Virus heuristic không phải là một loại virus cụ thể mà đề cập đến một phương pháp phát hiện vi-rút mà phần mềm chống vi-rút sử dụng để xác định các loại vi-rút mới, chưa xác định. Bằng cách áp dụng một bộ quy tắc hoặc chẩn đoán, các chương trình này có thể xác định hành vi đáng ngờ hoặc mẫu mã đặc trưng của vi-rút, từ đó cho phép phát hiện các mối đe dọa chưa được xác định rõ ràng trong cơ sở dữ liệu vi-rút.
Sự xuất hiện và phát triển của công nghệ phát hiện virus theo kinh nghiệm
Khái niệm phát hiện heuristic nảy sinh trong những ngày đầu của bảo mật máy tính, vào khoảng cuối những năm 1980 và đầu những năm 1990. Nó được giới thiệu như một giải pháp cho tính chất ngày càng năng động của các mối đe dọa mạng. Trước khi phát hiện theo phương pháp heuristic, phần mềm chống vi-rút chủ yếu dựa vào phát hiện dựa trên chữ ký, trong đó các chuỗi mã cụ thể được biết là một phần của vi-rút được xác định. Tuy nhiên, cách tiếp cận này có những hạn chế, đặc biệt với sự gia tăng của các loại virus đa hình có thể thay đổi mã của chúng để tránh bị phát hiện.
Khái niệm phân tích heuristic được mượn từ trí tuệ nhân tạo và khoa học nhận thức, trong đó nó được dùng để chỉ việc giải quyết vấn đề bằng các phương pháp thực tế có thể không tối ưu hoặc hoàn hảo nhưng đủ để đạt được các mục tiêu trước mắt. Trong bối cảnh phát hiện vi-rút, điều này có nghĩa là xác định các mối đe dọa tiềm ẩn dựa trên mô hình và hành vi, ngay cả khi vi-rút cụ thể chưa được biết đến.
Chức năng phức tạp của việc phát hiện virus theo kinh nghiệm
Phân tích heuristic hoạt động trên hai cấp độ chính: tập tin và hành vi.
Ở cấp độ tệp, phân tích heuristic sẽ kiểm tra các chương trình trước khi chúng chạy, quét các đặc điểm hoặc cấu trúc đáng ngờ trong mã. Điều này có thể liên quan đến việc tìm kiếm nhiều lớp mã hóa (thường được mã độc sử dụng để che giấu bản chất thực sự của nó) hoặc các đoạn mã khớp với các mẫu độc hại đã biết.
Ở cấp độ hành vi, phân tích heuristic giám sát các chương trình khi chúng chạy và kiểm tra các hành động thường liên quan đến phần mềm độc hại. Điều này có thể liên quan đến việc theo dõi các nỗ lực ghi dữ liệu vào tệp hệ thống hoặc thiết lập các kết nối gửi đi tới máy chủ từ xa.
Cả hai cấp độ phân tích theo kinh nghiệm này đều giúp phát hiện và vô hiệu hóa các mối đe dọa trước khi chúng có thể gây ra thiệt hại.
Các tính năng chính của phát hiện virus Heuristic
Các tính năng sau đây là bản chất của việc phát hiện virus theo phương pháp heuristic:
- Phân tích động: Phát hiện heuristic liên quan đến việc giám sát thời gian thực hoạt động và các tệp của hệ thống, cho phép hệ thống phát hiện và vô hiệu hóa các mối đe dọa khi chúng xảy ra.
- Phòng thủ chủ động: Không giống như phát hiện dựa trên dấu hiệu, phân tích heuristic có thể xác định các mối đe dọa mới, không chỉ những mối đe dọa đã được xác định trước đó. Điều này làm cho nó trở thành một công cụ quan trọng khi đối mặt với phần mềm độc hại đang phát triển nhanh chóng.
