Эвристический анализ.
Антивирусная защита
Преимущества: возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные (использование для проникновения на компьютер новую уязвимость, а после этого — выполнять уже привычные вредоносные действия). Такую программу может пропустить эвристический анализатор первого типа, но вполне может обнаружить анализатор второго типа. Поиск вирусов… Читать ещё >
Эвристический анализ. Антивирусная защита (реферат, курсовая, диплом, контрольная)
Поиск вирусов, похожих на известные Эвристика — значит, «находить». Эвристический анализ основывается на (весьма правдоподобном) предположении, что новые вирусы часто оказываются похожи на какие-либо из уже известных. Поэтому в антивирусных базах находятся сигнатуры для определения не одного, а сразу нескольких вирусов. Следовательно, эвристический метод заключается в поиске файлов, которые не полностью, но очень близко соответствуют сигнатурам известных вирусов.
Преимущества: возможность обнаружить новые вирусы еще до того, как для них будут выделены сигнатуры.
Недостаток:
- · вероятность ошибочно определить наличие в файле вируса, когда на самом деле файл чист — такие события называются ложными срабатываниями;
- · невозможность лечения — и в силу возможных ложных срабатываний, и в силу возможного неточного определения типа вируса, попытка лечения может привести к большим потерям информации, чем сам вирус, а это недопустимо;
- · низкая эффективность — против действительно новаторских вирусов, вызывающих наиболее масштабные эпидемии, этот вид эвристического анализа малопригоден.
Поиск вирусов, выполняющих подозрительные действия Другой метод, основанный на эвристике, исходит из предположения, что вредоносные программы так или иначе стремятся нанести вред компьютеру, и основан на выделении основных вредоносных действий.
Например:
- · удаление файла;
- · запись в файл;
- · запись в определенные области системного реестра;
- · открытиепортанапрослушивание;
- · перехват данных вводимых с клавиатуры;
- · рассылкаписем;
Выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Однако, при выполнении программой последовательно нескольких таких действий, например, записывает запуск себя же в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа, по меньшей мере, подозрительна. Основанный на этом принципе эвристический анализатор постоянно следит за действиями, которые выполняют программы.
Преимущества: возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные (использование для проникновения на компьютер новую уязвимость, а после этого — выполнять уже привычные вредоносные действия). Такую программу может пропустить эвристический анализатор первого типа, но вполне может обнаружить анализатор второго типа.
Недостатки:
- · ложные срабатывания;
- · невозможность лечения;
- · не высокая эффективность.