Вы наверняка видели сообщения от антивирусных программ, таких как Антивирус Касперского, о том, что антивирусные базы устарели и их необходимо обновить. О каких базах данных идет речь?
Современные антивирусы: функции и возможности – Часть I: Антивирусный движок и фаервол
Проект Matousec подготовил серию статей под названием «Особенности современных пакетов безопасности». Мы предоставляем переводы для наших пользователей. В первой части этой серии статей мы обсудим самые основные элементы: антивирусный движок и брандмауэр.
Современные продукты безопасности для компьютеров под управлением Windows представляют собой полноценные приложения. Количество предлагаемых специальных функций может сбить с толку конечного пользователя. Каждый производитель программного обеспечения имеет тенденцию использовать свое собственное название для одной и той же функции, которая может присутствовать в других продуктах с другим названием. Путаница становится еще больше, когда выясняется, что два разных варианта в продуктах от разных поставщиков часто имеют одинаковое название.
Цель этой серии статей — объяснить основы и то, как на самом деле работают наиболее распространенные опции в современных пакетах безопасности Windows. Мы описываем, чего вы можете ожидать от конкретного решения, будь то набор инструментов для защиты от вредоносных программ, безопасного веб-серфинга или предотвращения нежелательных вторжений. Используя информацию, собранную в статьях, вы можете сравнить функции, предлагаемые различными производителями, и лучше понять, как работают комплекты безопасности.
В первой части этой серии статей мы обсудим основные компоненты: антивирусный механизм и брандмауэр.
Содержание
Также упоминается как: Антивирус в реальном времени, Защита в реальном времени, Мониторинг файлов, Защита от вредоносных программ.
Антивирусный движок является основным компонентом большинства пакетов безопасности, доступных на рынке. Основная роль движка заключается в сканировании хранилища данных и проникновении в компьютер для обнаружения и удаления вредоносных программ. Вредоносные программы могут храниться в файлах на жестких дисках, портативных USB-носителях, в памяти компьютера, в сетевых драйверах или в загрузочном секторе жесткого диска, а также могут появляться как часть сетевого трафика.
Методы определения
Антивирусная система использует различные методы для обнаружения вредоносных программ. Антивирусные системы содержат обширную базу данных шаблонов вирусов, которые будут обнаружены во время сканирования. Каждый шаблон может либо идентифицировать отдельный код вредоносного ПО, либо, что более распространено, описывать целое семейство вирусов. Главная особенность обнаружения вирусных шаблонов заключается в том, что антивирусная программа может обнаружить только известные вирусы, в то время как новые угрозы могут быть не обнаружены.
Эвристический метод обнаружения используется для обнаружения вирусов, для которых нет шаблона в антивирусной базе данных. Методы эвристического анализа имеют множество вариантов. Основной принцип заключается в выявлении программного кода, который крайне нежелателен для безопасного программного обеспечения. Однако этот метод является неточным и может привести к большому количеству ложных срабатываний. Хороший эвристический анализ является сбалансированным и вызывает как можно меньше ложных срабатываний, сохраняя при этом высокий коэффициент обнаружения вредоносного ПО. Чувствительность эвристики можно регулировать.
Виртуализация или «песочница» — это более продвинутые методы обнаружения угроз. Образцы кода выполняются в течение определенного времени в виртуальной машине или другой безопасной среде, из которой отсканированные образцы не могут выйти и повредить операционную систему. Поведение тестируемого образца в песочнице отслеживается и анализируется. Этот метод полезен, если вредоносная программа упакована с неизвестным алгоритмом (это обычный способ быть неуязвимым для системы обнаружения вирусов) и не может быть распакована антивирусной системой. В виртуальной среде вирус распаковывается, как если бы он работал на реальной системе, и антивирусная система может проверить распакованный код и данные.
Одной из последних разработок в антивирусном инструментарии является сканирование в облаке. Этот метод основан на том, что компьютеры имеют ограниченную вычислительную мощность, в то время как производители антивирусов способны создавать большие системы с огромной мощностью. Вычислительная мощность необходима для выполнения сложного эвристического анализа, а также анализа с помощью виртуальных машин. Серверы поставщиков могут управлять гораздо большими базами данных образцов вирусов, чем компьютеры реального времени. При сканировании через облако единственным требованием является наличие быстрого и стабильного интернет-соединения. Когда клиентской машине необходимо просканировать файл, он отправляется на сервер провайдера через сетевое соединение, после чего ожидается ответ. Тем временем клиентский компьютер может выполнить собственное сканирование.
Проект Matousec подготовил серию статей под названием «Особенности современных пакетов безопасности». Мы предоставляем переводы для наших пользователей. В первой части этой серии статей мы обсудим самые основные элементы: антивирусный движок и брандмауэр.
Основные методы борьбы с вирусами
Вы наверняка видели сообщения от антивирусных программ, таких как Антивирус Касперского, о том, что антивирусные базы устарели и их необходимо обновить. О каких базах данных идет речь?