- Tích cực sai: Một nhược điểm tiềm ẩn của phân tích heuristic là đôi khi nó có thể xác định phần mềm hợp pháp là độc hại, dẫn đến kết quả dương tính giả. Tuy nhiên, những cải tiến về công nghệ và độ phức tạp của thuật toán đã làm giảm đáng kể những trường hợp này.
Các loại kỹ thuật phân tích heuristic
Phân tích heuristic sử dụng một số kỹ thuật để phát hiện virus, một số trong đó bao gồm:
- Phân tích mã: Kiểm tra mã để tìm bất kỳ chức năng hoặc lệnh đáng ngờ nào, chẳng hạn như những chức năng hoặc lệnh sửa đổi tệp hệ thống.
- Thi đua: Chạy chương trình trong môi trường được kiểm soát (trình mô phỏng) và giám sát hành vi của nó.
- Giải mã chung (GD): Được sử dụng để phát hiện virus được mã hóa. Phần mềm diệt virus chạy virus bằng trình giả lập và đợi virus tự giải mã trước khi phân tích mã.
- Những hệ thống chuyên gia: Sử dụng AI và học máy để phân tích mã và dự đoán khả năng nó là vi-rút.
Sử dụng phân tích heuristic và vượt qua thách thức
Công dụng chính của phân tích heuristic là trong lĩnh vực an ninh mạng, nơi nó tạo thành một phần thiết yếu của bộ công cụ để chống lại phần mềm độc hại. Nó được tích hợp vào phần mềm chống vi-rút và chống phần mềm độc hại và là một thành phần không thể thiếu của hệ thống ngăn chặn và phát hiện xâm nhập (IDPS).
Thách thức chính trong phân tích heuristic là cân bằng tỷ lệ phát hiện với kết quả dương tính giả. Quá nghiêm ngặt và hệ thống có thể gắn cờ các chương trình hợp pháp là mối đe dọa; quá lỏng lẻo và các mối đe dọa thực tế có thể lọt qua. Nghiên cứu đang diễn ra về học máy và trí tuệ nhân tạo được kỳ vọng sẽ giúp cải thiện sự cân bằng này.
So sánh với phát hiện dựa trên chữ ký
| Tính năng | Phát hiện heuristic | Phát hiện dựa trên chữ ký |
|---|---|---|
| Phương pháp phát hiện | Dựa trên hành vi hoặc mẫu mã | Dựa trên dấu hiệu virus đã biết |
| Phát hiện mối đe dọa | Có thể phát hiện các mối đe dọa mới, chưa biết | Chỉ phát hiện các mối đe dọa đã biết |
| Tốc độ | Chậm hơn do phân tích phức tạp | Nhanh hơn |
| Tích cực sai | Nhiều khả năng hơn | Ít có khả năng |
Tương lai của việc phát hiện virus Heuristic
Tương lai của việc phát hiện virus heuristic nằm ở sự tích hợp liên tục của AI và công nghệ máy học, hứa hẹn sẽ cải thiện tỷ lệ phát hiện và giảm kết quả dương tính giả. Những công nghệ này có thể học hỏi và thích ứng với các mối đe dọa mới, giúp việc phát hiện theo kinh nghiệm trở nên hiệu quả hơn.
Máy chủ proxy và phát hiện virus theo kinh nghiệm
Các máy chủ proxy, giống như các máy chủ do OneProxy cung cấp, có thể đóng một vai trò quan trọng trong việc phát hiện virus theo phương pháp heuristic. Bằng cách định tuyến lưu lượng truy cập internet thông qua máy chủ proxy, máy chủ có thể giám sát dữ liệu để phát hiện các dấu hiệu hoạt động độc hại. Theo một cách nào đó, đây là một dạng phân tích theo kinh nghiệm, vì máy chủ proxy kiểm tra các mẫu và hành vi có thể chỉ ra mối đe dọa.
Liên kết liên quan
- Phân tích heuristic – Norton
- Tương lai của phân tích heuristic – McAfee Blogs
- Phân tích heuristic - Wikipedia
Xin lưu ý: Bài viết này được cập nhật vào ngày 5 tháng 8 năm 2023.
