راهنمای خرید : انتخاب بهترین آنتی ویروس

در مقاله پیش رو وارد مباحث پیشرفته تری در مبارزه با بدافزار ها میشویم. در ادامه افزون بر تشریح نحوه کارکرد آنتی ویروس ها، به معرفی روشهای پیشرفته و هوشمند شناسایی بدافزارهای جدید و ناشناخته می پردازیم که امنیت سیستم شما را یک گام فرا تر از بدافزار ها و تهدیدهای روز افزون می برند.


راهکارهای امنیتی، به منظور شناسایی بدافزار ها از تکنیکها و روش های مختلفی بهره میگیرند که رایج ترین و آشنا ترین آنها، مبتنی بر فایلهای بروزرسانی است. در این روش پیش از آنکه بدافزار ها از سوی راهکارهای امنیتی شناسایی شوند، می بایست به روشهایی به دست سازنده راهکارهای امنیتی برسند، به عبارتی باید نمونه ای از آن بدافزار به دست سازنده برسد تا جزئیات لازم به منظور شناسایی، حذف و پاکسازی را از طریق فایلهای بروزرسانی به دست کاربر نهایی برساند. آنچه که این رویه را تا حدود زیادی ناکارآمد میکند، وقفه میان تهیه نمونه و شناسایی آن است. گاهی ممکن است بدافزار ها برای مدت طولانی منتشر شده و سیستم های زیادی را آلوده کرده باشند اما هنوز به دست شرکت های سازنده نرم افزارهای امنیتی نرسیده باشند. همین عامل باعث ناکارآمدی روش های کلاسیک شده و ظهور تکنیک های جدید را اجتناب ناپذیر کرده است.

پاکسازی ویروس و بدافزار در گوشی و کامپیوتر-راهنمای جامع

پاکسازی ویروس و بدافزار در گوشی و کامپیوتر-راهنمای جامع

با استفاده از این راهنمای جامع به‌صورت مرحله‌به‌مرحله و اصولی می‌توانید حجم زیادی از این Malware ها را از بین ببرید و اینکه تأثیر گذاری آنها را بر روی سیستم خود متوقف کنید

به منظور درک بهتر این مشکل تصور کنید که بدافزاری از سوی شخص یا اشخاصی در یکی از شهرهای کشور ما منتشر شود و سیستم های مختلفی را آلوده کند و ما نسبت به وجود آن بر روی سیستم هایمان هیچ اطلاعی نداشته باشیم، این مشکل باعث می شود که شاید تا سال ها بدافزار در حال نشر خود باشد و به دست هیچ شرکت امنیتی نرسد، نمونه مشهود آن بدافزار استاکس نت بود که تا مدت ها از دید همگان پنهان مانده بود. در چنین سناریوی که هر روز و بارها رخ می دهد، ما به راهکاری نیاز داریم که بدون وابسته بودن به شرکت سازنده و فایلهای بروزرسانی، قادر به شناسایی بدافزارها باشد، احتمالاً تصور می کنید که این کار ناممکن است، اما باید بگوییم که به لطف ریاضیات، هوش مصنوعی و ابتکارهای برنامه نویسی، شاهد تکنیک های نوینی در شناسایی بدافزار ها هستیم که شاید درک آنها کمی دشوار باشد. پیش از آنکه به معرفی این تکنیک های پیشرفته بپردازیم، نخست نگاهی داشته باشیم بر شیوه ها و تکنیک های شناسایی بدافزارها.

تشخیص مبتنی بر Signature (فایل های به روزرسانی)

اولین روش تشخیص بدافزارها، مبتنی بر شناسه یا Signature است. این روش بسیار کلاسیک و در عین حال رایج ترین است تقریباً تمامی راهکارهای معمولی مبتنی بر روش تشخیص با Signature هستند و در خط مقدم از مبارزه با بدافزارها قرار می گیرد. برای درک بهتر این روش، به نمونه عینی می پردازیم، راهکارهای امنیتی را پلیس یک شهر و بدافزارها را مجرمان در نظر بگیرید، برای شناسایی و توقف مجرمان از سوی پلیس، می بایست پلیس از پیش نبست به آن ها آگاهی و جزئیاتی داشته باشد وگرنه قادر به شناسایی آنها نیست، فایل های Signature همانند اثر انگشت مجرمین عمل می کنند. این همان روش مبتنی بر شناسه های یکتا یا Signature است. در روش مبتنی بر Signature، پیش از آنکه بدافزاری شناسایی شود، به روش های مختلفی می بایست فایل های مشکوک از سوی سازندگان محصولات امنیتی جمع آوری شوند، پس از جمع آوری، آنها فایل های مشکوک را بررسی می کنند و اگر مطمئن شوند یک فایل مخرب است، مشخصات و الگوهای یکتایی را از آن تهیه می کنند که از طریق آنها بتوان بدافزار را شناسایی کرد. این الگوهای یکتا از کدهای منبع بدافزار استخراج می شوند.

