لا تعد الفيروسات الإرشادية نوعًا محددًا من الفيروسات ولكنها تشير إلى طريقة للكشف عن الفيروسات يستخدمها برنامج مكافحة الفيروسات للتعرف على الفيروسات الجديدة غير المعروفة. ومن خلال تطبيق مجموعة من القواعد، أو الاستدلالات، يمكن لهذه البرامج تحديد السلوك المشبوه أو أنماط التعليمات البرمجية التي تتميز بها الفيروسات، وبالتالي تمكين اكتشاف التهديدات التي لم يتم تعريفها بشكل واضح في قاعدة بيانات الفيروسات.
ظهور وتطور الكشف عن الفيروسات الإرشادية
نشأ مفهوم الكشف الإرشادي في الأيام الأولى لأمن الكمبيوتر، في أواخر الثمانينيات وأوائل التسعينيات تقريبًا. وقد تم تقديمه كحل للطبيعة الديناميكية المتزايدة للتهديدات السيبرانية. قبل الاكتشاف التجريبي، اعتمدت برامج مكافحة الفيروسات بشكل كبير على الكشف القائم على التوقيع، حيث تم تحديد سلاسل محددة من التعليمات البرمجية المعروفة بأنها جزء من الفيروس. ومع ذلك، كان لهذا النهج قيود، لا سيما مع ظهور الفيروسات متعددة الأشكال التي يمكنها تغيير شفرتها لتجنب اكتشافها.
تم استعارة مفهوم التحليل الإرشادي من الذكاء الاصطناعي والعلوم المعرفية، حيث يستخدم للإشارة إلى حل المشكلات باستخدام أساليب عملية قد لا تكون مثالية أو مثالية ولكنها كافية للوصول إلى الأهداف المباشرة. وفي سياق اكتشاف الفيروسات، يعني هذا تحديد التهديدات المحتملة بناءً على الأنماط والسلوكيات، حتى لو لم يكن الفيروس المحدد معروفًا بالفعل.
الوظيفة المعقدة للكشف عن الفيروسات الإرشادية
يعمل التحليل الإرشادي على مستويين رئيسيين: الملف والسلوكي.
على مستوى الملف، يقوم التحليل الإرشادي بفحص البرامج قبل تشغيلها، والمسح بحثًا عن الخصائص أو الهياكل المشبوهة داخل التعليمات البرمجية. قد يتضمن ذلك البحث عن طبقات متعددة من التشفير (غالبًا ما تستخدمها التعليمات البرمجية الضارة لإخفاء طبيعتها الحقيقية) أو مقتطفات التعليمات البرمجية التي تتطابق مع الأنماط الضارة المعروفة.
على المستوى السلوكي، يقوم التحليل الإرشادي بمراقبة البرامج أثناء تشغيلها والتحقق من الإجراءات التي ترتبط عادةً بالبرامج الضارة. قد يتضمن ذلك تتبع محاولات كتابة البيانات إلى ملف نظام أو إنشاء اتصالات صادرة إلى خادم بعيد.
يساعد كلا مستويي التحليل الإرشادي على اكتشاف التهديدات وتحييدها قبل أن تتسبب في حدوث ضرر.
الميزات الرئيسية للكشف عن الفيروسات ارشادي
الميزات التالية هي جوهرية للكشف عن الفيروسات الكشف عن مجريات الأمور:
- التحليل الديناميكي: يتضمن الاكتشاف الإرشادي مراقبة في الوقت الفعلي لتشغيل النظام وملفاته، مما يمكنه من اكتشاف التهديدات وتحييدها عند حدوثها.
- الدفاع الاستباقي: على عكس الكشف القائم على التوقيع، يمكن للتحليل الإرشادي تحديد التهديدات الجديدة، وليس فقط تلك التي تم تعريفها مسبقًا. وهذا يجعلها أداة حاسمة في مواجهة البرامج الضارة سريعة التطور.
