Файл: Реферат На тему Исследование современных средств защиты информации Студент Алимов К. Н. Группа 1540121У.docx
Добавлен: 23.11.2023
Просмотров: 92
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
2.2 Сигнатурный метод
Существует два принципа работы антивирусного ПО – это сигнатурный метод и эвристический.
Сигнатурный метод заключается в выявлении характерных идентифицирующих свойств каждого вируса и поиске вирусов при сравнении файлов с выявленными свойствами. Одним из важных свойств сигнатурного анализа является точное определение типа вируса. Это позволяет занести в базу как сигнатуры, так и способы лечения вируса.
Достоинства этого метода:
-
Отработанная надежность. Метод применяется давно и с успехом, можно сказать, что это основной метод обнаружения вируса; -
Высокое быстродействие.
Недостатки:
-
Проблема лавинообразного увеличения сигнатур. Виноваты и рост количества новых вирусов, и способность видоизменяться у «старых». В итоге базы сигнатур вырастают до неприличных размеров, так что теряется второе достоинство метода. Ситуацию разрешают путем особых оптимизаций, когда одна сигнатура описывает сразу множество вирусов, однако при этом возникает проблема ложных срабатываний, что уменьшает первое достоинство; -
Проблема выявления новых вирусов. Считается, что сами пользователи вносят слишком маленький вклад в увеличение базы данных вирусов. То есть обнаружение новых вирусов – это как будто бы проблема разработчиков антивируса, что с одной стороны кажется справедливым, с другой является нарушением принципа «безопасность – дело каждого». Во многих антивирусах встроена функция «отправить на проверку», которой следует невозбранно пользоваться. Основные методы решения проблемы – это взаимный обмен информацией с другими антивирусными конторами, эвристический, (то есть интеллектуальный, использующих особый алгоритм) поиск вирусов в Интернете, быстрая реакция во время эпидемий и сознательность системных инженеров, анализирующих подозрительную активность в сети.
Алгоритм работы сигнатурного метода.
Одним из наиболее распространённых сигнатурных методов выявления атак является метод контекстного поиска определённого множества символов в исходных данных. Данный метод позволяет эффективно выявлять атаки на основе анализа сетевого трафика, поскольку данный метод позволяет наиболее точно задать параметры сигнатуры, которую необходимо выявить в потоке исходных данных.
Еще один метод — это метод анализа состояний, который формирует сигнатуры атак в виде последовательности переходов ИС из одного состояние в другое. При этом каждый такой переход связан с наступлением в ИС определённых событий, которые определяются в параметрах сигнатуры атаки.
Методы, базирующиеся на экспертных системах, позволяют описывать модели атак на естественном языке с высоким уровнем абстракции. Экспертная система, которая лежит в основе методов этого типа, состоит из базы фактов и базы правил. Факты представляют собой исходные данные о работе ИС, а правила - методы логического вывода об атаке на основе имеющейся базы фактов. Все правила экспертной системы записываются в формате "если <...>, то <...>". Результирующая база правил должна описывать характерные признаки атак, которые должна обнаруживать СОА.
2.3 Эвристический метод
Многие антивирусные программы содержат в себе модуль так называемого эвристического поиска вредоносных программ. Суть метода в анализе поведения всех запускаемых программ. Если в процессе работы системы вдруг обнаруживается «подозрительное» поведение приложения, то есть программа вдруг начинает делать то, что раньше не делала, то срабатывает тревога и эвристический модуль сообщает пользователю о потенциальной угрозе.
Достоинства метода:
-
Весьма перспективное направление, в будущем возможности эвристического модуля возрастут и компьютер, и информация будут лучше защищены от неожиданных и новейших угроз; -
Эвристический модуль может реагировать на угрозы, информации о которых нет в базе сигнатур.
Недостатки:
-
Ложное срабатывание на безопасные события. В итоге пользователь может в раздражении отключить эвристический модуль, уменьшив защиту; -
Из-за особенностей работы эвристического модуля есть проблема излишнего потребления вычислительных мощностей.
Алгоритм работы эвристического метода.
Методы эвристического сканирования не обеспечивают гарантированной защиты от новых, отсутствующих в сигнатурном наборе компьютерных вирусов, что обусловлено использованием в качестве объекта анализа сигнатур ранее известных вирусов, а в качестве правил эвристической верификации — знаний о механизме полиморфизма сигнатур. В то же время, поскольку этот метод поиска базируется на эмпирических предположениях, полностью исключить ложные срабатывания нельзя.
