Was ist heuristisches Virenscannen? Heuristische Analyse. Heuristisches Scannen. Software- und Hardwareanforderungen

💖 Gefällt es dir? Teilen Sie den Link mit Ihren Freunden
0

Heuristische Analyse (heuristisches Scannen)- eine Reihe von Antivirenfunktionen zur Erkennung unbekannter Virendatenbanken Schadsoftware. Gleichzeitig bezieht sich dieser Begriff auch auf eine der spezifischen Methoden.

Fast alle modernen Antivirenprodukte nutzen Technologie heuristische Analyse Programmcode. Heuristische Analysen werden häufig in Verbindung mit Signaturscans verwendet, um nach komplexen verschlüsselten und polymorphen Viren zu suchen. Die heuristische Analysetechnik ermöglicht es, bisher unbekannte Infektionen zu erkennen, eine Behandlung ist in solchen Fällen jedoch fast immer unmöglich. In diesem Fall ist in der Regel eine zusätzliche Aktualisierung der Antiviren-Datenbanken erforderlich, um die neuesten Signaturen und Behandlungsalgorithmen zu erhalten, die möglicherweise Informationen über einen bisher unbekannten Virus enthalten. Andernfalls wird die Datei zur Prüfung an Antiviren-Analysten oder Autoren von Antivirenprogrammen gesendet.

Heuristische Analysetechnologie

Heuristische Scanmethoden bieten keinen garantierten Schutz vor neuen Methoden, die nicht im Signatursatz enthalten sind Computer Virus, was auf die Verwendung bisher bekannter Virensignaturen als Analyseobjekt und auf Kenntnisse über den Mechanismus des Signaturpolymorphismus als Regeln der heuristischen Überprüfung zurückzuführen ist. Da diese Suchmethode jedoch auf empirischen Annahmen basiert, können Fehlalarme nicht vollständig ausgeschlossen werden.

In manchen Fällen sind heuristische Methoden äußerst erfolgreich, beispielsweise bei sehr kurzen Programmteilen im Bootsektor: Schreibt das Programm in Sektor 1, Spur 0, Seite 0, dann führt dies zu einer Änderung der Laufwerkspartition . Abgesehen vom Hilfsprogramm fdisk wird dieser Befehl jedoch nirgendwo anders verwendet, und wenn er unerwartet auftritt, handelt es sich daher um einen Bootvirus.

Bei der heuristischen Analyse wird das emulierte Programm von einem Code-Analysator überprüft. Beispielsweise ist ein Programm mit einem polymorphen Virus infiziert, der aus einem verschlüsselten Körper und einem Entschlüsseler besteht. Der Code-Emulator liest Anweisungen in den Antiviren-Puffer, analysiert sie in Anweisungen und führt sie einzeln aus. Anschließend berechnet der Code-Analysator die Prüfsumme und vergleicht sie mit der in der Datenbank gespeicherten. Die Emulation wird fortgesetzt, bis der Teil des Virus, der zur Berechnung der Prüfsumme erforderlich ist, entschlüsselt ist. Wenn die Signatur übereinstimmt, ist das Programm definiert.

Nachteile des heuristischen Scannens

  • Übermäßiges Misstrauen gegenüber dem heuristischen Analysator kann zu Fehlalarmen führen, wenn das Programm Codefragmente enthält, die Aktionen und/oder Sequenzen ausführen, einschließlich derer, die für einige Viren charakteristisch sind. Insbesondere der Entpacker in Dateien, die mit dem PE-Packer (Win)Upack gepackt wurden, führt bei einer Reihe von Antiviren-Tools, die dieses Problem nicht erkennen, zu Fehlalarmen.
  • Verfügbarkeit einfacher Techniken zur Täuschung des heuristischen Analysators. Bevor ein Schadprogramm (Virus) verbreitet wird, prüfen dessen Entwickler in der Regel bestehende gängige Antivirenprodukte und verwenden dabei verschiedene Methoden, um deren Erkennung beim heuristischen Scannen zu verhindern. Zum Beispiel durch Modifizieren des Codes, Verwenden von Elementen, deren Ausführung vom Antivirencode-Emulator nicht unterstützt wird, Verwenden der Verschlüsselung eines Teils des Codes usw.
  • Trotz Aussagen und Werbebroschüren von Antiviren-Entwicklern zur Verbesserung heuristischer Mechanismen ist die Wirksamkeit heuristischer Scans bei weitem nicht zu erwarten.
  • Auch bei erfolgreichem Nachweis ist eine Behandlung eines unbekannten Virus fast immer unmöglich. Ausnahmsweise können einige Produkte Viren desselben Typs und eine Reihe polymorpher, verschlüsselter Viren behandeln, die keinen permanenten Viruskörper haben, sondern eine einzige Implementierungstechnik verwenden. In diesem Fall gibt es möglicherweise einen Eintrag in der Virendatenbank, um Dutzende oder Hunderte von Viren zu behandeln.

Scannen

Virenschutz.

Antivirenprogramme waren und sind das wichtigste Mittel zur Virenbekämpfung. Sie können Antivirenprogramme (Antivirenprogramme) verwenden, ohne eine Ahnung von deren Funktionsweise zu haben. Allerdings ist es unmöglich, einen zuverlässigen Computerschutz zu organisieren, ohne die Prinzipien von Antivirensoftware zu verstehen und die Arten von Viren sowie deren Verbreitung zu kennen. Dadurch kann der Computer auch dann infiziert werden, wenn darauf eine Antivirensoftware installiert ist.

Heutzutage werden mehrere grundlegende Techniken zur Erkennung und zum Schutz vor Viren eingesetzt:

· Scannen;

· heuristische Analyse;

· Verwendung von Antiviren-Monitoren;

· Änderungserkennung;

· Verwendung von Antivirenprogrammen, die im BIOS des Computers integriert sind.

Darüber hinaus bieten fast alle Antivirenprogramme automatische Wiederherstellung infizierte Programme und Bootsektoren. Natürlich, wenn möglich.