راهنمای خرید : انتخاب بهترین آنتی ویروس

در این کار می تواند مشکلات و موانعی وجود داشته باشد، نخست امری زمان بر و هزینه بردار است، دوم این احتمال وجود دارد که فایل های مشکوک به درستی شناسایی نشوند. اما سومین و مهم ترین مشکل این روش، عدم امکان تهیه نمونه تمامی بدافزارها از همان لحظه انتشار است. بنابراین ممکن است که بدافزاری تا ماه ها و سال ها و حتی هیچگاه به دست شرکت های سازنده نرسد. پس موفقیت این روش هیچگاه نمی تواند ۱۰۰% باشد. پس از آنکه نمونه ای از بدافزارها به دست سازندگان برسد و آنها را شناسایی کنند، جزئیات شناسایی، حذف و پاک سازی از طریق همان فایل های بروزرسانی به موتور آنتی ویروس کاربر ارائه می شود. بنابراین آنچه که به عنوان فایل بروزرسانی ارائه می شود، حاوی شناسه یکتای بدافزارها، نحوه پاک سازی و تعمیرات احتمالی است.

همانطور که پیش تر اشاره شد، مشکل آنجاست که بدافزارها در مدت کوتاهی به دست شرکت های امنیتی نمی رسند و در همین خلاء به فعالیت های مخرب و آلوده کردن سیستم های بیشتر و بیشتری ادامه می دهند. در حالی که شناسایی بدافزارهای جدید خود یک مشکل است، مشکل جدی تری نیز وجود دارد، باید بپذیریم آنهایی که بدافزارها را خلق می کنند، همیشه یک گام از ما جلوتر هستند. در روش مبتنی بر Signature، شناسه یکتای فایل ها معیار شناسایی قرار می گیرد، اما اگر یک بدافزار شناسه ثابتی نداشته باشد چه طور؟
سازندگان بدافزارها به منظور جلوگیری از شناسایی بدافزارها توسط راهکارهای امنیتی، دست به ابتکارهای هوشمندانه ای زده اند و روش هایی را یافته اند که بدافزارها به طور خودکار در کدهای خود تغییراتی را اعمال می کنند که مانع از استخراج شناسه یکتا می شود. در این تکنیک خالق بدافزار طوری آن را برنامه ریزی می کند، که با رمزنگاری ها و تغییرات پیاپی و مکرر در خود، مانع از استخراج شناسه یکتا شود. برای نمونه یک بدافزار توسط شناسه یکتا شناسایی می شود اما پس از مدتی شناسه نمونه های زنده دیگر آن تغییر می کند و با همان شناسه قبلی قابل شناسایی نیست. جهش های بدافزارها در دنیای واقعی به ویروس های بیولوژیکی شباهت دارد که پس از مدتی یک واکسن علیه آنها ناکارآمد می شود و به گونه جدیدی جهش می یابند. به این نوع بدافزارها که قادر به جهش هستند، Polymorphic گفته می شود. این دست از بدافزارهای تغییر پذیر، با توجه به تکنیک های بکار گرفته شده، به نوع های مختلفی تقسیم می شوند.
و بازهم یکی دیگر از مشکلات روش تشخیص مبتنی بر Signature آنجاست که پس از آنکه بدافزار از سوی نرم افزارهای امنیتی شناسایی می شود، خالق آن دست به تغییراتی در کد منبع بدافزار می زند و گونه جدیدی را خلق می کند که شناسه دیگری داشته باشد. به گونه های مختلف از یک بدافزار واحد Variant می گویند که گاهی تنها شناسه یکتای آن تغییر یافته و گاهی گونه متفاوتی است.
هنگامی که شما فایلی را اسکن می کنید و با به طور خودکار از سوی راهکار امنیتی بررسی می شود، شناسه یکتای آن استخراج و با پایگاه داده بدافزارها یا همان فایل های بروزرسانی مقایسه می شود، اگر تطابقی یافت شود، آن فایل بدافزار و اگر هیچ شناسه ای در پایگاه داده وجود نداشته باشد، آن فایل غیر مخرب تشخیص داده می شود، به همین سادگی! احتمالاً نسبت به روش تشخیص مبتنی بر Signature ناامید و یا بدبین شده اید، اما باید بگوییم که هنوز هم رایج ترین و اصلی ترین روش مبارزه با بدافزارها است. اغلب نرم افزارهای امنیتی از این روش در کنار تکنیک های دیگری به صورت توام بهره می گیرند.
شرکت های سازنده محصولات امنیتی به طور پیوسته در حال جمع آوری بدافزارهای جدیدی و استخراج شناسه یکتای آن ها هستند و این شناسه ها، همان فایل های بروزرسانی هستند که روزانه چندین مرتبه ارائه می شود. با ارائه هر بروزرسانی جدیدی، تعداد شناسه بدافزارها بیشتر می شود.

