Analiza heurystyczna - Heuristic analysis

Ten artykuł dotyczy oprogramowania antywirusowego. Informacje na temat stosowania heurystyk w ocenie użyteczności można znaleźć w artykule Ocena heurystyczna .

Analiza heurystyczna to metoda wykorzystywana przez wiele komputerowych programów antywirusowych służących do wykrywania nieznanych wcześniej wirusów komputerowych , a także nowych wariantów wirusów znajdujących się już w „dziczy”.

Analiza heurystyczna to analiza ekspercka, która określa podatność systemu na określone zagrożenie / ryzyko przy użyciu różnych reguł decyzyjnych lub metod ważenia. Analiza MultiCriteria (MCA) jest jednym ze sposobów ważenia. Ta metoda różni się od analizy statystycznej, która opiera się na dostępnych danych / statystykach.

Operacja

Większość programów antywirusowych, które wykorzystują analizę heurystyczną, wykonuje tę funkcję, wykonując polecenia programistyczne podejrzanego programu lub skryptu na wyspecjalizowanej maszynie wirtualnej , umożliwiając w ten sposób programowi antywirusowemu wewnętrzną symulację tego, co by się stało, gdyby podejrzany plik został wykonany przy zachowaniu podejrzany kod odizolowany od rzeczywistej maszyny. Następnie analizuje wykonywane polecenia, monitorując typowe działania wirusowe, takie jak replikacja, nadpisywanie plików i próby ukrycia podejrzanego pliku. W przypadku wykrycia co najmniej jednego działania podobnego do wirusa podejrzany plik jest oznaczany jako potencjalny wirus, a użytkownik zostaje ostrzeżony.

Inną powszechną metodą analizy heurystycznej jest dekompilacja podejrzanego programu przez program antywirusowy , a następnie analiza zawartego w nim kodu maszynowego. Kod źródłowy podejrzanego pliku jest porównywany z kodem źródłowym znanych wirusów i działań wirusopodobnych. Jeśli pewien procent kodu źródłowego jest zgodny z kodem znanych wirusów lub działań wirusopodobnych, plik jest oflagowany, a użytkownik zaalarmowany.

Skuteczność

Analiza heurystyczna jest w stanie wykryć wiele wcześniej nieznanych wirusów i nowe warianty obecnych wirusów. Jednak analiza heurystyczna działa na podstawie doświadczenia (porównując podejrzany plik z kodem i funkcjami znanych wirusów). Oznacza to, że prawdopodobnie przegapi nowe wirusy, które zawierają nieznane wcześniej metody działania, których nie ma żaden znany wirus. W związku z tym skuteczność jest dość niska, jeśli chodzi o dokładność i liczbę fałszywych alarmów .

Gdy naukowcy odkrywają nowe wirusy, informacje o nich są dodawane do silnika analizy heurystycznej, zapewniając w ten sposób silnikowi środki do wykrywania nowych wirusów.

Bibliografia

Linki zewnętrzne


Ikona kodu źródłowego

Ten malware artykuł związane z modelem jest en . Możesz pomóc Wikipedii, rozbudowując ją .