В ряде случаев эвристические методы оказываются чрезвычайно успешными, к примеру, в случае очень коротких программных частей в загрузочном секторе: если программа производит запись в сектор 1, дорожку 0, сторону 0, то это приводит к изменению раздела накопителя. Но кроме вспомогательной программы fdisk эта команда больше нигде не используется, и потому в случае её неожиданного появления речь идёт о загрузочном вирусе.
В процессе эвристического анализа производится проверка эмулируемой программы анализатором кода. К примеру, программа инфицирована полиморфным вирусом, состоящим из зашифрованного тела и расшифровщика. Эмулятор кода считывает инструкции в буфер антивируса, разбирает их на инструкции и производит их исполнение по одной инструкции, после этого анализатор кода подсчитывает контрольную сумму и сверяет её с той, которая хранится в базе. Эмуляция будет продолжаться до тех пор, пока необходимая для подсчета контрольной суммы часть вируса не будет расшифрована. Если сигнатура совпала — программа определена.
3 Рынок современного антивирусного программного обеспечения
3.1 Kaspersky Anti-Virus
Основные функции:
-
Мониторинг и обновление ПО. Важной особенностью Kaspersky Anti-Virus стало то, что защитник научился анализировать установленное в системе программное обеспечение и обновлять его при необходимости. Зачастую уязвимости проникают не через саму операционную систему, а через сторонние программы. Даже после того, как разработчик выпускает обновления с целью закрыть известные уязвимости, пользователь часто не знает об этом, теперь заботу об обновлениях готов взять на себя антивирус Касперского. Такой подход позволит повысить эффективность защиты от вредоносных угроз; -
Функция «Безопасное соединение». Защитник теперь способен обеспечить безопасное подключение к общественным точкам доступа, например, общедоступный Wi-Fi в отелях, кафе, аэропортах и других местах. Несомненно, это повышает уровень безопасности, ведь злоумышленники зачастую используют публичные сети для распространения вирусов; -
Движок «Анти-Баннер». Усовершенствованный движок «Анти-Баннер» позволяет отключать изнуряющую рекламу на сайтах. Большинство источников, как правило, чересчур перегружено агрессивной рекламой, ее отключение позволяет ускорить загрузку страниц и освободить часть ресурсов компьютера. Естественно, при желании этот функционал можно не использовать; -
Облачные антивирусные технологии. В основе технологии лежит сбор и анализ данных от других пользователей, которые согласны предоставлять сведения о найденных на их компьютерах различных вредоносных приложениях. Это позволяет разработчикам оперативно добавлять новые обнаруженные вирусы в базу данных сигнатур. При желании пользователь может не делиться данными со своего компьютера; -
Технология Exploit Prevention. Программа антивирусной защиты научилась осуществлять контроль приложений и файлов, анализ процессов, а в случае обнаружения уязвимости, блокировать их работу; -
Система Watcher. Основана на собственных программных разработках специалистов Лаборатории Касперского. Система способна контролировать действия процессов, находить вредоносные последствия вирусов и устранять их путем возврата системы в исходное состояние; -
Обновленный дизайн. Новая версия антивируса обзавелась лаконичным и понятным для пользователя интерфейсом, меню стало интуитивно понятным. Многие отмечают, что дизайн выполнен в стиле Windows 10, образуя единый «плоский» дизайн.
Недостатки:
-
Невысокая скорость сканирования. Скорость работы сканера в Kaspersky Anti-Virus 2017 ниже, чем у некоторых конкурентов. Это связано с тем, что в процессе сканирования применяется несколько уникальных технологий детектирования, выполнение алгоритмов которых требует определенного времени; -
Высокая стоимость. Стоимость лицензии Kaspersky Anti-Virus обойдется дороже конкурентных решений, далеко не каждый пользователь готов заплатить существенную сумму денег, хоть продукт и оправдывает свою цену.
