アンチウイルスソフトウェアの動作とヒューリスティック制御とは何ですか?それはどのように機能しますか?
ある地元の雑誌で、カスペルスキーで働く技術コンサルタントであるエイドリアン・ポルセスクのインタビューを読みました。
とりわけ、彼は、彼らのアンチウイルスが悪意のあるソフトウェアを検出するために行動主義とヒューリスティック制御を使用していると言います。
アンチウイルスソフトウェアの動作とヒューリスティック制御とは何で、どのように機能するのでしょうか。
ヒューリスティックは次のとおりです。
- 学習テクニック
- 常識
- 発見
彼らの目的は、そのコードを分析することによってウイルスを認識することです(これに限定されません)。プログラムが特定のファイルを開くように、または特定のメモリアドレスをロード/読み取りするようにプログラムされている場合。これらの方法は、複数の基準に基づいています。最終的には、仮想環境でプログラムを実行して、複製、ステルスなどの既知のウイルススキームを監視できます。
行動主義はリアルタイムの分析です。プログラムが実行していること(ファイルI/O、メモリI/O、ネットワークI/O、アイドル時のPCの使用など)を分析することにより、プログラムが正当であるかどうかを評価できます。 1つのプログラムが各ポートの100個のIPアドレスでパケットの発信を開始した場合、それはプログラムの通常の動作ではないため、ウイルスであると確信できます。
私はこれを言って結論を下します:行動主義は未知の行動を扱い(確かにユーザーの行動をプロファイリングして通常の活動の変化を検出しようとします)、それは確かにヒューリスティックを使用します。ヒューリスティックの目的は、未知のウイルスまたは亜種を検出することですが、彼らが探しているスキームはよく知られています。
いくつかの参考文献:
- もちろんウィキペディア: http://en.wikipedia.org/wiki/Antivirus_software ; http://en.wikipedia.org/wiki/Heuristics
- いくつかのジャーナリズムの記事: http://systemtechnologygroup.com/Behavior_Blocking.pdf
- このテーマに関する1つの論文: http://www.springerlink.com/content/t3r27639x9533601/ (アクセスが制限されている可能性があります)