть, если приложение совершает
потенциально опасное действие (запись в автозагрузку, например), за-
щита выдает предупреждение об оном
и просит пользователя принять
решение (например, разрешить, запретить или внести в локальную базу
правил как разрешенное). Для уменьшения количества подобных окон с
вопросами обычно используется режим обучения (как и у файрволлов)
либо онлайновая база знаний (community HIPS). Все подобные схемы
имеют одну неразрешимую проблему: они перекладывают принятие
решения на самого пользователя со всеми вытекающими
. Такие защиты
сложны в каждодневном использовании простым юзером и не получили
сколь-нибудь массового распространения. Их ниша - суперпрофессио-
нальные пользователи, считающие контроль синонимом слова "защита"
(и наоборот). Примеры - почивший в бозе
ProcessGuard, ProSecurity,
SSM.
Следующее поколение защит основывается на модели "поведенче-
ских сигнатур", имеет общее название blacklisting HIPS или expert HIPS
и является невольным продолжением традиций антивирусных решений.
То есть защита анализирует последовательность поведенческих шагов
программ с шаблонами (сигнатурами) поведения известных зловредов и
выносит вердикт. Защита практически не мешает обычной повседнев-
ной работе, но имеет типичные недостатки всех антивирусных решений
- ложные срабатывания на легитимном ПО и несрабатывания на зло-
вредном. Кроме того, подобные системы все же перекладывают приня-
тие окончательного решения на самого пользователя (не все из них, но
ложные срабатывания тогда хуже контролируются) и предъявляют не-
которые требования к его технической подготовленности. Типичные
примеры - Kaspersky PDM, Norton Antibot, PC Tools Threatfire.
80
Страницы
- « первая
- ‹ предыдущая
- …
- 78
- 79
- 80
- 81
- 82
- …
- следующая ›
- последняя »