Антивирусная лаборатория — разработчик антивируса — обнаруживает вирус, анализирует его и создает так называемую сигнатуру. Вирусная сигнатура (сигнатура атаки) — это специфическая цифровая подпись вредоносной программы, которая может «распознать» и однозначно идентифицировать ее. Эти сигнатуры хранятся в базе данных, которая регулярно обновляется либо вручную пользователем, либо по расписанию. Сообщение антивирусной программы о том, что вирусная база данных устарела, означает, что защита ослаблена и вероятность заражения «свежим» вредоносным ПО возрастает.
Преимущества этого метода:
- Проверенная надежность. Проверенная надежность: проверенная надежность; проверенный послужной список; проверенная надежность; проверенная уязвимость. Этот метод успешно используется в течение длительного времени и считается основным методом обнаружения.
- Это очень быстро.
Недостатки:
- Проблема развития лавины подписей. Это связано как с ростом новых вирусов, так и со способностью «старых» вирусов изменяться. Это приводит к тому, что базы данных сигнатур вырастают до неуправляемых размеров, а значит, теряется второе преимущество метода. Ситуация решается специальными оптимизациями, когда одна сигнатура описывает несколько вирусов одновременно, но при этом возникает проблема ложных срабатываний, что снижает первое преимущество.
- Проблема идентификации новых вирусов. Предполагается, что сами пользователи вносят незначительный вклад в рост вирусной базы данных. Это означает, что обнаружение новых вирусов рассматривается как проблема разработчиков антивирусных программ, что, с одной стороны, кажется справедливым, а с другой — нарушает принцип «безопасность — дело каждого». Многие антивирусные программы имеют встроенную функцию «отправить на сканирование», которую следует использовать свободно. Важнейшими методами решения проблемы являются взаимный обмен информацией с другими производителями антивирусов, эвристический (то есть интеллектуальный, по специальному алгоритму) поиск вирусов в Интернете, быстрое реагирование в случае эпидемий и добросовестность механических систем, анализирующих подозрительную активность в Интернете.
Эвристические методы обнаружения
Многие антивирусные программы содержат модуль, называемый эвристическим сканированием вредоносных программ. Суть метода заключается в анализе поведения всех запущенных программ. Если система внезапно обнаруживает «подозрительное» поведение приложения, т.е. программа вдруг начинает делать то, чего не делала раньше, она включает сигнал тревоги, и эвристический модуль информирует пользователя о потенциальной угрозе.
Преимущества метода:
- Можно надеяться, что в будущем возможности эвристического модуля расширятся, и компьютер и информация смогут быть лучше защищены от неожиданных и возникающих угроз.
- Эвристический модуль может реагировать на угрозы, которых нет в базе данных сигнатур.
Недостатки метода:
- Ложные срабатывания при безопасных событиях. Это может привести к тому, что пользователи могут отключить эвристический модуль из-за раздражения, тем самым снизив уровень защиты.
- В связи с тем, как работает эвристический модуль, существует проблема чрезмерного потребления энергии. Проще говоря, антивирус потребляет всю память и процессор, делая невозможным играть в игры или работать с Word. Результат один и тот же: отключение устройства и снижение уровня защиты.
Брандмауэр или файрвол
Брандмауэр используется для защиты от сетевых угроз — как из локальной сети, так и из Интернета.
Этот модуль не всегда входит в стандартный антивирусный пакет и часто разрабатывается, поставляется и продается как отдельная программа.
Многие программы используют небезопасные методы для подключения к удаленным компьютерам или серверам, оставляя бреши и уязвимости открытыми для злоумышленников.
Суть брандмауэра заключается в контроле входящего и исходящего трафика и ограничении возможности подключения к определенным удаленным ресурсам. Наиболее очевидным методом защиты является создание белого и черного списков сетевых ресурсов.
Черный список» сетевых ресурсов — это список, например, веб-сайтов, доступ к которым запрещен, а «белый список» — это список ресурсов, доступ к которым разрешен. Как вы можете легко видеть, метод белых списков гораздо более безопасен, но также сильно ограничивает пользователя и программное обеспечение.
Один из самых безопасных способов изучить поведение программы — запустить ее в так называемой песочнице (или, по-другому, «sandbox»).
Антивирусные программы
Производительность компьютера и скорость выполнения операций на нем зависят от безопасности компьютера. Антивирусное программное обеспечение используется для предотвращения атак вредоносных программ. В этом уроке мы узнаем, что такое антивирусное программное обеспечение. Мы обсудим основные функции, которыми обладают многие современные антивирусные программы. Мы рассмотрим методы обнаружения вредоносных программ.
В данный момент вы не можете посмотреть или раздать видеоурок ученикам
Чтобы получить доступ к этому и другим учебным видео в пакете, вам необходимо добавить их в свой личный кабинет.
