Архитектура на сигурността

© Христо Тужаров, януари 2010 

ПРОАКТИВНА АНТИВИРУСНА ЗАЩИТА

 

[Home] [Съдържание] [Асеневци] [Студентите] [Консултации]

 

КОНТРОЛ ЗА ИМПОРТ НА ПРОГРАМИ

 

ЗАЩИТА ОТ ВИРУСИ

 

ПРОАКТИВНА АНТИВИРУСНА ЗАЩИТА

 

МЕТОДИ ЗА ПРОАКТИВНА ЗАЩИТА

 

АНТИВИРУС безплатен софтуер

 

КОНТРОЛ НА ИНТЕРАКТИВНИ

ПРОГРАМИ  

 

 

 

 

Проактивна защита

Анализиране поведението на програми в реално време и откриване на по-рано неизвестни вируси, изпреварвайки тяхното по нататъшно разпространение още преди обновяване на антивирусната база данни.

 

Съвкупност от технологии и методи, използвани в антвирусното програмно осигуряване с основна цел, предотвратяване заразяване на системата на потребителя, а не търсене на известен вредоносен код, както е при  реактивните (сигнатурни)технологии.

 

Исторически факт е лидерството на реактивните технологии на пазара на антивирусни програми, въпреки многото им недостатъци:

  • Слаба ефективност против заплахи от типа  0-day, тъй като ефективността е пряко свързана с обновяване на база данни със сигнатурите на вредоносните програми.

  • Необходимост от постоянно обновяване базата данни със сигнатурата;

  • За някои вредоносни програми е необходима процедура на сканиране, която отнема време и системни ресурси.

                        0day (zero day) – вредоносни програми или заплахи, против които съществуващите механизми за осигуряване на сигурност са безсилни.

 

Днес на тяхно място или по-често в комбинация с тях идват нови проактивни технологии, такива като HIPS, Sandbox, VIPS и други.

 

Методите и технологиите за проактивна защита се интегрират в антивирусните програми, поотделно или по-често комбинирано, с цел ефективно да откриват и ликвидират новите заплахи.

 

 

 

 

Методи за проактивна защита

 

 



 

     Методи за евристичен анализ - анализ на вирусни сигнатури и разпознаване на техни модификации.

 

     Методи за анализ на поведението -анализ в реално време на верига от действия на програмното осигуряване и блокиране на потенциално опасни алгоритми

 

     Методи за контрол на цялостност - мониторинг на всички обръщения към ядрото на на операционната система, като в случай на откриване изменения на критически важни параметри, операцията се блокира.


     Методи за ограничаване изпълнението на операциите (виртуална среда) - осъществява се виртуализация на работната среда, като по този начин се блокира въздействие на потенциално опасни операции върху системната среда. 


Евристичен анализ

Основава се на предварително дефинирани правила и алгоритми за откриване на компютърни вируси. 

 

Евристичния анализ позволява на база анализ на кода на изпълняваното приложение, скрипт или макрос да се открият участъци от кода, съответстващи на вредоносната активност.

 

       Евристичен анализатор  - елемент на антивирусна програма, използваща технологията евристично сканиране, която се занимава с анализ на вирусни сигнатури и разпознаване на техни модификации.

 

      Недостатъци на евристичния анализ

Ефективността на технологията не е особено висока, което обуславя голямо количество лъжливи съобщения при повишена чувствителност на анализатора. По оценкаа на антивирусни експерти, даже водещите евристични анализатори не откриват по-вече от 30% вредоносни кодове.

      

       Предимства на евристичния анализ

Технологията има добър ефект при комбинация с други проактивни методи.

 

Днес с евристични анализатори са снабдени продуктите на всички основни играчи на пазара:: Symantec, «Лаборатория Касперски», Panda, Trend Micro и McAfee.

Контрол на цялостност
Осъществява постоянен мониторинг на всички обръщения към ядрото на операционната система, за откриване на промени, които може да са в резултат на вредоносна програма. При откриване на опити за промени на критично важни параметри, операцията се блокира.

 

 

        Преимущества на контрола на цялостност

  • Не изисква специални знания или навици от страна на потребителя;

  • Няма изисквания към апаратното осигуряване на компютъра. Могат да се използват различни платформи;

  • Малко количество обръщения към потребителя.

        Недостатъци на контрола на цялостност

  • Осъществяването на метода изисква контрол на голямо количество различни параметри, което може да окаже негативно въздействие върху производителността на процесора.

  • Слаба ефективност на противодействие срещу  user-mode и kernel-mode руткити;