Система поведенческого анализа антивируса простыми словами
- Категория: Фундаментальные статьи
- – Автор: Игорь (Администратор)
Формально, система поведенческого анализа антивируса - это механизм, построенный на технологии принятия решения о предоставлении доступа на основе анализа характера выполняемых объектом или программой действий. И, вероятно, для вас, читающих данные слова, эта фраза может звучать несколько пугающе, непонятно и слишком общо. Поэтому в рамках данной статьи будут изложены и пояснены некоторые важные аспекты, которые позволят даже самому начинающему пользователю понимать "что значат эти слова на самом деле".
Что такое поведенческий анализ?
Достаточно часто, за словами поведенческий анализ видят что-то уникальное и передовое, способное обезопасить вашу систему по максимуму. Однако, это так и не так одновременно. Поэтому для начала необходимо понять, что означают слова "поведенческий анализ". Если по простому, то это умозаключения, которые делаются на основе наблюдения за объектом, другими словами "видим что-то странное - бьем тревогу". К примеру, если программа для редактирования изображений вдруг начала пытаться менять файлы операционной системы Windows или передавать ваши личные данные "куда-то" в интернет, то это, как минимум, странно и стоит такие действия запретить.
Исходя из всего выше сказанного и немного упростив определение, под поведенческим анализом можно понимать простое сравнение текущих действий со списками разрешенных и неразрешенных действий для данной программы или объекта. Другими словами, кто-то когда-то сел и записал все действия, которые разрешены и которые не разрешены для каждого типа программ, а затем стал использовать для определения вирусов, троянов и прочих вредоносных программ. И не более.
Что делает система поведенческого анализа антивируса?
Система поведенческого анализа антивируса, по сути, состоит из двух частей. Первая, это большая база со списками разрешенных и неразрешенных действий, которые могут дополняться или изменяться (например, если система подразумевает режимы обучения и прочие механизмы). В более сложном представлении, это не только действия, но и цепочки действий (например, нельзя перед закрытием документа записывать часть себя в другие документы, как поступают некоторые вирусы), комплексы действий и прочее. Вторая, это система датчиков, которые позволяют отслеживать действия объектов и программ в системе.
Все вышесказанное означает, что система поведенческого анализа антивируса просто закрывает большую часть возможных дыр в системе, которыми могут воспользоваться вредоносные программы. Первая часть перечисляет весь набор, а вторая часть следит за тем, какие действия выполняются в системе. Например, первая часть гласит - никакие программы не должны иметь возможность отформатировать ваш диск без запроса вам; вторая же часть - отслеживает выполнение этого правила.
Тем не менее, тут важно заметить один тонкий момент, от того, что в базе есть какое-то правило, как из примера выше, вам не будет гарантировано то, что в системе такого никогда не случится. Хитрость заключается в датчиках (их количестве и качестве). Если злоумышленник нашел путь, как выполнять действия в обход датчиков, то система поведенческого анализа антивируса, увы, никак не поможет защитить операционную систему.
Какие преимущества дает система анализа поведения программ антивирусам?
Системы поведенческого анализа дают достаточно серьезные преимущества антивирусным программам. За счет закрытия возможных дыр в системе безопасности, такие механизмы позволяют блокировать неизвестные вирусы и вредоносные программы еще до того, как последние станут известными. Кроме того, поведенческие системы не занимаются анализом самих файлов, что позволяет им действовать в режиме реального времени, практически не нагружая ваш компьютер, в отличии от проверки всех данных файла по постоянно растущей базе вирусов.
Важно заметить, что многие вирусы, трояны и вредоносные программы используют одни и те же ошибки и возможности операционной системы. На практике это означает, что антивирусы со старыми базами сигнатур вирусов (специальный код, позволяющий определить наличие вируса в файле), но с хорошо сделанными системами анализа поведения программ, вполне могут достойно защищать компьютер в течении многих лет, конечно, при условии, что последний не стал целью упертого злоумышленника.
Тем не менее, стоит понимать, что потенциал систем поведенческого анализа изначально ограничен их базами правил и набором датчиков с их возможностями. Не стоит ждать от них того, что они не могут.
Ложные обнаружения системами поведенческого анализа антивирусов
Как вы, наверное, уже поняли, системы поведенческого анализа антивирусов представляют из себя некий набор предположений и механизм по их отслеживанию. Но, там где есть предположения, всегда будет вероятность наличия ошибок или недочетов (неучтенных моментов). Так, например, антивирус может заблокировать одну из неизвестных антивирусу утилит безопасности (популярные средства безопасности обычно вносятся в специальный список исключений) просто потому, что утилита попыталась выполнить свое прямое назначение - повысить уровень безопасности, путем изменения настроек защиты операционной системы или, скажем, браузера. Или, например, если брать те же документы, то некоторые макросы специально могут перед закрытием документа вносить корректировки в соседние документы для автоматической синхронизации данных (скажем, запись значений ячеек таблиц из одной книги Excel в соседние книги). Такие действия система поведенческого анализа легко может посчитать вирусными и заблокировать. Если вам интересно, то в интернете можно найти массу казусов на этот счет.
Для решения таких "неказистых" ситуаций применяются разные средства, начиная от пользовательских списков исключений программ и заканчивая режимами обучения с профилями. Тем не мене, какой бы механизм не применялся для минимизации ложных обнаружений, вероятность последнего всегда будет существовать. В этом смысле проверка по базе сигнатур более выгодна (более подробно о ложном обнаружении антивирусами).
Теперь, вы знаете о системах поведенческого анализа антивирусов немного больше и не будете путаться в больших и громоздких словах.
☕ Понравился обзор? Поделитесь с друзьями!