Принципы работы антивирусов - Рынок информационной безопасности России

Как же отличить вредоносный код от безобидных приложений и почтовых сообщений? Придуманный на заре инквизиции подход "Казните всех, господь своих узнает!", очевидно, неприемлем, поскольку ложные срабатывания, в результате которых пользователю не будут доставлены письма делового содержания, могут привести к экономическим потерям, сравнимым с результатом действия вирусов. Рассмотрим основные принципы работы антивирусных программ, позволяющих отлавливать опасное ПО и пропускать лишь код, не несущий угрозы для компьютера.

Старейший метод борьбы с вирусами, лет десять назад являвшийся единственным, - это так называемая реактивная защита. Его суть заключается в использовании производителем антивируса обширной базы, содержащей шаблоны (сигнатуры) известных вирусов, и в сравнении с ними потенциально опасного кода. Данный метод подразумевает оперативное пополнение сигнатурной базы за счет новых выявленных угроз. Как только описание нового вредоносного кода попадает в сигнатурную базу производителя антивирусов, оно становится доступным для скачивания его клиентами, обращающимися к базе за очередным обновлением. С этого момента компьютер является защищенным от данной угрозы. Недостатки данного метода очевидны: с момента возникновения вируса до появления его сигнатуры в локальной базе пользователя проходит время. Весь тот период, за который новый вирус выявляется, его сигнатура попадает в базу и, наконец, скачивается пользователем при очередном обновлении, реактивная защита беспомощна перед появившейся угрозой. Даже уменьшение интервала обновлений до нескольких минут не может обеспечить защиту, поскольку современные "черви" имеют очень высокую скорость распространения. Помимо этого независимо от периодичности обновлений новые сигнатуры появляются лишь после того, как вирус начал действовать. Иногда в день возникает несколько десятков новых вирусов и их модификаций, что ставит под сомнение возможности своевременного выпуска такого количества сигнатур. Следует добавить, что растущая сигнатурная база и учащающиеся обновления замедляют работу компьютеров и требуют все больших ресурсов. Таким образом, сегодня защита, использующая лишь сигнатурные методы, зачастую запаздывает и оказывается неэффективной.

Проактивная защита представляет собой принципиально иной подход к проблеме. Он предполагает обнаружение вредоносного кода еще до того, как он попал в сигнатурные базы. В связи с современными тенденциями в области компьютерных угроз методы проактивной защиты приобретают все большую популярность. Дело в том, что различные вирусы зачастую имеют общие характерные особенности и черты поведения. Для обнаружения вредоносных программ производители применяют широкий набор эвристических методов, а также методы эмуляции (имитация выполнения кода в целях выявления его вредоносности) и алгоритмический анализ. Сочетание этих методов позволяет с высокой (хотя и нестопроцентной) долей вероятности обнаружить вирус до того, как он появится в сигнатурной базе. При этом еще одной важной задачей разработчиков является сведение к минимуму числа ложных срабатываний.

В настоящее время все основные производители антивирусов используют сочетание сигнатурных методов и проактивной защиты. Только такой комплексный подход обеспечивает создание относительно надежного барьера. Однако соотношения этих методов в различных антивирусах существенно отличаются. Очевидно также, что со сложной задачей обнаружения вируса проактивными методами различные продукты справляются далеко не одинаково успешно, поскольку каждый производитель опирается на свои индивидуальные и тщательно скрываемые разработки. Динамичное развитие ситуации в отрасли заставляет разработчиков активно совершенствовать свою продукцию для поддержания ее конкурентоспособности.

Похожие статьи




Принципы работы антивирусов - Рынок информационной безопасности России

Предыдущая | Следующая