نرم افزار آنتی ویروس به طور خاص برای تجزیه و تحلیل، شناسایی و اغلب حذف یا قرنطینه تهدیدات طراحی شده است. تحلیلگران آنتیویروس مستقیماً به تحلیلگران انسانی اشاره نمیکنند، بلکه به مؤلفهها یا الگوریتمهای درون نرمافزار اشاره میکنند که فایلها، رفتارها و فعالیتها را تجزیه و تحلیل میکنند تا مشخص کنند که آیا مخرب هستند یا خیر؟ در ادامه این مطلب، روشهای تشخیص و مقابله با تهدیدات بر اساس تحلیلگرهای آنتی ویروس را شرح میدهیم.
اساساً، این تحلیگرهای آنتی ویروس تکنیک ها و روش های مختلفی را که نرم افزار برای تشخیص و مقابله با تهدیدات استفاده میکند، به کار میگیرند که برخی از این روشها شامل موارد زیر است:
تجزیه و تحلیل مبتنی بر امضا:
این مولفه فایلها را با پایگاه دادهای از امضای بدافزار شناخته شده بررسی میکند. اگر تطابق وجود داشته باشد، فایل به عنوان مخرب علامت گذاری شده است.
تجزیه و تحلیل اکتشافی:
به جای تکیه بر امضاهای شناخته شده بدافزار، تجزیه و تحلیل اکتشافی رفتار یا ویژگیهای فایلها را بررسی میکند. اگر یک فایل به گونهای رفتار کند که با بدافزار سازگار باشد، حتی اگر با امضای آن مطابقت نداشته باشد، نرم افزار ممکن است آن را علامت گذاری کند.
تجزیه و تحلیل رفتاری:
برخی از ابزارهای آنتی ویروس بر نحوه رفتار نرم افزار در زمان واقعی نظارت میکند. اگر نرم افزار پس از اجرا، مشابه بدافزار شناخته شده عمل کند علامتگذاری میشود یا مطابق با آن برخورد میشود.
Sandboxing:
این یک محیط کنترل شده و ایزوله در نرم افزار آنتی ویروس است که در آن فایلهای مشکوک اجرا میشوند. مؤلفه تحلیلگر رفتار فایل را مشاهده میکند تا بدون به خطر انداختن سیستم، مخرب بودن آن را تشخیص دهد.
تجزیه و تحلیل مبتنی بر Cloud:
برخی از نرمافزارهای آنتی ویروس مدرن میتوانند فایلها یا رفتارهای مشکوک را با پایگاه دادههای ابری گسترده ارجاع دهند تا مشخص کنند که آیا مخرب هستند یا خیر.
یادگیری ماشینی و تجزیه و تحلیل مبتنی بر هوش مصنوعی:
برخی از ابزارهای پیشرفته آنتی ویروس از یادگیری ماشینی و هوش مصنوعی برای پیش بینی، شناسایی و تجزیه و تحلیل تهدیدهای جدید و در حال تکامل استفاده میکنند.
تحلیلگر نرم افزار آنتی ویروس از الگوریتمهایی ساخته شده است که میتواند تهدیدات را شناسایی و واکنش نشان دهد. در ادامه به بررسی این الگوریتمها میپردازیم:
عمق و وسعت تجزیه و تحلیل:
راه حلهای آنتی ویروس مدرن فقط به سطح یک فایل یا رفتار نگاه نمیکنند. آنها میتوانند عمیقاً به دنبال الگوها یا محرکهایی باشند که ممکن است در لایههای پنهانی باشند یا فقط تحت شرایط خاص فعال شوند.
تحلیل زمینهای:
گاهی اوقات، عملکرد یک فایل ممکن است به تنهایی بی ضرر به نظر برسد، اما وقتی در یک زمینه گستردهتر دیده شود مشکوک میشود. به عنوان مثال، دسترسی به اینترنت ممکن است برای بسیاری از برنامهها معمول باشد، اما اگر یک برنامه پس از خواندن فایلهای حساس محلی به یک IP مخرب شناخته شده دسترسی پیدا کند، این زمینه میتواند یک پرچم قرمز باشد.
تشخیص بدافزار چند شکل:
بدافزار پیشرفته کد خود را تغییر میدهد تا از تشخیص فرار کند. هر بار که منتشر میشود میتواند خود را دوباره بنویسد و تشخیص مبتنی بر امضا را بی اثر میکند آنتی ویروس از روشهای پیچیدهای برای تشخیص الگوها و رفتارهای اساسی که چنین بدافزارهایی نشان میدهند، صرف نظر از تغییرات سطح آن استفاده میکنند.
قرنطینه کردن فایل:
هنگامی که یک فعالیت یا فایل مشکوک تشخیص داده شود، آنتی ویروس می تواند اقدامات مختلفی را انجام دهد. ممکن است عملکرد را مسدود کند، فایل را قرنطینه کند یا حتی آن را حذف کند. راهحلهای پیشرفته همچنین ممکن است اطلاعات دقیقی در مورد تهدید در اختیار کاربر قرار دهند.
تشخیص تهدید Zero-Day:
تهدیدات Zero-Day آسیبپذیریهایی هستند که قبل از اینکه فروشنده نرمافزار از آنها آگاه شود، مورد سوء استفاده قرار میگیرند. آنتیویروس پیشرفته از تکنیکهای تشخیص مبتنی بر رفتار و اکتشافی برای شناسایی فعالیتهای مخرب استفاده میکنند، حتی اگر از آسیبپذیری ناشناخته قبلی ناشی شوند.
بازخورد کاربران:
برخی از ابزارهای آنتی ویروس به کاربران این امکان را میدهند که تهدیدهای شناسایی نشده را علامتگذاری کنند، که نرمافزار ممکن است آنها را بیشتر تجزیه و تحلیل کند. این بازخورد به بهبود الگوریتمهای تشخیص کمک میکند.
قابلیت سفارشی سازی و کنترل کاربر:
راه حلهای پیشرفته آنتی ویروس به کاربران اجازه میدهد تا حساسیت و رفتار تحلیلگر آنتی ویروس را سفارشی کنند. به عنوان مثال، کاربران ممکن است بتوانند قوانینی را تنظیم کنند، برنامههای خاصی را در لیست سفید قرار دهند، یا اسکن در زمان واقعی را تنظیم کنند.
