Как работает технология эвристического анализа в защите от веб-угроз?

Технология эвристического анализа в защите от веб-угроз работает на основе набора эвристик (предположений, статистическая значимость которых подтверждена опытным путём) о характерных признаках вредоносного и безопасного исполняемого кода. 25

Процесс начинается с поиска в коде подозрительных признаков (команд), характерных для вредоносных программ. 4 Этот метод называется статичным анализом. 4 Эвристический анализатор просматривает код приложения и, встретив подозрительную команду, увеличивает некий «счётчик подозрительности» для данного приложения. 4

На основании суммарного веса, характеризующего содержимое объекта, эвристический анализатор вычисляет вероятность содержания в нём неизвестного вредоносного объекта. 25 Если эта вероятность превышает некоторое пороговое значение, то выдаётся заключение о том, что анализируемый объект является вредоносным. 25

Ещё один распространённый метод эвристического анализа — декомпиляция подозрительной программы и анализ её исходного кода. 3 Исходный код подозрительного файла проходит свёрку и сравнение с исходным кодом известных вирусов и образчиков вирусной активности. 3 В случае, если определённый процент исходного кода идентичен коду известного вируса или вирусной активности, файл отмечается как подозрительный, о чём оповещается пользователь. 3

Поскольку эвристический анализатор является системой проверки гипотез в условиях неопределённости, то он может допускать ошибки как первого (пропуск неизвестных угроз), так и второго рода (признание безопасной программы вредоносной). 25