اکنون که به معایب روش مبتنی بر Signature آشنا شدید، احتمالاً به خوبی می دانید که به تنهایی نمی تواند شما را در برابر تهدید ها و بدافزار ها محافظت کند. شرکت های امنیتی برتر، روش ها و تکنیک های منحصربه فردی را توسعه داده اند که شناسایی بدافزارهای که توسط روش مبتنی بر Signature قابل تشخیص نبوده اند را ممکن می کند. اما متاسفانه توسعه این تکنیک های پیشرفته با هزینه ها و دانش بسیار بالای همراه است و از این رو در تمامی محصولات یافت نمی شود. همچنین کارآمدی آن ها در محصولات مختلف متفاوت است، برخی تنها مشکلات را بیشتر می کنند و برخی قادر به شناسایی بدافزارها بدون نیاز به فایل های بروزسانی هستند. در ادامه به معرفی و شرح تکنیک های پیشرفته شناسایی بدافزارها می پردازیم. در نظر داشته باشد که همه این تکنیک ها در تمامی محصولات یافت نمی شود و بسیاری از راهکارهای غیرحرفه ای، تنها به تشخیص مبتنی بر Signature بسنده می کنند.

تشخیص مبتنی بر هوش مصنوعی-Heuristic

شرکت های امنیتی بزرگ و با سابقه در زمینه انتی ویروس ، با دردست داشتن سرمایه و دانش زیاد، به ابداع روش های جدیدی برای شناسایی و تشخیص بدافزارها زده اند که بیشتر مبتنی بر هوش مصنوعی و منطق هستند. در این روش ها سعی می شود بدافزارهایی که توسط روش مبتنی بر Signature شناسایی نشده اند، شناسایی شوند. بنابراین این روش قادر به شناسایی بدافزارهای جدید و ناشناخته بدون وابستگی مستقیم به فایل های بروزرسانی است. البته موفقیت این روش حکایت خود را دارد و همیشه با موفقیت همراه نیست.

راهنمای خرید : انتخاب بهترین آنتی ویروس

یکی از این روش های نوین در تشخیص بدافزارها در آنتی ویروس ها، مبتنی بر Heuristic یا تکنیک های اکتشافی است. یکی از رایج ترین و اصلی ترین تکنیک های Heuristic، یافتن شباهت ها میان فایل ها با بدافزارهای پیش تر شناسایی شده است. به همین منظور فایل مشکوک دیگر نه از نظر شناسه یکتا بلکه از نظر یافتن شناسه های مشابه بررسی می شوند. اساس روش Heuristic مبتنی بر این واقعیت است که میان بدافزارها و به طور خاص گونه های جدیدی از بدافزارهای شناخته شده، الگو ها و قطعه کدهای مشترکی وجود دارد. تحلیل Heuristic به این صورت است که کد اجرایی فایل ها با الگوهای پیش تر شناخته شده بدافزارها تا جایی مقایسه می شوند که یک الگوی مشابه یافت شود. گاهی طی یک بررسی چندین الگوی مشابه یافت می شود که موتور راهکار امنیتی را به سمت تشخیص درست هدایت می کند. فرایند بررسی Heuristic وقت گیر تر از روش مبتنی بر Signature است و با مصرف منابع سیستمی نیز همراه است. از این رو هنگامی که یک فایل مورد تحلیل قرار می گیرد، معمولاً با افت کارایی سیستم و یا وقفه در اجرای فایل مورد بررسی مواجه می شویم.

