Как остановить вредоносные байты

30 сентябрь, 2013 - 17:15Леонид Бараш

Антивирусное ПО, работающее на вашем компьютере, имеет одну ахиллесову пяту: если новый вирус выпущен прежде, чем он стал известен антивирусному провайдеру, или перед следующим обновлением антивирусных баз, ваша система может быть инфицирована. Такое инфицирование нулевого дня являются достаточно распространенным.

Последние разработки в антивирусном ПО направлены на то, чтобы инкорпорировать встроенную защиту против вирусов и других вредоносных программ, о которых она не имеет предварительной информации. Такая защита обычно отвечает на подозрительную активность, которая похожа на поведение вирусов, когда они заражают систему. Этот так называемый эвристический подход, объединенный с регулярным обновлением антивирусного ПО, обычно защищает пользователя от известных вирусов и даже от атак нулевого дня. Однако в действительности неминуемо существуют некоторые атаки, которые проходят сквозь расставленные сети.

Исследователи из Австралийского национального университета (ANU) в Эктоне и Северного мельбурнского института (NMIT) совместно с Викторианским технологическим институтом в Мельбурне, Виктория, разработали подход к определению вируса, который действует как третий уровень на вершине сканирования для известных вирусов и эвристических методов.

Для идентификации вредоносного кода в системе новый подход использует алгоритмы добычи данных, а картина аномального поведения определяется, преимущественно, по интенсивности, с которой вызываются разные функции операционной системы. Начальные тесты показали почти 100% определение интенсивности и только 2,5% ложных срабатываний для встроенного вредоносного кода, который был «невидимым» до тех пор, пока не активировался для определенных целей.

«Защищать компьютерные системы против нового вредоносного ПО становится все труднее, так как это требует непрерывного улучшения антивирусного движка, - объяснил Мамун Алазаб (Mamoun Alazab) из ANU. – Что является наиболее важным, так это расширение базы знаний для исследований по безопасности посредством определения аномалий с помощью применения инновационных технологий распознавания картины поведения, базирующихся на обучающихся алгоритмах для обнаружения неизвестного поведения вредоносного кода».