Как работает технология эвристического анализа в защите от веб-угроз?

Технология эвристического анализа в защите от веб-угроз работает на основе набора эвристик (предположений, статистическая значимость которых подтверждена опытным путём) о характерных признаках вредоносного и безопасного исполняемого кода. cdn-download.drweb.com megavtogal.com

Процесс начинается с поиска в коде подозрительных признаков (команд), характерных для вредоносных программ. securelist.ru Этот метод называется статичным анализом. securelist.ru Эвристический анализатор просматривает код приложения и, встретив подозрительную команду, увеличивает некий «счётчик подозрительности» для данного приложения. securelist.ru

На основании суммарного веса, характеризующего содержимое объекта, эвристический анализатор вычисляет вероятность содержания в нём неизвестного вредоносного объекта. cdn-download.drweb.com megavtogal.com Если эта вероятность превышает некоторое пороговое значение, то выдаётся заключение о том, что анализируемый объект является вредоносным. cdn-download.drweb.com megavtogal.com

Ещё один распространённый метод эвристического анализа — декомпиляция подозрительной программы и анализ её исходного кода. top-technologies.ru Исходный код подозрительного файла проходит свёрку и сравнение с исходным кодом известных вирусов и образчиков вирусной активности. top-technologies.ru В случае, если определённый процент исходного кода идентичен коду известного вируса или вирусной активности, файл отмечается как подозрительный, о чём оповещается пользователь. top-technologies.ru

Поскольку эвристический анализатор является системой проверки гипотез в условиях неопределённости, то он может допускать ошибки как первого (пропуск неизвестных угроз), так и второго рода (признание безопасной программы вредоносной). cdn-download.drweb.com megavtogal.com