Die einfachste Methode zur Suche nach Viren besteht darin, dass das Antivirenprogramm die gescannten Dateien nacheinander nach Signaturen bekannter Viren durchsucht. Eine Signatur ist eine einzigartige Bytefolge, die zu einem Virus gehört und in anderen Programmen nicht zu finden ist.

Antiviren-Scanner-Programme können nur bereits bekannte und untersuchte Viren finden, für die eine Signatur definiert wurde. Der Einsatz einfacher Scannerprogramme schützt Ihren Computer nicht vor dem Eindringen neuer Viren.

Für verschlüsselnde und polymorphe Viren, die bei einer Infektion ihren Code vollständig ändern können neues Programm oder Bootsektor ist es nicht möglich, die Signatur zu extrahieren. Daher können einfache Antiviren-Scanner-Programme polymorphe Viren nicht erkennen.

Die heuristische Analyse ermöglicht es Ihnen, bisher unbekannte Viren zu erkennen, und dafür müssen Sie nicht zuerst Daten darüber sammeln Dateisystem, wie es beispielsweise durch die unten diskutierte Änderungserkennungsmethode erforderlich ist.

Antivirenprogramme, die die heuristische Analysemethode implementieren, scannen Programme und Bootsektoren von Festplatten und Disketten und versuchen, darin charakteristischen Code für Viren zu erkennen. Ein heuristischer Analysator kann beispielsweise erkennen, dass das getestete Programm ein residentes Modul im Speicher installiert oder Daten in die ausführbare Datei des Programms schreibt.

Fast alle modernen Antivirenprogramme implementieren eigene heuristische Analysemethoden. In Abb. 1 haben wir eines dieser Programme gezeigt – den McAffee VirusScan-Scanner, der manuell gestartet wird, um die Festplatte auf Antivirenprogramme zu scannen.

Wenn ein Antivirenprogramm eine infizierte Datei erkennt, zeigt es normalerweise eine Meldung auf dem Monitorbildschirm an und nimmt einen Eintrag in sein eigenes oder vor Systemprotokoll. Abhängig von den Einstellungen sendet das Antivirenprogramm möglicherweise auch eine Nachricht über den erkannten Virus an den Netzwerkadministrator.

Wenn möglich desinfiziert das Antivirenprogramm die Datei und stellt ihren Inhalt wieder her. Andernfalls besteht die einzige Möglichkeit darin, die infizierte Datei zu löschen und sie anschließend wiederherzustellen Sicherheitskopie(sofern Sie es natürlich haben).

Seite 1


Die heuristische Analyse ermöglicht die Identifizierung unbekannter Viren, erfordert jedoch keine vorherige Erfassung, Verarbeitung und Speicherung von Informationen über das Dateisystem. Sein Kern besteht darin, die möglichen Lebensräume von Viren zu überprüfen und darin für Viren charakteristische Befehle (Befehlsgruppen) zu identifizieren. Wenn verdächtige Befehle in Dateien oder Bootsektoren erkannt werden, wird eine Meldung ausgegeben, die auf eine mögliche Infektion hinweist.

Die heuristische Analyse basiert wie die oben diskutierten Prognosemethoden auf den Prinzipien der induktiven Logik, da ihr zentrales Konzept die Zuverlässigkeit der Hypothese und der Grad ihrer Gültigkeit ist. Offensichtlich ist es möglich, den Gültigkeitsgrad der heuristischen Hypothese in Bezug auf die Prognose der Entwicklung des wissenschaftlichen und technologischen Fortschritts in jede ihrer Richtungen zu erhöhen, indem man die Dynamik und Trends in der Entwicklung der wissenschaftlichen Forschung in diesen Bereichen berücksichtigt der Wissenschaft bei der Analyse.

Mithilfe der heuristischen Analyse können für den ausgewählten Prozessalgorithmus die am besten geeigneten Kombinationen von Funktionsuntergruppen ermittelt werden, die Teil der entsprechenden Funktionsgruppen sind: beispielsweise Technologie- und Transportrotoren, für deren Montage am Rahmen keine obere Platte erforderlich ist .

Damit ist unsere heuristische Analyse der Stern-Speckle-Interferometrie abgeschlossen.

Das Programm bietet die Möglichkeit, heuristische Analysen auf drei Ebenen durchzuführen. Hierbei werden Dateien und Systembereiche von Datenträgern untersucht, um anhand charakteristischer Codesequenzen unbekannte Viren zu erkennen.

Das zweite Prinzip ist eine heuristische Analyse der Bedeutung der berücksichtigten Faktoren, basierend auf praktischer Erfahrung und Intuition.

Im Jahr 1998 wurde unter der Leitung von Prof. ein visuelles heuristisches Analysesystem für numerische Matrizen, Visual HCA, erstellt. Wiederholt veröffentlichte Berichte auf Konferenzen in Mexiko (China, Belgien) und Artikel in in- und ausländischen Fachzeitschriften. Entwickelt im Jahr 2000 Anwendungssystem Visuelle Überwachung der Messdaten der Umweltverschmutzung in Mexiko-Stadt mithilfe eines visuellen heuristischen Analysesystems.

Der in diesem Antivirenprogramm implementierte spezielle heuristische Analysealgorithmus ermöglicht Ihnen auch die Identifizierung von Dateien, die mit neuen Virentypen infiziert sind.

In einer Reihe von Fällen ermöglicht ein solches Schema geordneter deterministischer Berechnungen, begleitet von einer tiefgreifenden heuristischen Analyse, ausreichend fundierte Entscheidungen zu treffen und so die Optimierung einer Adsorptionsanlage mit unvollständigen Informationen abzuschließen. Doch manchmal können sich die resultierenden Lösungen in ihren Bestandteilen deutlich unterscheiden. Anschließend empfiehlt es sich, die Optimierungsrechnung nach dem unten dargestellten Schema fortzusetzen.

