Анализ методов обнаружения вредоносных программ | Статья в журнале «Молодой ученый»

Библиографическое описание:

Лысенко А. В., Кожевникова И. С., Ананьин Е. В., Никишова А. В. Анализ методов обнаружения вредоносных программ // Молодой ученый. — 2016. — №21. — С. 758-761. — URL https://moluch.ru/archive/125/34803/ (дата обращения: 17.08.2018).



Выделены и рассмотрены основные методы обнаружения вредоносных программ. Составлены критерии оценки методов обнаружения вредоносных программ. Проведена оценка методов обнаружения вредоносных программ.

Ключевые слова: вредоносная программа, метод обнаружения, вирус, червь, троянская программа

С появления первой вредоносной программы прошло более двадцати пяти лет, но на протяжении всего этого времени компании по-прежнему терпят огромные убытки, благодаря постоянному развитию и совершенствованию вредоносных программ.Статистика показывает, что наиболее распространенными являются атаки, реализуемые с помощью загрузки враждебного содержания, например несанкционированных программ, таких как вредоносные программы («троянские кони», вирусы, черви, макро-вирусы) [1].

На данный момент существует множество лабораторий, занимающихся изучением вредоносных программ и методов противодействия им, но это не снизило активность их эксплуатации. Согласно статистике «Лаборатории Касперского» в 2015 году их продукты отразили 1996324 попыток атак вредоносного программного обеспечения для кражи денежных средств. Согласно статистике лаборатории «PandaLabs» в первом квартале 2016 года ежедневно идентифицировалось 227000 образцов вредоносного программного обеспечения. С движением прогресса появляются все более усовершенствованные вредоносные программы, из-за чего вопрос борьбы с ними по-прежнему остается открытым [2].

Существует множество методов обнаружения вредоносных программ, но большинство из них частные и подходят только в определенном случае. Наиболее часто используемые методы, охватывающие больший спектр вредоносных программ это [3]:

‒ сканирование;

‒ эвристический анализ;

‒ обнаружение изменений.

При сканировании программа, выполняющая его, просматривает содержимое файлов, расположенных на дисках компьютера, а также содержимое оперативной памяти компьютера с целью поиска вирусов. При этом, классическое сканирование предполагает поиск вредоносных программ по их сигнатурампо последовательностям байтов данных, характерных для данных вирусов. Метод сканирования позволяет обнаружить такие вредоносные программы, которые не используют для противодействия антивирусным программам шифрование своего программного кода, а также полиморфизм. Посредством данного метода можно обнаружить как вирус, так и сетевого червя, но приложение, использующее данный способ требует постоянной поддержки, а именно обновления базы данных вирусов, поэтому данный способ не имеет смысла без постоянного сопровождения.

При использовании эвристического анализа контролируются все действия, которые может выполнить проверяемая программа. При этом отслеживаются потенциально опасные действия, характерные для вредоносного программного обеспечения. Посредством эвристического анализа также можно обнаружить как вирусы, так и сетевого червя, но данный подход также имеет ряд недостатков. Первый заключается в возможности появления «ложной» тревоги. Так же эвристический анализ занимает большой отрезок процессорного времени, поэтому не всегда применим.

При поиске вредоносного программного обеспечения методом обнаружения изменений периодически сканируется содержимое дисков компьютера и записываются контрольные суммы файлов и критически важных внутренних областей файловых систем. При сканировании новые значения контрольных сумм сравниваются со старыми значениями. Основным недостатком данного подхода является то, что вредоносную программу можно обнаружить только после своего выполнения. Также необходимо учитывать, что изначально проверяемые приложения устанавливаются из доверенного источника [4].

В таблице 1 приведены достоинства и недостатки методов обнаружения вредоносных программ и тип вредоносных программ, которые они способны обнаружить.

Таблица 1

Сравнительная характеристика методов обнаружения вредоносных программ

Наименование

Типы вредоносных программ, которые могут быть обнаружены данным методом

Достоинства

Недостатки

1

сканирование

  • вирус
  • сетевой червь
  • троянская программа
  • большой спектр вредоносных программ, которые могут быть обнаружены
  • постоянное расходование ресурсов вычислительной системы
  • необходимость постоянного сопровождения
  • не обнаруживает вредоносные программы, сигнатуры которых нет в базе данных

2

эвристический анализ

  • вирус
  • сетевой червь
  • троянская программа
  • обнаруживает любое несанкционированное действие
  • постоянное расходование ресурсов вычислительной системы
  • возможность появления «ложной» тревоги

3

обнаружение изменений

  • вирус
  • сетевой червь
  • обнаружение любого вредоносного кода
  • вредоносная программа обнаруживается только после внедрения
  • изначально проверяемый программный комплекс должен быть установлен из доверенного источника

Методы обнаружения вредоносных программ можно оценить по следующим критериям:

  1. — спектр вредоносных программ, которые могут быть обнаружены данным методом;
  2. — потребление ресурсов вычислительной машины;
  3. — необходимость постоянного сопровождения;
  4. — вероятность обнаружения вредоносной программы;
  5. — вероятность появления «ложной» тревоги;
  6. — этап обнаружения вредоносной программы.

Каждый критерий можно оценить по трехбалльной шкале:

Общая оценка рассчитывается по формуле

В таблице 2 отображена оценка выбранных типов обнаружения вредоносных программ в соответствии свыше указанными критериями.