- ايجابيات مزيفة: أحد العوائق المحتملة للتحليل الإرشادي هو أنه يمكنه في بعض الأحيان تحديد البرامج الشرعية على أنها ضارة، مما يؤدي إلى نتائج إيجابية كاذبة. ومع ذلك، أدت التحسينات في التكنولوجيا وتطور الخوارزميات إلى تقليل هذه الحالات بشكل كبير.
أنواع تقنيات التحليل الإرشادي
يستخدم التحليل الإرشادي عددًا من التقنيات للكشف عن الفيروسات، ومن بينها ما يلي:
- تحليل الكود: التحقق من التعليمات البرمجية بحثًا عن أي وظائف أو أوامر مشبوهة، مثل تلك التي تقوم بتعديل ملفات النظام.
- محاكاة: تشغيل البرنامج في بيئة خاضعة للرقابة (المحاكي) ومراقبة سلوكه.
- فك التشفير العام (GD): يستخدم للكشف عن الفيروسات المشفرة. يقوم برنامج مكافحة الفيروسات بتشغيل الفيروس باستخدام المحاكي وينتظر حتى يقوم الفيروس بفك تشفير نفسه قبل تحليل الكود.
- النظم الخبيرة: استخدام الذكاء الاصطناعي والتعلم الآلي لتحليل الكود والتنبؤ باحتمالية كونه فيروسًا.
الاستفادة من التحليل الإرشادي والتغلب على التحديات
الاستخدام الأساسي للتحليل الإرشادي هو في مجال الأمن السيبراني، حيث يشكل جزءًا أساسيًا من مجموعة الأدوات لمكافحة البرامج الضارة. لقد تم دمجه في برامج مكافحة الفيروسات والبرامج الضارة وهو جزء لا يتجزأ من أنظمة كشف التسلل والوقاية منه (IDPS).
التحدي الرئيسي في التحليل الإرشادي هو الموازنة بين معدلات الكشف والإيجابيات الكاذبة. صارمة للغاية، وقد يشير النظام إلى البرامج المشروعة باعتبارها تهديدات؛ فهي متساهلة جدًا، وقد تتسلل التهديدات الفعلية. ومن المتوقع أن تساعد الأبحاث المستمرة في التعلم الآلي والذكاء الاصطناعي في تحسين هذا التوازن.
مقارنة مع الكشف القائم على التوقيع
| ميزة | كشف ارشادي | الكشف على أساس التوقيع |
|---|---|---|
| طريقة الكشف | بناءً على نمط السلوك أو التعليمات البرمجية | بناءً على توقيعات الفيروسات المعروفة |
| كشف التهديدات | يمكنه اكتشاف التهديدات الجديدة غير المعروفة | يكتشف فقط التهديدات المعروفة |
| سرعة | أبطأ بسبب التحليل المعقد | أسرع |
| ايجابيات مزيفة | اكثر اعجابا | أقل احتمالا |
مستقبل الكشف عن الفيروسات الكشف عن مجريات الأمور
يكمن مستقبل الكشف عن الفيروسات الإرشادي في التكامل المستمر بين تقنيات الذكاء الاصطناعي والتعلم الآلي، والتي تعد بتحسين معدلات الكشف وتقليل النتائج الإيجابية الكاذبة. يمكن لهذه التقنيات أن تتعلم وتتكيف مع التهديدات الجديدة، مما يجعل الكشف التجريبي أكثر فعالية.
الخوادم الوكيلة والكشف عن الفيروسات الإرشادية
يمكن للخوادم الوكيلة، مثل تلك التي يوفرها OneProxy، أن تلعب دورًا رئيسيًا في الكشف عن الفيروسات. من خلال توجيه حركة مرور الإنترنت من خلال خادم وكيل، يمكن للخادم مراقبة البيانات بحثًا عن علامات النشاط الضار. بطريقة ما، يعد هذا شكلاً من أشكال التحليل الإرشادي، حيث يتحقق الخادم الوكيل من الأنماط والسلوكيات التي قد تشير إلى وجود تهديد.
روابط ذات علاقة
يرجى ملاحظة: تم تحديث هذه المقالة في 5 أغسطس 2023.