Da wir nun bereits über eine exakte Theorie der Spiellösungen verfügen, sind wir nach dieser vorläufigen heuristischen Analyse verpflichtet, eine exakte Analyse zu geben, die streng auf der mathematischen Theorie basiert.

Es sollte betont werden, dass eine Forschungsgruppe, die zur Lösung eines bestimmten Problems des Organisationsmanagements gebildet wird, in der Lage sein muss, formale mathematische Apparate zu verwenden und in der Lage zu sein, eine rein heuristische Analyse realer Situationen durchzuführen.

Maclaurin und diese Spaltung werden auftreten, wenn das Wachstumsverhältnis m den kritischen Wert m 0 14 erreicht (siehe Abschnitt). Zwei interessante Ergebnisse ergeben sich aus dieser heuristischen Analyse. Erstens erreichen Sterne mit M 0 8 MQ die Hauptreihe und hören auf, sich zusammenzuziehen, bevor ihr Kern dies kann durch Rotation eine Spaltung erfahren.


Die Lösung des Problems der Konstruktion einer Reihe widersprüchlicher Optionen erfolgt mit der optimalen Designsoftware, die in der Software des computergestützten Designsystems enthalten ist. Darüber hinaus ordnet der Computer mithilfe heuristischer Analysealgorithmen zunächst eine endliche Anzahl der besten AL-Entwurfsoptionen ein, wählt sie aus, diagnostiziert sie dann oder stellt umgekehrt zunächst eine Diagnose und trifft dann eine Auswahl. Die gewonnenen Ergebnisse werden auf den Endgeräten ausgegeben, sodass der Designer eine abschließende Beurteilung vornehmen kann.

Bei der Lösung eines Problems mit zwei Kriterien sollte man danach streben, ein Extremum einer linearen Kombination von Kriterien bereitzustellen oder Pareto-Mengen zu finden und die endgültige Entscheidung auf der Grundlage einer heuristischen Analyse dieser Mengen zu treffen. Manchmal tun sie Folgendes. Eines der Kriterien wird eingeschränkt und das zweite Kriterium wird erreicht, um einen Extremwert anzunehmen.

Der Name dieser Methodengruppe leitet sich vom berühmten griechischen Wort „Eureka!“ ab, das Archimedes zugeschrieben wird. - „gefunden!“ und drückt damit die Freude über seine Entdeckung aus. Heuristische Methoden basieren auf kreativem Denken und Wissen von Spezialisten – Experten, praktischer Erfahrung von Unternehmensmanagern, ihrer Intuition, individuellen und kollektiven Urteilen. Solche Methoden gelten als qualitativ-logisch und ergänzen formalisierte quantitative Analysemethoden. Die Notwendigkeit ihres Einsatzes ist auf die Komplexität und Unmöglichkeit einer klaren mathematischen Modellierung vieler sozioökonomischer Prozesse zurückzuführen (obwohl viele dieser Methoden den Einsatz mathematischer Verfahren zur Verarbeitung von Ausgangsinformationen und den Ergebnissen logischer Expertenanalysen beinhalten).

Alle heuristischen Methoden lassen sich in Expertenmethoden und Methoden zur Aktivierung kreativen Denkens (manchmal auch psychologisch genannt) unterteilen.

Expertenmethoden, Sie stützen sich auf das Wissen, das Urteilsvermögen und die Erfahrung von Spezialisten und ermöglichen uns die Lösung zweier Gruppen analytischer Probleme:

  • 1) Beschaffung von Informationen über spezifische Wirtschaftsphänomene und deren Ursachen sowie über die Anforderungen wichtiger Geschäftsinteressenten;
  • 2) Bewertung der charakteristischen Erscheinungsformen stabiler Ursache-Wirkungs-Beziehungen, Prognose der möglichen Entwicklung sozioökonomischer Prozesse und Begründung der rationalsten Managemententscheidungen für eine gegebene Situation.

Die erste Problemgruppe wird durch Fragebögen, Umfragen und Interviews mit Mitarbeitern von Unternehmen und Vertretern anderer Anspruchsgruppen dieser Unternehmen gelöst. Zur Lösung der zweiten Problemgruppe werden hochqualifizierte Fachexperten hinzugezogen. Dabei können sowohl individuelle als auch kollektive Methoden der Gutachtenbegutachtung zum Einsatz kommen.

Individuelle Methoden Dabei werden die Meinungen ausgewählter Experten herangezogen, die jeder von ihnen unabhängig voneinander formuliert und durch Interviews oder Fragebögen einholt. Der Nachteil dieses Ansatzes ist das bekanntermaßen begrenzte Wissen einzelner Spezialisten über alle Aspekte des untersuchten Problems und das Engagement jedes einzelnen von ihnen für eine bestimmte Position oder wissenschaftliche Schule.

Effektivere Anwendung kollektive Methoden, basierend auf der Einbeziehung von Gruppen verschiedener Experten – Theoretiker und Praktiker, die sich des Wesens des Problems, der Besonderheiten verwandter Wissens- und Tätigkeitsbereiche bewusst sind und unterschiedliche Standpunkte vertreten. Das Zusammenspiel der beteiligten Spezialisten ermöglicht es, das vorliegende Problem aus verschiedenen Blickwinkeln zu betrachten. Unter diesen Methoden ist die beliebteste Provisionsmethode(Industrietreffen, Konferenzen, Seminare und runde Tische), die es ermöglichen, eine gemeinsame Position der Teilnehmer unter Berücksichtigung aller diskutierten Umstände zu entwickeln. Der Nachteil dieser Methode besteht darin, dass die aufgrund des Kompromisswillens und des psychologischen Drucks der maßgeblichsten Experten getroffenen Entscheidungen nicht unbedingt die besten Optionen widerspiegeln, die von einzelnen Kommissionsmitgliedern vorgeschlagen wurden. Dieser Nachteil wird teilweise dadurch behoben, dass die Arbeit der Kommission in zwei Phasen unterteilt wird:

  • ? allgemeine Diskussion des Problems und freie Meinungsäußerung der Teilnehmer;
  • ? Kritische Analyse aller eingebrachten Vorschläge und Erarbeitung von Lösungsansätzen.

