ايتنا - شناسايي براساس رفتار

اين رشد فزاينده شركتهاي امنيتي را جهت شناسايي و مقابله با Malwareهاي جديد تحت فشار قرار مي‌دهد.

به گزارش ایتنا، اگرچه اكثر توسعه‌دهندگان نرم‌افزارهاي آنتي‌ويروس با راهكارهاي شناسايي مكرر و سريع حتي ساعتي را به‌كار برده‌اند، اما همچنان شكاف مشهودي در محافظت و شناسايي آلودگي‌هاي مخربها به چشم مي‌خورد.

تعداد نرم‌افزارهاي بدخواهي (Malware) كه توسط نرم‌افزارهاي امنيتي شناسايي نمي‌شوند در حال افزايش است؛ كه اين خود ريسك معني‌داري را به كاربران اينترنت تحميل مي‌كند.

به گزارش ایتنا به نقل از VirusTotal.com، سرويسي كه فايل‌هاي مشكوك را آناليز مي‌كند، گزارش داده است كه بيش از ۳۰% بدافزارهاي جديد ناشناخته مي‌باشند.

بدين لحاظ نياز به يك سيستم رفتارشناسانه محسوس است، كه توانايي رصد بدافزارها را حتي بدون بروزرساني آنتي‌ويروس، براساس آناليز رفتار فايلهاي اجرايي داشته باشد. چيزي فراتر از ابزار شناسايي اكتشافي فعلي كه در نرم‌افزارهاي امنيتي استفاده مي‌شود.

اين ابزارها آنطور كه براي مقابله با تروجان‌ها و جاسوس‌افزارها براساس شناسايي رفتار به خوبي پياده‌سازي شده‌اند، براي فايلهاي آلوده به ويروسها نه.

مهمترين چالش پيشروي رفتارشناسي فايلهاي آلوده، توانايي تشخيص هويت رفتار ويروس‌هاي شناخته شده و ناشناخته و شناسايي پردازش‌هاي قانوني به عنوان ويروس مي‌باشد.

پيدايش خصيصه رفتارشناسانه مؤثر، مي‌بايست براساس مشخصاتي از ويروس كه به‌طور مستمر در همه ويروس‌ها يافت مي‌شوند، شكل گيرد.

آنچه كه بيشتر محصولات امنيتي تجاري به آن توجه مي‌كنند، واكنش در مواقع اضطرار در برابر آلوده‌كننده‌هاست. قابل توجه است كه محصولات امنيتي شناسايي برپايه رفتار را براي كشف چنين مخرب‌هايي فراموش كرده‌اند.

آقاي راجش نيكام، تحليل‌گر ارشد بدافزارها در شركت تكنولوژي‌هاي كوييك‌هيل مقاله "كشف برپايه رفتار براي فايل‌هاي آلوده" را در كنفرانس بين‌المللي اوار ۲۰۱۰ كه در تاريخ ۱۸ و ۱۹ نوامبر در بالي اندونزي برگزار گرديد ارائه نمودند.

در اين مقاله آقاي راجش تكنيك نويني را براي كشف آلودگي‌ها براساس رفتار آنها عرضه نمودند.

اين پياده‌سازي براساس مانيتورينگ فايل‌سيستم به همراه مشاهده اكتشافاي بر روي اصلاحات فايل‌هاي اجرايي قابل حمل (Portable Executable) انجام شده توسط برنامه‌هاي كاربردي كامپيوتر، صورت مي‌پذيرد.

اگر برنامه‌اي پيدا شد كه سرآيند فايل PE را تغيير دهد و كدي مطابق با الگوي مشابه به آن بيفزايد، مي‌تواند به عنوان يك رفتار آلوده‌ساز درنظر گرفته شود.

چنين برنامه‌هايي مي‌توانستند پيش از دسترسي نوشتن در فايل PE مسدود شوند.

اين مقاله شامل پياده‌سازي‌هاي شناسايي بر اساس رفتار و نتايج آن، و چالش‌هاي آلوده‌كننده‌هاي رايج كه در ۶ ماهه گذشته مشاهده شدند مي‌باشد.

رويكرد شناسايي بر اساس رفتار مي‌تواند به كاهش وقايع آلوده‌ساز بحراني در شبكه‌هاي سازماني و زيان‌هاي سيستمي ناشي از آن كمك نمايد.

همچنين اين نگرش مي‌تواند آلودگي‌هاي ناشناس را از روي رايانه‌هاي كاربران جمع‌آوري كرده و به روش سنتي اقدام به پردازش نمايد.

آقاي Rajesh Nikam گفت: شناسايي براساس رفتار، كليدي نهايي براي محافظت جامع در برابر ويروسها، راهكاري است كه از آن نمي‌توان صرفنظر كرد. ما در Quick Heal Technologies بر روي پياده‌سازي اين رويه در نسخه‌هاي آينده محصولات خود در حال تحقيق و كار هستيم.