ویروس های اکتشافی نوع خاصی از ویروس نیستند، بلکه به روشی برای تشخیص ویروس اشاره دارند که نرم افزار آنتی ویروس برای شناسایی ویروس های جدید و ناشناخته استفاده می کند. با اعمال مجموعه ای از قوانین یا اکتشافی، این برنامه ها می توانند رفتارهای مشکوک یا الگوهای کدی را که مشخصه ویروس ها هستند شناسایی کنند، بنابراین امکان شناسایی تهدیدهایی را که به صراحت در پایگاه داده ویروس تعریف نشده اند، می کنند.
ظهور و تکامل تشخیص ویروس اکتشافی
مفهوم تشخیص اکتشافی در روزهای اولیه امنیت کامپیوتر، در اواخر دهه 1980 و اوایل دهه 1990، پدید آمد. این به عنوان راه حلی برای ماهیت پویاتر تهدیدات سایبری معرفی شد. قبل از تشخیص اکتشافی، نرم افزار آنتی ویروس به شدت بر تشخیص مبتنی بر امضا متکی بود، جایی که رشته های خاصی از کد شناخته شده به عنوان بخشی از ویروس شناسایی می شدند. با این حال، این رویکرد دارای محدودیتهایی بود، بهویژه با ظهور ویروسهای چند شکلی که میتوانستند کد خود را برای فرار از تشخیص تغییر دهند.
مفهوم تحلیل اکتشافی از هوش مصنوعی و علوم شناختی وام گرفته شده است، جایی که از آن برای اشاره به حل مسئله با استفاده از روشهای عملی استفاده میشود که ممکن است بهینه یا کامل نباشند اما برای رسیدن به اهداف فوری کافی هستند. در زمینه تشخیص ویروس، این به معنای شناسایی تهدیدهای بالقوه بر اساس الگوها و رفتارها است، حتی اگر ویروس خاص از قبل شناخته نشده باشد.
کارکرد پیچیده تشخیص ویروس اکتشافی
تجزیه و تحلیل اکتشافی در دو سطح اصلی کار می کند: فایل و رفتاری.
در سطح فایل، تجزیه و تحلیل اکتشافی برنامه ها را قبل از اجرا بررسی می کند و ویژگی ها یا ساختارهای مشکوک را در کد اسکن می کند. این ممکن است شامل جستجوی چندین لایه رمزگذاری (که اغلب توسط کدهای مخرب برای پنهان کردن ماهیت واقعی آن استفاده میشود) یا تکههای کدی باشد که با الگوهای مخرب شناخته شده مطابقت دارند.
در سطح رفتاری، تحلیل اکتشافی برنامهها را در حین اجرا نظارت میکند و اقداماتی را که معمولاً با نرمافزارهای مخرب مرتبط هستند بررسی میکند. این ممکن است شامل ردیابی تلاشها برای نوشتن دادهها در یک فایل سیستمی یا ایجاد اتصالات خروجی به یک سرور راه دور باشد.
هر دوی این سطوح تحلیل اکتشافی به شناسایی و خنثی کردن تهدیدها قبل از ایجاد آسیب کمک می کنند.
ویژگی های کلیدی تشخیص ویروس اکتشافی
ویژگی های زیر برای تشخیص ویروس اکتشافی ذاتی هستند:
- تحلیل دینامیک: تشخیص اکتشافی شامل نظارت در زمان واقعی بر عملکرد و فایلهای سیستم است که به آن امکان میدهد تهدیدها را هنگام وقوع شناسایی و خنثی کند.
- دفاع پیشگیرانه: برخلاف تشخیص مبتنی بر امضا، تجزیه و تحلیل اکتشافی می تواند تهدیدهای جدید را شناسایی کند، نه فقط تهدیدهایی که قبلاً تعریف شده اند. این آن را به ابزاری حیاتی در مواجهه با بدافزارهایی که به سرعت در حال تکامل هستند تبدیل می کند.
- موارد مثبت کاذب: یک اشکال احتمالی تحلیل اکتشافی این است که گاهی اوقات میتواند نرمافزار قانونی را به عنوان مخرب شناسایی کند که منجر به نتایج مثبت کاذب میشود. با این حال، پیشرفت در فناوری و پیچیدگی الگوریتم این موارد را به میزان قابل توجهی کاهش داده است.