In noch größerem Maße können Sie die Konformität von Experten vermeiden Delphi-Methode, Basierend auf einer anonymen Korrespondenzbefragung unabhängiger Experten (die oft nicht einmal von der Existenz des anderen wussten), die in mehreren Runden durchgeführt wurde, gefolgt von einer statistischen Verarbeitung der Ergebnisse und der Entwicklung einer endgültigen Entscheidung durch eine Gruppe von Analysten, die die Umfrage organisiert hatte.

Weithin bekannt kollektive Notizbuch- und Ideenbank-Methoden, Ermöglicht die schrittweise Anhäufung erfolgreicher Ideen und Vorschläge unabhängiger Experten Standardlösungen, praktische Beispiele mit der Möglichkeit ihrer Systematisierung und Auswertung.

Methoden zur Aktivierung kreativen Denkens zielen darauf ab, psychologische Bedingungen zu schaffen, die es einer Person ermöglichen, neue Ideen zu entwickeln und nach Wegen zur Lösung verschiedener Probleme zu suchen. Unter ähnlichen Methoden zur Organisation des kreativen Prozesses bei der Lösung von Problemen der Wirtschaftsanalyse ist das „Brainstorming“ die am weitesten verbreitete Methode.

„Brainstorming“ repräsentiert effektive Methode Gruppenorganisation analytischer Aktivitäten zur Lösung etwaiger Probleme, basierend auf der Emanzipation der kreativen Aktivität ihrer Teilnehmer. Es umfasst in der Regel drei Phasen. Der erste Schritt ist eine klare Formulierung des zu lösenden Problems und die Auswahl kreativer Teammitglieder. Die Zusammensetzung der Teilnehmer sollte nicht groß sein, sondern nicht nur Spezialisten zu diesem Thema umfassen, sondern auch andere interessierte Parteien, die nicht mit der Unterordnung in Zusammenhang stehen. In der zweiten Phase werden Ideen zur Lösung des Problems generiert. Ein Merkmal dieser Phase ist die Schaffung von Bedingungen für maximale freie Kreativität ohne jegliche Bewertungen und jegliche Kritik an den gemachten Vorschlägen. Gleichzeitig werden nicht einmal Richtungen für die Suche nach Ideen und Kriterien für deren Bewertung angegeben. Das Hauptziel ist die maximale Anzahl der eingebrachten Vorschläge und deren mögliche Kombinationen, alle müssen erfasst werden. Auch fantastische und scheinbar absurde Ideen sind willkommen. Die Dauer dieser Phase sollte eineinhalb Stunden nicht überschreiten, da danach die kreative Tätigkeit in der Regel nachlässt. Die dritte Stufe ist die Klassifizierung der gemachten Vorschläge, die Auswahl, Bewertung und Entwicklung verschiedener Kombinationen der vielversprechendsten Ideen, durchgeführt von den Analysten, die den „Angriff“ organisiert haben.

Eine Modifikation der Brainstorming-Methode ist Synektik-Methode. Der Begriff „Synektik“ selbst bedeutet die Verwendung der Kombination verschiedener, oft heterogener, scheinbar unvereinbarer Elemente zu einem einzigen Ganzen, um kreative Probleme zu lösen. Synektik unterscheidet sich vom klassischen „Brainstorming“ dadurch, dass sie den Einfluss der Gruppe auf die kreative Aktivität ihrer Mitglieder organisiert, spezifische Methoden zur Ideengenerierung definiert, eine kritische Diskussion ermöglicht und vorgebrachte Ideen direkt in der Phase ihrer Generierung aussortiert. Gleichzeitig sollte die Gruppe nicht nur aus Profis bestehen, sondern auch aus kreativen Individuen, die den Wettbewerb anstreben und bereit sind, ihre Positionen zu verteidigen, mit unterschiedlichen psycho-emotionalen Eigenschaften (Enthusiasten, Konservative, Optimisten, Skeptiker usw.). Charakteristisch für die Synektik ist der Einsatz verschiedener verbaler Techniken zur Aktivierung des Denkens: Analogien (Lösungsfindung basierend auf der Analyse bereits gelöster ähnlicher Probleme in anderen Bereichen, Lösungssuche in Science-Fiction, Mythen, Märchen), Inversion (Lösungssuche) aus dem Gegenteil“), Empathie (sich mit dem analysierten Objekt identifizieren und das Problem anhand der eigenen Gefühle verstehen), Idealisierung (Forschung unter dem Gesichtspunkt, ein ideales Ergebnis zu erzielen). Es ist zu beachten, dass dies für die synektische Expertengruppe sehr wichtig ist vorbereitende Vorbereitung, gegenseitiges Verständnis und Zusammenhalt, sonst blockiert die zunehmende Kritikalität der Diskussionen möglicherweise einfach die Generierung neuer Ideen.

Morphologische Methode. Diese Methode basiert auf der Beurteilung der inneren Struktur des Untersuchungsgegenstandes und der entsprechenden Zerlegung des betrachteten Problems in einzelne Aufgaben, Auswahl mögliche Lösungen Für jede dieser Aufgaben werden sie systematisiert und durch Kombination bestimmter Lösungen eine allgemeine Lösung des Problems synthetisiert.