3.2 ESET NOD32
Основные функции:
-
Незначительное потребление ресурсов. В сравнении с конкурентами, приложение от ESET существенно меньше нагружает систему, при этом, скорость сканирования показывает отличные результаты. Это обусловлено высокой эффективностью взаимодействия с аппаратной частью, благодаря тому что программа написана на низкоуровневом языке программирования Ассемблер; -
Кроссплатформенность. Версии NOD32 существуют под все известные платформы: Windows, Linux, OS X и даже для мобильной операционной системы Android. Этот факт доказывает серьезное отношение разработчиков к своему продукту, а у пользователя есть возможность широкого применения; -
Технология ThreatSense. На сегодняшний день, когда вирусные угрозы сильно эволюционировали, недостаточно сигнатурного метода обнаружения. ThreatSense является собственной запатентованной технологией компании и основана на эвристическом анализе потенциальных угроз. Как утверждают сами разработчики, она работает на опережение планов вирусописателей. Это не замена основному методу обнаружения, а расширение, которое базируется на совокупности сложных методов и алгоритмов анализа. Данный метод позволяет находить и нейтрализовать угрозы, которых даже нет в базе сигнатур. Приложение осуществляет запуск подозрительного файла в изолированной виртуальной среде и отслеживает его поведение и структуру кода. Если характер действий рассматриваемого объекта несет фатальный характер, антивирус немедленно реагирует, блокируя его, затем уведомляет пользователя и отправляет данные анализа разработчикам; -
Система распространения обновлений. Обновления для баз данных сигнатур распространяются достаточно часто, иногда даже несколько раз в день, разработчики «держат руку на пульсе» и стремятся обезопасить пользователей при выявлении новых видов угроз. Пакеты обновлений составляют незначительный объем данных, что упрощает их получение пользователем даже в условиях низкоскоростного и нестабильного подключения к сети интернет. ESET использует систему «зеркальных» серверов, даже если какой-то из них по каким-то причинам выйдет из строя, рассылка обновлений будет осуществляться посредством оставшихся, благодаря чему пользователи в любом случае своевременно получат важные обновления; -
Интерфейс. Приложение обладает интуитивно понятным и лаконичным интерфейсом, что упрощает процесс взаимодействия с пользователем. Структура меню настроек позволит с легкостью разобраться даже новичку и настроить антивирус на свое усмотрение.
Недостатки:
-
Глубина сканирования. Специалисты отмечают возможную недостаточность глубины сканирования каталогов с объемной структурой, в результате, некоторые вредоносные объекты могут быть не обнаружены. Для домашнего использования этот недостаток не критичен, так как воссоздать такие условия, когда сканер не сможет проверить все файлы достаточно сложно, к тому же велика вероятность того, что этот недостаток будет устранен разработчиками в будущих релизах;
-
Ложные срабатывания. Некоторые пользователи замечают ложные срабатывания на файлы, не являющиеся вредоносными. Это происходит достаточно редко и не столь критично, хоть и может вызвать панику у неопытных пользователей.
3.3 Антивирус Avast
Основные функции:
-
Сканер вирусов в реальном времени. Отслеживает как подозрительную активность приложений, так и веб-трафик, а также поступающую почту. Для этого нужно привязать почтовый ящик к Avast и настроить, при необходимости, спам-фильтрацию. Впрочем, почтовый ящик проверяется и без специальных настроек пользователя на наличие подозрительных ссылок и вложений; -
Автоматическая блокировка подозрительных сайтов, содержащих ссылки на вредоносное программное обеспечение, а также фишинговые ресурсы. Список подобных сайтов постоянно расширяется; -
Поддерживается как анализ на основе регулярно обновляемых сигнатур, так и эвристический анализ. Можно настраивать глубину эвристического анализа по желанию; -
Имеется эмуляция программного кода; -
Во время простоя или демонстрации экранной заставки включается проверка всех компонентов компьютерной системы; -
Поддерживается удаление шпионского программного обеспечения; -
Во время запуска Avast обращается для проверки жесткого диска непосредственно к самим дискам, обходя ОС Windows. На данный момент это едва ли не единственный антивирус, который делает это; -
Поддерживаются облачные технологии; -
Обновления происходят малыми пакетами до 400 раз в сутки. Таким образом можно проводить обновления даже при очень слабом Интернет-соединении; -
Наличие так называемой «песочницы», где производится тестирование подозрительной программы, а затем на основе теста выносится решение о лечении, удалении и т.д; -
Программы имеют свою «репутацию». Чтобы получить отличную репутацию и иметь полный доступ ко всем компьютерным компонентам, программе нужно пройти строгую проверку – Hardened; -
Имеется компонент Software Updater, который автоматически проверяет скачанные из Интернета обновления для сторонних программ. Кроме того, утилита позволяет самостоятельно проводить поиск настроенных обновлений и устанавливать их без участия самих программ; -
Можно очищать браузеры ото всякого рода ненужных дополнений, панелей, баров и т.д; -
Имеются инструменты для оказания удаленной помощи. Само собой, при этом на другом компьютере также должен быть установлен Avast. Можно напрямую подключаться к Рабочему столу удаленного пользователя и управлять им так, как если бы дело происходило непосредственно на «родном» Рабочем столе; -
Существует возможность создания диска для аварийного восстановления и запуска системы после того, как она была повреждена в результате вирусной атаки или просто из-за неосторожных действий со стороны пользователя.