موفقیت روش های Heuristic در راهکارهای امنیتی شرکت های مختلف کاملاً متفاوت است و در برخی محصولات بسیار کارآمد و در برخی دیگر دردسری بیش نیست. یکی از معایب روش های Heuristic در کنار مصرف منابع سیستمی و افت کارایی، احتمال تشخیص اشتباه است. همواره این احتمال وجود دارد که یک فایل غیر مخرب به عنوان بدافزار شناسایی شود. میزان اشتباه روش Heuristic بازهم در محصولات مختلف متفاوت است. بنابراین با اینکه روش های Heuristic در شناسایی بدافزارها مفید هستند، اما دقیق نبوده و مشکلاتی نیز دارند.

تشخیص مبتنی بر تحلیل رفتاری-Behavioural در انتی ویروس ها

دومین تکنیک پیشرفته شناسایی بدافزارها در آنتی ویروس ها، مبتنی بر تحلیل رفتاری یا Behavioural است. در این روش رفتار فایل های اجرای از نظر مخرب بودن و یا احتمال مخاطره آمیز بودن بررسی می شود. به همین منظور رفتار فایل ها پس از اجرا بررسی می شود و اگر الگوی مخربی تشخیص داده شود، آن فایل ممکن است که مهر بدافزار بخورد. اما روش Behavioural چگونه کار می کند؟ پیش از اجرای یک فایل اجرایی و حتی پس از اجرای آن، کد ها و رفتارهای آن فایل بررسی و تحلیل می شوند، معمولاً بدافزارها رفتارهای بسیار مشابه ای نظیر دسترسی به منابع مختل، ارتباط با اینترنت، تغییرات در سطح سیستم عامل، دستکاری تنظیمات و.. از خود بروز می دهند. از این رو یافتن رفتارهای مشکوک از بدافزارها می تواند بسیار مفید باشد. یکی از معایب روش تحلیل رفتاری، مصرف منابع سیستم وهمان افت کارایی است.
اما مشکل اصلی در تشخیص اشتباه فایل های غیرمخرب به عنوان بدافزار است. تشخیص اشتباهی فایل های غیر مخرب به عنوان بدافزار که از آن به عنوان False Positive نام برده می شود، مشکلی جدی در روش های پیشرفته شناسایی بدافزارها است. بازهم میزان False Positive در میان محصولات مختلف کاملاً متفاوت است. با اینکه دو روش Heuristic و Behavioural شباهت هایی دارند، اما عملکرد آن ها متفاوت است. در روش Heuristic کدهای اجرایی فایل ها به منظور یافتن الگویی مشابه با بدافزارها و یا کدهای مخرب بررسی می شود اما در روش Behavioural، رفتارهای فایل های اجرایی پس از اجرا بررسی می گردد. در تحلیل رفتاری یا Behavioural، معمولاً فایل اجرایی ابتدا در یک محیط مجازی و قرنطینه (Sandbox) اجرا می شوند، سپس تمامی رفتارهای آن ثبت و تحلیل می شود، اگر رفتار مخرب و یا مخاطره آمیزی شناسایی نشود، فایل فرصت اجرا در محیط واقعی سیستم عامل را می یابد اما کماکان رفتارها تحت نظر گرفته می شوند.

راهنمای خرید : انتخاب بهترین آنتی ویروس

الگوریتم های این دو روش بسیار پیچیده تر آن چیزی هستند که ما به سادگی آن را شرح دادیم. در پشت تکنیک Heuristic، الگوریتم های بسیار پیچیده ریاضیاتی و منطقی قرار گرفته اند و نیز از هوش مصنوعی به منظور شناسایی بدافزارهای جدید بهره گرفته می شود. اما روش تحلیل رفتاری مقداری ساده تر است.
هر دو این روش ها توانایی شناسایی بدافزارها را به طرز کاملاً چشمیگری افزایش می دهند و وجود آنها به وضوح بهتر از نبودشان است. متاسفانه این تکنیک ها در محصولات شرکت های نوپا به چشم نمی خورند و در برخی محصولات نیز بسیار غیر دقیق و دردسر آفرین هستند. در همین حال خوشبختانه محصولاتی نیز وجود دارند که به طرز حیرت انگیزی از این تکنیک های پیشرفته بهره می گیرند و قادر به شناسایی بدافزارها حتی بدون نیاز به بروزرسانی هستند. البته باید در نظر داشت که گاهی بروزرسانی ها با بهبود هایی برای روش های Heuristic و Behavioural همراه هستند و هرچه که محصول به روز تر باشد، کارآمد تر می شوند. همچنین در قالب بروزرسانی ها، گاهی موتورهای Heuristic و Behavioural به روز می شوند. از این رو توصیه می شود که همواره از آخرین نگارش نرم افزارهای امنیتی استفاده کنید.

