Вредоносные биты, и как их остановить

23 декабрь, 2013 - 16:20Леонід Бараш

У антивирусного программного обеспечения, работающего на вашем компьютере, есть одно слабое место: если новый вирус выпущен прежде, чем антивирусный поставщик знает об этом, или прежде, чем будет выполнено следующее запланированное обновление антивирусного ПО, ваша система сможет быть заражена. Такие инфекции нулевого дня являются обычными.

Однако основным в современных разработках антивирусного ПО должно быть включение встроенной защиты против вирусов и другого компьютерного вредоносного ПО, о которых у него нет предварительных знаний. Эти методы защиты обычно реагируют на необычную активность, которая напоминает поведение вирусов, как только они заразили систему. Этот так называемый эвристический подход вместе с регулярно обновляемым антивирусным ПО будет, как правило, защищать вас от известных вирусов и даже вирусов нулевого дня. Однако в действительности неизбежно существует ряд атак, которые продолжают проникать через систему безопасности.

Исследователи из Австралийского национального университета в Актоне, ACT, и Северного мельбурнского института TAFE совместно с Викторианским технологическим институтом в Мельбурне, Виктория, разработали подход к обнаружению вирусов, который работает как третий слой поверх сканирования для известных вирусов и эвристического сканирования.

Новый подход использует алгоритм, который собирает данные для идентификации вредоносного кода в системе и аномалии обнаруженных моделей поведения, основанный, в основном, на частоте, с которой «вызываются» различные функции операционной системы. Начальные тесты показали почти 100% раскрываемость атак и ложные положительные срабатывания на уровне всего 2,5% при определения вложенного вредоносного кода, который находился в «невидимом режиме» до того, как быть активированным в целях атаки.

«Обеспечение защиты компьютерных систем от нового разнообразного вредоносного ПО становится все более трудным, так как это требует непрерывного улучшения движков обнаружения, - объяснили Мамун Алазаб (Mamoun Alazab) и Ситалакшми Венкатраман (Sitalakshmi Venkatraman). – Наиболее важным здесь является расширение базы знаний для исследований посредством обнаружения аномалии с помощью применения инновационных методов распознавания образов и соответствующими машинными алгоритмами обучения для определения неизвестного злонамеренного поведения».