انواع تکنیک های تحلیل اکتشافی
تجزیه و تحلیل اکتشافی از تعدادی تکنیک برای شناسایی ویروس ها استفاده می کند که برخی از آنها عبارتند از:
- تجزیه و تحلیل کد: بررسی کد برای هرگونه عملکرد یا دستور مشکوک، مانند مواردی که فایلهای سیستم را تغییر میدهند.
- شبیه سازی: اجرای برنامه در محیط کنترل شده (شبیه ساز) و نظارت بر رفتار آن.
- رمزگشایی عمومی (GD): برای شناسایی ویروس های رمزگذاری شده استفاده می شود. نرم افزار آنتی ویروس ویروس را با استفاده از یک شبیه ساز اجرا می کند و قبل از تجزیه و تحلیل کد منتظر می ماند تا ویروس خودش را رمزگشایی کند.
- سیستم های خبره: استفاده از هوش مصنوعی و یادگیری ماشین برای تجزیه و تحلیل کد و پیش بینی احتمال ویروس بودن آن.
استفاده از تحلیل اکتشافی و غلبه بر چالش ها
استفاده اولیه از تجزیه و تحلیل اکتشافی در زمینه امنیت سایبری است، جایی که بخشی ضروری از جعبه ابزار برای مبارزه با بدافزارها را تشکیل می دهد. این در نرم افزار آنتی ویروس و ضد بدافزار گنجانده شده است و جزء جدایی ناپذیر سیستم های تشخیص نفوذ و پیشگیری (IDPS) است.
چالش کلیدی در تحلیل اکتشافی، متعادل کردن نرخهای تشخیص با مثبت کاذب است. بیش از حد سختگیرانه، و سیستم ممکن است برنامه های قانونی را به عنوان تهدید علامت گذاری کند. خیلی سست، و تهدیدهای واقعی ممکن است از بین بروند. انتظار می رود تحقیقات مداوم در یادگیری ماشین و هوش مصنوعی به بهبود این تعادل کمک کند.
مقایسه با تشخیص مبتنی بر امضا
| ویژگی | تشخیص اکتشافی | تشخیص مبتنی بر امضا |
|---|---|---|
| روش تشخیص | بر اساس رفتار یا الگوی کد | بر اساس امضاهای ویروس شناخته شده |
| تشخیص تهدید | می تواند تهدیدهای جدید و ناشناخته را شناسایی کند | فقط تهدیدات شناخته شده را شناسایی می کند |
| سرعت | کندتر به دلیل تجزیه و تحلیل پیچیده | سریعتر |
| مثبت های کاذب | احتمالش بیشتره | احتمال کمتری دارد |
آینده تشخیص ویروس اکتشافی
آینده تشخیص ویروس اکتشافی در ادغام مداوم فناوریهای هوش مصنوعی و یادگیری ماشین نهفته است که نویدبخش بهبود نرخ تشخیص و کاهش موارد مثبت کاذب است. این فناوریها میتوانند یاد بگیرند و با تهدیدات جدید سازگار شوند و تشخیص اکتشافی را حتی مؤثرتر کنند.
سرورهای پروکسی و تشخیص ویروس اکتشافی
سرورهای پروکسی، مانند سرورهای ارائه شده توسط OneProxy، می توانند نقش کلیدی در شناسایی ویروس اکتشافی ایفا کنند. با مسیریابی ترافیک اینترنت از طریق یک سرور پراکسی، سرور می تواند داده ها را برای نشانه هایی از فعالیت های مخرب نظارت کند. به نوعی، این نوعی تجزیه و تحلیل اکتشافی است، زیرا سرور پروکسی الگوها و رفتارهایی را که ممکن است نشان دهنده یک تهدید باشد، بررسی می کند.
لینک های مربوطه
- تجزیه و تحلیل اکتشافی - نورتون
- آینده تحلیل اکتشافی – بلاگ های مک آفی
- تجزیه و تحلیل اکتشافی - ویکی پدیا
لطفا توجه داشته باشید: این مقاله در 5 آگوست 2023 به روز شده است.