Таблица 2

Оценка методов обнаружения вредоносных программ

Сканирование

Эвристический анализ

Обнаружение изменений

Типы вредоносных программ, которые могут быть обнаружены данным методом

3

3

2

Потребление ресурсов вычислительной машины

2

3

1

Необходимость постоянного сопровождения

1

3

3

Вероятность обнаружения вредоносной программы

1

2

3

Вероятность появления «ложной» тревоги

3

1

2

Этап обнаружения вредоносной программы

3

2

1

Итого

13

14

12

Из таблицы видно, что лучшим методом обнаружения вредоносных программ будет являться эвристический анализ. Если при разработке программного комплекса обнаружения вредоносных программ нет возможности параллельно использовать все три метода обнаружения, рекомендуется отдать предпочтения эвристическому анализу.

Литература:

  1. Никишова А. В. Программный комплекс обнаружения атак на основе анализа данных реестра // Вестник Волгоградского государственного университета. Серия 10. Инновационная деятельность. — 2012. — № 6. — С.152–155.
  2. Аткина В. С. Оценка эффективности катастрофоустойчивых решений // Вестник Волгоградского государственного университета. Серия 10. Инновационная деятельность.. — 2012. — № 6. — С. 45–48.
  3. Фролов А. В., Фролов Г. В. Осторожно: компьютерные вирусы. -М.: ДИАЛОГ-МИФИ, 1996. — 256 с.
  4. Завгородний В. И. Комплексная защита информации в компьютерных системах. — Москва «Логос», 2001. — 264с.
Основные термины (генерируются автоматически): программа, эвристический анализ, вредоносная программа, сетевой червь, вредоносное программное обеспечение, троянская программа, обнаружение изменений, метод обнаружения, вирус, вычислительная машина.


Ключевые слова

вредоносная программа, вирус, метод обнаружения, червь, троянская программа

Похожие статьи

Методика исследования вредоносных программ...

Анализ методов обнаружения вредоносных программ.

Обнаружения вредоносных программ-ботнетов на основе облака ОС Android. Выявление компонентов операционной системы, требующих защиты от вредоносных программ.

Классификация методов обнаружения неизвестного...

Классификация методов обнаружения неизвестного вредоносного программного обеспечения. Автор: Подпружников Юрий Валерьевич. Рубрика: 1. Информатика и кибернетика.

Современные средства антивирусной защиты | Статья в журнале...

Эвристический анализобнаружение ранее неизвестных вирусов; Метод эвристического анализа (heuristic-based detection) служит для выявления даже трех вирусов, для которых не существует образцов в базе антивирусной программы.

Преимущества и недостатки современных антивирусных программ

Программа обладает интеллектуальной антивирусной защитой. Это помогает обнаруживать и блокировки вирусов, вредоносного ПО, фишонговых, шпионских программ и программ-вымогателей.

Компьютерные вирусы — проблема XXI века

«Антивирус — любая программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики...

Современные технологии обнаружения и уничтожения...

Анализ методов обнаружения вредоносных программ.

Обнаружения вредоносных программ-ботнетов на основе облака ОС Android. Выявление компонентов операционной системы, требующих защиты от вредоносных программ.

Вредоносные программы, блокирующие работу с операционной...

Ключевые слова: вредоносная программа, вирус, Windows, Trojan, Winlock, Ransom, LockScreen, винлокер. Первая вредоносная программа, блокирующая работу с операционной системой с целью вымогательства денег...

Анализ методов обнаружения аномалий для обнаружения...

Классификация методов обнаружения неизвестного вредоносного программного обеспечения. Обзор методов обнаружения аномалий в SQL-запросах к базам данных. Применение машинного обучения для обнаружения сетевых аномалий.

Обсуждение

Социальные комментарии Cackle

Похожие статьи

Методика исследования вредоносных программ...

Анализ методов обнаружения вредоносных программ.

Обнаружения вредоносных программ-ботнетов на основе облака ОС Android. Выявление компонентов операционной системы, требующих защиты от вредоносных программ.

Классификация методов обнаружения неизвестного...

Классификация методов обнаружения неизвестного вредоносного программного обеспечения. Автор: Подпружников Юрий Валерьевич. Рубрика: 1. Информатика и кибернетика.

Современные средства антивирусной защиты | Статья в журнале...

Эвристический анализобнаружение ранее неизвестных вирусов; Метод эвристического анализа (heuristic-based detection) служит для выявления даже трех вирусов, для которых не существует образцов в базе антивирусной программы.

Преимущества и недостатки современных антивирусных программ

Программа обладает интеллектуальной антивирусной защитой. Это помогает обнаруживать и блокировки вирусов, вредоносного ПО, фишонговых, шпионских программ и программ-вымогателей.

Компьютерные вирусы — проблема XXI века

«Антивирус — любая программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики...

Современные технологии обнаружения и уничтожения...

Анализ методов обнаружения вредоносных программ.

Обнаружения вредоносных программ-ботнетов на основе облака ОС Android. Выявление компонентов операционной системы, требующих защиты от вредоносных программ.

Вредоносные программы, блокирующие работу с операционной...

Ключевые слова: вредоносная программа, вирус, Windows, Trojan, Winlock, Ransom, LockScreen, винлокер. Первая вредоносная программа, блокирующая работу с операционной системой с целью вымогательства денег...

Анализ методов обнаружения аномалий для обнаружения...

Классификация методов обнаружения неизвестного вредоносного программного обеспечения. Обзор методов обнаружения аномалий в SQL-запросах к базам данных. Применение машинного обучения для обнаружения сетевых аномалий.

Задать вопрос