Theorie zur Lösung erfinderischer Probleme(TRIZ). Ursprünglich bestand der Zweck der TRIZ darin, die Prinzipien der Entwicklung zu untersuchen technische Systeme und die Schaffung praktischer Methoden zur Lösung erfinderischer Probleme, die auf der Identifizierung und Beseitigung von Widersprüchen in solchen Systemen basieren, um ein ideales Endergebnis zu erzielen. Mittlerweile ist TRIZ zu einer universellen Methode zur Analyse verschiedener Probleme in vielen Bereichen, einschließlich der Wirtschaftswissenschaften, geworden. Die Aktivierung des kreativen Denkens wird durch die Strukturierung von Analyseaufgaben und eine bestimmte Reihenfolge ihrer Lösung erreicht:

  • 1) wofür das System gedacht ist, aus welchen Elementen es besteht, welche Funktionen sie haben und wie sie interagieren;
  • 2) welche Verbindungen von Systemelementen und ihre Funktionen nützlich, welche nutzlos und welche schädlich sind;
  • 3) welche Elemente, Funktionen und Verbindungen verändert werden können und welche nicht;
  • 4) Welche Möglichkeiten gibt es, die Elemente des Systems, ihre Funktionen und Verbindungen zu ändern?
  • 5) welche Änderungen führen zu einer Verbesserung der Funktionsweise des Systems als Ganzes und welche Änderungen verursachen Widersprüche im System und schwächen es;
  • 6) wie man verbessernde Veränderungen umsetzen und gleichzeitig aufkommende Widersprüche beseitigen oder minimieren kann.

Um kreative Aktivitäten anzuregen und systematische unabhängige Arbeit zu organisieren, greifen erfahrene Analysten häufig auf die Einhaltung einzigartiger Regeln zurück. Regel 24 schreibt vor, dass der Analytiker 24 Stunden am Tag über das zu untersuchende Problem nachdenken muss. Regel 25 – Um das Problem erfolgreich zu lösen, müssen mindestens 25 Ideen vorgelegt werden. Regel 26 – Es gibt 26 Buchstaben im englischen Alphabet, und als Hinweis für sich selbst: Überlegen Sie, mit welchem ​​Buchstaben das Schlüsselwort zur Lösung des Problems beginnen wird.

Heuristische Analysemethoden

In Ihrem Leben sind Sie wahrscheinlich einem Menschen begegnet, der Sie vor allem dadurch beeindruckt hat, dass er über eine äußerst entwickelte Vorstellungskraft, originelle und unerwartete Urteile verfügt, Ideen, die für ein hochentwickeltes intuitives Denken charakteristisch sind. Normalerweise nennen wir eine solche Person eine kreative Person. Und die Fähigkeit, neue Ideen hervorzubringen, gilt zu Recht als eines der wichtigsten Merkmale einer kreativen Persönlichkeit.

Sowohl in der Schule als auch in höheren und weiterführenden Fachschulen wird der Entwicklung der Intuition und der Fähigkeit, neue Ideen zu generieren, leider nicht genügend Aufmerksamkeit geschenkt. Lehrer achten vor allem auf logische Methoden zur Problemlösung, auch bei der Lösung kreativer Probleme.

Berechnungsmethoden arbeiten ausschließlich mit quantitativen Informationen, deren Verwendung bei der Analyse von Kontrollsystemen sehr begrenzt ist. Für die Analyse der Wirtschaftstätigkeit ist der Einsatz heuristischer Methoden zur Gewinnung qualitativer Merkmale einer Wirtschaftseinheit von großer Bedeutung. Heuristische Methoden basieren hauptsächlich auf der Erfahrung und Intuition von Spezialisten, ihren individuellen oder kollektiven Urteilen. Unter den heuristischen Methoden kann man evaluative und evaluative Suchanalysemethoden unterscheiden.

Heuristische Methoden werden in Arbeiten zum Personalmanagement, zur Führungsorganisation und zum Organisationsverhalten ausführlich dargelegt.

Die Bedingungen, die die Notwendigkeit des Einsatzes heuristischer Methoden vorgeben, lassen sich wie folgt charakterisieren:

Der qualitative Charakter der Ausgangsinformationen, beschrieben anhand wirtschaftlicher und sozialer Parameter, das Fehlen ausreichend repräsentativer und verlässlicher Informationen zu den Merkmalen des Forschungsgegenstandes;

Große Unsicherheit bei den Ausgangsdaten für die Analyse;

Fehlen einer klaren inhaltlichen Beschreibung und mathematischen Formalisierung des Bewertungsgegenstandes;

Mangel an Zeit und Geld für die Forschung anhand formaler Modelle;

Abwesenheit technische Mittel mit geeigneten Merkmalen für die analytische Modellierung;

Die extreme Natur der analysierten Situation.

Heuristische Analysemethoden stellen eine besondere Gruppe von Techniken zur Sammlung und Verarbeitung von Informationen dar, die auf dem professionellen Urteil einer Gruppe von Spezialisten basieren.

Klassifizierung heuristischer Analysemethoden

Heuristische Bewertungsmethoden

BEWERTUNGS- UND SUCHMETHODEN

Kommissionen und Konferenzen

Brainstorming

Kollektives Notizbuch

Ideenbank

Methode der aktiven soziologischen Analyse und Kontrolle

Geschäftsspiele

Funktions- und Kostenanalyse.

Heuristische Methoden werden oft als kreative Methoden bezeichnet, da sie auf dem kreativen Denken einer Gruppe von Menschen beruhen. Der Schlüssel zur Zuverlässigkeit und Validität von Analyseergebnissen mit heuristischen Methoden liegt in der richtigen Auswahl von Experten. Je nach Ziel und Schwerpunkt kann der Expertenkreis homogen sein oder aus Vertretern bestehen verschiedene Gruppen verwandte Spezialisten und manchmal auch nur interessierte Parteien. Wenn beispielsweise eine Expertengruppe zur Analyse technologischer Entwicklungen gebildet wird, gehören dazu Technologen, die die technische Neuheit einer Lösung professionell beurteilen können, Ökonomen, die ihre Wirksamkeit beurteilen können, und Mechaniker, die die Durchführbarkeit der Umsetzung beurteilen können neue Technologie Auf der bestehenden Produktionsbasis sind die Arbeiter Implementierer neuer Technologien. Bei der Beurteilung der Qualität von Produkten und deren Nachfrage umfasst die Expertengruppe nicht nur Rohstoffexperten, sondern auch Hersteller und Verbraucher von Produkten. Gleichzeitig bei der Entwicklung einiger technische Lösung Im ersten Schritt werden nur Spezialisten des entsprechenden Profils in die Expertengruppe aufgenommen.