معرفی نهاد مستقل اعتبار بخشی به راهکارهای امنیتی AV-Comparatives

در دنیای امنیت هیچگاه نمی توان صرفاً به ادعای سازندگان راهکارهای امنیتی بسنده کرد و بررسی عملی همه جانبه تمامی راهکارهای موجود نیز تقریباً برای کاربران ممکن نیست. از این رو نهاد های مستقلی به طور حرفه ای و بر اساس رویه های استانداردی به مقایسه و بررسی راهکارهای امنیتی از جنبه های مختلفی می پردازند. یکی از این نهاد های مشهور AV-Comparatives نام داد که مستقل بوده و بررسی های آن از اعتبار بسیار بالایی برخوردار هستند. جوایز کسب شده از سوی نهاد AV-Comparatives برای سازندگان محصولات امنیتی یک افتخار محسوب می شود.

راهنمای خرید : انتخاب بهترین آنتی ویروس

AV-Comparatives تست ها و بررسی های مختلفی را از جنبه های مختلفی بر روی راهکارهای امنیتی انجام می دهد که همگی بر اساس رویه های استاندارد، مشخص و شناخته شده ای صورت می گیرند. یکی از این آزمون ها Heuristic / Behaviour یا توانایی تشخیص بدافزارهای جدید بدون وابستگی به بروزسانی نام دارد. در این آزمون محصولات مختلف با بدافزارهای جدید و ناشناخته ای بررسی می شوند. به این منظور مدتی آنها را بروزرسانی نمی کنند و سپس به بررسی تشخیص بدافزارهای جدید می پردازند. قاعدتاً هرچه بدافزارهای بیشتری شناسایی شوند، مطلوب تر است. همانطور که پیش تر اشاره شد، یکی از مشکلات روش های Heuristic و Behavioural، تشخیص اشتباهی فایل های سالم به عنوان مخرب است. این زور هرچه تعداد تشخیص های اشتباه کمتر و یا نزدیک به صفر باشد، مطلوب تر است. بنابراین در آزمون Heuristic / Behaviour توانایی محصولات امنیتی در شناسایی بدافزارهای جدید و ناشناخته بدون وابستگی به فایل های Signature مورد بررسی قرار می گیرد.
در این آزمون توانایی تشخیص بدافزارهای جدید بدون وابستگی به فایل های بروزرسانی مورد بررسی قرار می گیرد. خط آبی نشانگر توانایی راهکار امنیتی پیش فرض مایکروسافت در ویندوز ۷ است که ۵۲٫۸% بدافزارهای جدید را در این آزمون شناسایی کرده است.

راهنمای خرید : انتخاب بهترین آنتی ویروس

میله سبز بیانگر درصد بدافزارهای شناسایی شده، میله زرد بیانگر بدافزارهای به طور قطعی تشخیص داده نشده (تصمیم نهایی با کاربر) و میله قرمز بیانگر بدافزارهای تشخیص داده نشده است. بنابراین مطلوب ترین حالت ممکن تشخیص تمامی بدافزارها است.
در آخرین بررسی صورت گرفته؛ BitDefender قادر به شناسایی ۹۹% بدافزارها به روش هایی غیر از Signature بوده است. اما همانطور که پیش تر گفته شد، عامل دیگری بر کارآمدی تکنیک های Heuristic و Behavioural تاثیرگذار است و آن تعداد تشخیص های اشتباه یا False Positive است. در جدول زیر تعداد False Positive ها آمده است.

با در نظر گرفت توانایی شناسایی بدافزارهای جدید و تعداد تشخیص های اشتباه، AV-Comparatives محصولات امنیتی مورد بررسی قرار گرفته را به صورت زیر رتبه بندی کرده است:

راهنمای خرید : انتخاب بهترین آنتی ویروس

هدف از این مقاله، معرفی تکنیک های پیشرفته شناسایی بدافزارها و ویروس ها و مقایسه ای اجمالی میان محصولاتی بود که از این فناوری ها بهره می گیرند و هیچ گونه قضاوتی صورت نگرفته است، چرا که بر این باور هستیم کاربران خود باید آگاهانه انتخاب کنند و از این رو تنها به اطلاع رسانی بسنده می کنیم. در مقالات آتی به مباحث بیشتری از جمله مبارزه با تهدید های اینترنتی، صفحات جعلی و بیشتر از آن خواهیم پرداخت.

منبع:شهرسخت افزار

avatar
علی

سلام دستتون درد نکنه عالی بود

محمد اصغری

سلام خواهش میکنم خوشحالیم که مطالب وب سایت به کارتون اومده