Билет 1 Ақпараттық қауіпсіздік ұғымы
Эвристикалық вирустарды іздеу алгоритмдерінің артықшылықтары мен кемшіліктері
жүктеу/скачать 159,51 Kb.
|
| Эвристикалық вирустарды іздеу алгоритмдерінің артықшылықтары мен кемшіліктері
Эвристикалық талдау-бұл компьютерлік вирустар мен зиянды бағдарламаларды (вирустық қолтаңбалар) код үзінділерін зерттеу және оларды белгілі вирустық қауіптермен салыстыру арқылы анықтау әдісі. Грек тілінен шыққан "эвристика" термині іздеу немесе табу дегенді білдіреді. Технология жаңа вирустар таныс зерттелген үлгілерге ішінара ұқсас деген гипотетикалық болжамға негізделген. Көп жағдайда бұл болжам дұрыс. Эвристикалық талдаудың жағымды жағы-зерттелмеген жаңа зиянды қосымшаларды табудың практикалық қабілеті. Эвристикалық талдау-белгісіз зиянды бағдарламалық жасақтаманы табуға және ықтимал қауіпті қолданбалы белсенділікті бұғаттауға арналған белсенді қорғаудың бес әдісінің бірі. Қазіргі заманғы антивирустар эвристикалық анализаторлармен жабдықталған, ең алдымен олар әр инфекциядан кейін бағдарламалық кодты өзгертетін полиморфты вирустарды анықтау үшін қолданылады. Залалданған нысандар табылған кезде пайдаланушы бұл туралы хабардар етіледі. Бірақ жұқтырған файлдарды емдеу зиянды зерттегеннен кейін, қолтаңба базаларына ақпарат енгізіп, емдеу әдісін жасағаннан кейін ғана мүмкін болады. Бұған дейін қауіпті файлдар карантинде оқшауланады, онда жалған дабыл болған жағдайда оларды бұрынғы орнына қалпына келтіруге болады. Эвристикалық талдау әдістері-бұл мамандар тобының кәсіби пікіріне негізделген ақпаратты жинау және өңдеу әдістерінің арнайы тобы. Эвристикалық әдістер көбінесе шығармашылық деп аталады, өйткені олар адамдар тобының шығармашылық ойлауына сүйенеді. Эвристикалық әдістердегі талдау нәтижелерінің сенімділігі мен негізділігінің кілті-сарапшыларды дұрыс таңдау. Мақсаттар мен бағдарларға байланысты сарапшылар тобы біртекті болуы мүмкін немесе байланысты мамандардың әртүрлі топтарының өкілдерін, кейде жай ғана мүдделі тұлғаларды қамтуы мүмкін. Мысалы, технологиялық әзірлемелерді талдау үшін сарапшылар тобын құру кезінде оған шешімнің техникалық жаңалығын кәсіби түрде бағалай алатын технологтар, оның тиімділігін бағалайтын экономистер, қолда бар өндірістік базада жаңа технологияны енгізу мүмкіндігін бағалай алатын механиктер, жұмысшылар кіреді. Өнімнің сапасы мен оған сұранысты бағалау кезінде сарапшылар тобына тек тауар мамандары ғана емес, сонымен қатар өнімді өндірушілер мен тұтынушылар да кіреді. Сонымен қатар, бірінші кезеңде қандай да бір техникалық шешімді әзірлеу кезінде сарапшылар тобының құрамына тиісті бейіндегі мамандар ғана енгізіледі. Іс жүзінде эвристикалық талдау антивирустық бағдарламаларды жасаушылардың пікірінше тиімді емес. Вирус авторлары оларды таратпас бұрын эвристика мен қолтаңбаны сканерлеумен алдау жолдарын табу үшін оларды танымал антивирустарда сынап көреді. Эвристикалық талдаудың басты кемшілігі - жалған позитивтер, онда қауіпсіз бағдарламалар қате жұқтырылған деп анықталады, өйткені олардың машиналық код бөліктері зиянды бағдарламалық жасақтамаға ұқсас. Зиянды бағдарлама сәтті анықталса да, вирус жұққан файлдарды емдеу мүмкін емес. Қалған ақпаратқа зиян келтірместен зиянды кодты алу алгоритмін тек адамдар жасай алады. Қауіпсіз емес объектілерді қорғалған карантиндік аймақта оқшаулау және вирустың зерттелуін және емдеудің қауіпсіз әдісі пайда болуын күту ғана қалады. Эвристикалық сканерлеу нөлден жазылған және басқа компьютерлік вирустарға ұқсамайтын (нөлдік күн қаупі) алдыңғы қатарлы инновациялық вирустық бағдарламаларға қарсы тұра алмайды. Эвристикалық анализатордың шамадан тыс күдігі бағдарламада кейбір вирустарға тән әрекеттерді және/немесе тізбекті орындайтын код бөліктері болған кезде жалған позитивтерді тудыруы мүмкін. Атап айтқанда, pe-бумалаушы (Win)Upack буып-түйген файлдардағы бумалаушы осындай проблеманы танымайтын бірқатар вирусқа қарсы құралдардың жалған іске қосылуын тудырады. Эвристикалық анализаторды алдаудың қарапайым әдістерінің болуы. Әдетте, зиянды бағдарламаны (вирусты) таратпас бұрын, оны жасаушылар эвристикалық сканерлеу кезінде оны анықтамай, әртүрлі әдістермен қолданыстағы антивирустық өнімдерді зерттейді. Мысалы, кодты өзгерту, антивирустық деректер кодының эмуляторы қолдамайтын элементтерді қолдану, кодтың бір бөлігін шифрлау және т. б. Эвристикалық механизмдерді жетілдіруге қатысты антивирустық әзірлеушілердің мәлімдемелері мен жарнамаларына қарамастан, эвристикалық сканерлеудің тиімділігі күтілгеннен алыс. Тіпті сәтті анықталса да, белгісіз вирусты емдеу әрдайым мүмкін емес. Ерекшелік ретінде кейбір өнімдер тұрақты вирустық денесі жоқ, бірақ бірыңғай енгізу әдісін қолдана отырып, бір типті және бірқатар полиморфты, шифрланған вирустарды емдеуге болады. Бұл жағдайда ондаған және жүздеген вирустарды емдеу үшін вирустық базада бір жазба болуы мүмкін. Қорытынды: эвристика өзектілігін жоғалтқан жоқ. Мамандар вирустық қауіптердің жаңа түрлерін зерттеген сайын, олар туралы ақпарат тиімділікті арттырып, әдісті жетілдіре отырып, жаңа қауіптерді анықтау алгоритмдері қосылады. жүктеу/скачать 159,51 Kb. Достарыңызбен бөлісу:
|