In der Praxis haben sich recht komplexe Methoden zur Bildung einer Expertengruppe entwickelt:

Nach formalen Kriterien werden dabei Spezialisierung, Berufserfahrung, Verweildauer in einem Team berücksichtigt; Dazu gehören auch psychologische Beurteilungen des Einzelnen entsprechend der soziologischen Leistung der Organisation (sofern vorhanden), beispielsweise der Fähigkeit zu kreativem Denken, konstruktivem Denken usw.;

Basierend auf der im Rahmen der Befragung gewonnenen Selbsteinschätzung des Einzelnen bewertet in diesem Fall der zukünftige Experte selbst seine Fähigkeiten, einschließlich Qualifikation, analytisches und konstruktives Denken, Fähigkeit zur Anpassung an bestimmte Situationen usw.; Ergänzt wird diese Expertenauswahl durch die Bestimmung des Selbstwertgefühls des zukünftigen Experten – unterschätzt, überschätzt oder angemessen, was mit besonderer Sorgfalt durchgeführt wird

psychologische Expertenauswahl;

Basierend auf der Beurteilung der mit dem Antragsteller verbundenen Personen, wenn die fachlichen und persönlichen Qualitäten eines Spezialisten von Spezialisten mit ähnlichem Profil, Verbrauchern von Dienstleistungen und Mitarbeitern, die die Entscheidungen des Experten umsetzen, beurteilt werden;

Mithilfe eines Zufallsauswahlverfahrens (Sampling), wenn viele Personen (z. B. Verbraucher von Produkten und Dienstleistungen) als Experten fungieren können.

Bei der Analyse der Aktivitäten einer Wirtschaftseinheit umfasst die Expertengruppe häufig Führungskräfte verschiedener Ebenen und Mitarbeiter. So entsteht beispielsweise eine Expertengruppe bei der Wahl einer Produktionsentwicklungsstrategie, der Änderung des Anreizsystems, der Reform von Buchhaltungs- und Berichtssystemen sowie der Umstrukturierung von Organisationsstrukturen.

Daher werden bei der Auswahl von Experten häufig sowohl formale als auch psychologische Auswahlmethoden eingesetzt. In diesem Zusammenhang werden heuristische Methoden oft als psychologisch bezeichnet.

(Melyukhova Yana) 1) Typologiemethode basiert auf der mittlerweile populären Positionierungstheorie. Der Grundgedanke dieser Theorie ist die Existenz eines vorgefertigten, einheitlichen Bildes von Standardsituationen und Lösungen für alle. Die Aufgabe des Analytikers besteht darin, nach bestimmten Parametern eine dem Analyseobjekt entsprechende Position auszuwählen und eine von den Entwicklern der Methode vorgeschlagene Standardlösung zu erhalten. Praktische Anwendungen dieser Theorie sind die Matrizen von ZKG, MacKenzie usw. Die Technologie zur Implementierung der Methode umfasst die folgenden Phasen:

Bewertung des analysierten Objekts nach bestimmten vorgegebenen Parametern;

Positionierung des Objekts im typologischen Schema entsprechend den Parameterwerten;

Schema nach dem Typ des analysierten Objekts.

Beim Aufbau eines typologischen Schemas können Sie zwei oder mehr Parameter verwenden. Parameter können sowohl einfache als auch komplexe Eigenschaften widerspiegeln. Ein Beispiel für eine komplexe Immobilie sind die Aussichten eines Marktes, der durch Größe, Wachstumsrate, Grad der Befriedigung der Nutzerbedürfnisse, Wettbewerb, Preisniveau, Rentabilität usw. gekennzeichnet ist

usw. Wie aus dem obigen Beispiel ersichtlich ist, können Parameter sowohl quantitative als auch qualitative Bewertungen haben. Die Positionierung des analysierten Objekts (Objekte) im typologischen Raster ist in Form der einen oder anderen Markierung (Punkte, Kreise usw.) möglich.

Wenn es in bestimmten Bereichen zu Entwicklungen kommt, können Sie mithilfe typologischer Raster die Art des analysierten Objekts bestimmen und vorgefertigte Empfehlungen zu dessen Verbesserung verwenden. Allerdings muss man bei der Typologiemethode äußerst vorsichtig sein. Es muss berücksichtigt werden, dass universelle „Rezepte“ durchaus verlockend sind, da sie im Gegensatz zur Lösung kreativer Probleme stehen, die Vorteile der Anwendung der erhaltenen Empfehlungen jedoch sehr begrenzt sind. Es ist besser zu wissen, wie man Probleme erkennt und löst, als an vorgefertigte Erfolgsrezepte zu glauben. Nur in Kombination mit anderen Bewertungstechniken ermöglicht die Typologiemethode laut Autor eine Charakterisierung der Situation und das Finden akzeptabler Optionen für prädiktive Managemententscheidungen.

(Olya Kiseleva) 2) Expertenbewertungsmethode beruht auf der Ermittlung einer allgemeinen Einschätzung durch eine Expertengruppe durch statistische Verarbeitung individueller, unabhängiger Einschätzungen von Experten. In diesem Fall können Gruppenmitglieder gleichwertig sein oder unterschiedliche Ränge haben, die bei der Ermittlung des Prüfungsergebnisses berücksichtigt werden.

Bei der Rekrutierung von Experten sollten Sie sich an folgenden Anforderungen orientieren:

Hohes Maß an allgemeiner Gelehrsamkeit, Besitz von Spezialkenntnissen im analysierten Bereich;

Verfügbarkeit bestimmter praktischer und (oder) Forschungserfahrungen zum betrachteten Problem;

Die Fähigkeit, Entwicklungstrends des Untersuchungsgegenstandes angemessen einzuschätzen;

Fehlende Voreingenommenheit und mangelndes Interesse an einem bestimmten Bewertungsergebnis.

Durch Vorschulung, forschungsmethodische Ausbildung, Bereitstellung von Weitere Informationenüber den Gegenstand der Analyse.

(Olya Prilepa) 3) Methode der Expertenkommission basiert auf der Ermittlung einer einheitlichen kollektiven Meinung speziell ausgewählter Experten bei der Erörterung des gestellten Problems und Alternativen zu seiner Lösung aufgrund bestimmter Kompromisse.

Bei der Anwendung der Expertenkommissionsmethode erfolgt nicht nur eine statistische Aufbereitung der Ergebnisse der Einzelbewertung aller Gutachter, sondern auch ein Meinungsaustausch über die Ergebnisse der Prüfung und Klärung der Bewertungen. Der Nachteil dieses Verfahrens ist der starke Einfluss der Behörden auf die Meinung der Mehrheit der Prüfungsteilnehmer.

In Kontakt mit

Was ist ein heuristischer Analysator?

  1. Die heuristische Methode zielt im Gegensatz zur Signaturmethode darauf ab, Nichtsignaturen zu erkennen Schadcode, sondern typische Abläufe, die mit einiger Wahrscheinlichkeit Rückschlüsse auf die Art der Datei zulassen. Der Vorteil der heuristischen Analyse besteht darin, dass keine vorkompilierten Datenbanken erforderlich sind. Dadurch werden neue Bedrohungen erkannt, bevor ihre Aktivität den Virenanalysten bekannt wird.
  2. Bitte schreiben Sie mir, wenn Sie es herausfinden
  3. Beim heuristischen Scannen handelt es sich um eine auf Signaturen und Heuristiken basierende Methode zum Betrieb eines Antivirenprogramms, die darauf abzielt, die Fähigkeit von Scannern zu verbessern, Signaturen anzuwenden und modifizierte Versionen von Viren zu erkennen, wenn die Signatur nicht zu 100 % mit dem Körper eines unbekannten Programms übereinstimmt, aber Das verdächtige Programm weist allgemeinere Anzeichen eines Virus auf. Diese Technologie Allerdings wird in modernen Programmen sehr vorsichtig damit umgegangen, da es die Anzahl falsch positiver Ergebnisse erhöhen kann.
  4. Ein heuristischer Analysator (Heuristik) ist ein Antivirenmodul, das den Code einer ausführbaren Datei analysiert und ermittelt, ob das gescannte Objekt infiziert ist.
    Bei der heuristischen Analyse werden keine Standardsignaturen verwendet. Im Gegenteil: Eine Heuristik trifft eine Entscheidung auf der Grundlage voreingestellter, manchmal nicht ganz klarer Regeln.

    Zur besseren Verdeutlichung kann dieser Ansatz mit künstlicher Intelligenz verglichen werden, die selbstständig Analysen durchführt und Entscheidungen trifft. Diese Analogie spiegelt jedoch nur teilweise das Wesentliche wider, da die Heuristik nicht lernen kann und leider eine geringe Effizienz aufweist. Laut Antiviren-Experten sind selbst die modernsten Analysegeräte nicht in der Lage, mehr als 30 % der Schadcodes zu stoppen. Ein weiteres Problem sind Fehlalarme, wenn ein legitimes Programm als infiziert erkannt wird.

    Trotz aller Mängel werden in Antivirenprodukten immer noch heuristische Methoden eingesetzt. Tatsache ist, dass eine Kombination verschiedener Ansätze die endgültige Effizienz des Scanners steigern kann. Heute sind Produkte aller großen Player auf dem Markt mit Heuristiken ausgestattet: Symantec, Kaspersky Lab, Panda, Trend Micro und McAfee.
    Bei der heuristischen Analyse wird die Dateistruktur und ihre Übereinstimmung mit Virenmustern überprüft. Die beliebteste heuristische Technologie besteht darin, den Inhalt einer Datei auf Änderungen bereits bekannter Virensignaturen und deren Kombinationen zu überprüfen. Dies hilft bei der Identifizierung von Hybriden und neuen Versionen bisher bekannter Viren ohne zusätzliches Update Antiviren-Datenbank.
    Die heuristische Analyse dient der Erkennung unbekannter Viren und erfordert daher keine Behandlung.
    Diese Technologie ist nicht zu 100 % in der Lage festzustellen, ob sich ein Virus vor ihr befindet oder nicht, und wie jeder probabilistische Algorithmus leidet sie unter Fehlalarmen.

    Alle Fragen werden von mir gelöst, kontaktieren Sie mich, wir helfen Ihnen auf jede erdenkliche Weise

  5. Der heuristische Analysator fasst die Trends des Programmcodes basierend auf Aufrufen von Systeminterrupts zusammen und extrapoliert den Grad möglicher Bösartigkeit. Dies gewährleistet einen ausgewogenen Schutz des Betriebssystems.
    Nun, es scheint alles erklärt zu sein, okay? ;))
  6. Dabei handelt es sich um eine Art künstliche Intelligenz. Im wirklichen Leben ist diese Technologie nicht verfügbar, es gibt einige Annäherungen daran, als ob das Antivirenprogramm das Programm selbst analysiert und entscheidet, ob es sich um einen Virus handelt oder nicht

Scannen

Virenschutz.

Antivirenprogramme waren und sind das wichtigste Mittel zur Virenbekämpfung. Sie können Antivirenprogramme (Antivirenprogramme) verwenden, ohne eine Ahnung von deren Funktionsweise zu haben. Allerdings ist es unmöglich, einen zuverlässigen Computerschutz zu organisieren, ohne die Prinzipien von Antivirensoftware zu verstehen und die Arten von Viren sowie deren Verbreitung zu kennen. Dadurch kann der Computer auch dann infiziert werden, wenn darauf eine Antivirensoftware installiert ist.

Heutzutage werden mehrere grundlegende Techniken zur Erkennung und zum Schutz vor Viren eingesetzt:

· Scannen;

· heuristische Analyse;

· Verwendung von Antiviren-Monitoren;

· Änderungserkennung;

· Verwendung von Antivirenprogrammen, die im BIOS des Computers integriert sind.

Darüber hinaus bieten fast alle Antivirenprogramme eine automatische Wiederherstellung infizierter Programme und Bootsektoren. Natürlich, wenn möglich.

Die einfachste Methode zur Suche nach Viren besteht darin, dass das Antivirenprogramm die gescannten Dateien nacheinander nach Signaturen bekannter Viren durchsucht. Eine Signatur ist eine einzigartige Bytefolge, die zu einem Virus gehört und in anderen Programmen nicht zu finden ist.

Antiviren-Scanner-Programme können nur bereits bekannte und untersuchte Viren finden, für die eine Signatur definiert wurde. Der Einsatz einfacher Scannerprogramme schützt Ihren Computer nicht vor dem Eindringen neuer Viren.

Bei verschlüsselnden und polymorphen Viren, die ihren Code vollständig ändern können, wenn sie ein neues Programm oder einen neuen Bootsektor infizieren, ist es unmöglich, eine Signatur zu identifizieren. Daher können einfache Antiviren-Scanner-Programme polymorphe Viren nicht erkennen.

Mit der heuristischen Analyse können Sie bisher unbekannte Viren erkennen und müssen dafür nicht zunächst Daten über das Dateisystem sammeln, wie dies beispielsweise bei der unten beschriebenen Änderungserkennungsmethode erforderlich ist.

Antivirenprogramme, die die heuristische Analysemethode implementieren, scannen Programme und Bootsektoren von Festplatten und Disketten und versuchen, darin charakteristischen Code für Viren zu erkennen. Ein heuristischer Analysator kann beispielsweise erkennen, dass das getestete Programm ein residentes Modul im Speicher installiert oder Daten in die ausführbare Datei des Programms schreibt.

Fast alle modernen Antivirenprogramme implementieren eigene heuristische Analysemethoden. In Abb. 1 haben wir eines dieser Programme gezeigt – den McAffee VirusScan-Scanner, der manuell gestartet wird, um die Festplatte auf Antivirenprogramme zu scannen.

Wenn ein Antivirenprogramm eine infizierte Datei erkennt, zeigt es normalerweise eine Meldung auf dem Monitorbildschirm an und erstellt einen Eintrag in seinem eigenen oder Systemprotokoll. Abhängig von den Einstellungen sendet das Antivirenprogramm möglicherweise auch eine Nachricht über den erkannten Virus an den Netzwerkadministrator.

Wenn möglich desinfiziert das Antivirenprogramm die Datei und stellt ihren Inhalt wieder her. Andernfalls besteht die einzige Möglichkeit darin, die infizierte Datei zu löschen und sie dann aus einer Sicherungskopie wiederherzustellen (sofern Sie natürlich über eine verfügen).

Antivirenprogramme sind Programme, deren Hauptaufgabe darin besteht, vor Viren, genauer gesagt vor Malware, zu schützen.

Schutzmethoden und -prinzipien haben theoretisch keine besondere Bedeutung, sie zielen hauptsächlich auf die Bekämpfung von Schadsoftware ab. In der Praxis sieht die Situation jedoch etwas anders aus: Fast jedes Antivirenprogramm vereint in unterschiedlichem Ausmaß alle bisher entwickelten Technologien und Methoden des Virenschutzes.

Von allen Antiviren-Schutzmethoden lassen sich zwei Hauptgruppen unterscheiden:

  • Signaturmethoden- Genaue Virenerkennungsmethoden basierend auf dem Vergleich der Datei mit bekannten Virenproben
  • Heuristische Methoden- ungefähre Erkennungsmethoden, die es uns ermöglichen, mit einer gewissen Wahrscheinlichkeit anzunehmen, dass die Datei infiziert ist

Signaturanalyse

Das Wort Signatur ist in diesem Fall eine Calque des englischen Signatures und bedeutet „Signatur“ oder im übertragenen Sinne „ein charakteristisches Merkmal, etwas Identifizierendes“. Eigentlich sagt das alles. Signaturanalyse besteht darin, die charakteristischen Erkennungsmerkmale jedes Virus zu identifizieren und nach Viren zu suchen, indem Dateien mit den identifizierten Merkmalen verglichen werden.

Virensignatur wird als eine Reihe von Merkmalen betrachtet, die es ermöglichen, das Vorhandensein eines Virus in einer Datei eindeutig zu identifizieren (einschließlich der Fälle, in denen es sich bei der gesamten Datei um einen Virus handelt). Insgesamt bilden die Signaturen bekannter Viren die Antiviren-Datenbank.

Die Aufgabe, Signaturen zu identifizieren, wird in der Regel von Menschen gelöst – Experten auf dem Gebiet der Computervirologie, die in der Lage sind, den Virencode aus dem Programmcode zu isolieren und seine charakteristischen Merkmale in einer für die Suche am besten geeigneten Form zu formulieren. In der Regel, da in den einfachsten Fällen spezielle automatisierte Signaturextraktionstools eingesetzt werden können. Beispielsweise bei einfach aufgebauten Trojanern oder Würmern, die keine anderen Programme infizieren, sondern reine Schadprogramme sind.

Fast jedes Unternehmen, das Antivirenprogramme herstellt, verfügt über eine eigene Expertengruppe, die neue Viren analysiert und die Antivirendatenbank mit neuen Signaturen auffüllt. Aus diesem Grund sind Antiviren-Datenbanken in verschiedene Antivirenprogramme sind anders. Es besteht jedoch eine Vereinbarung zwischen Antiviren-Unternehmen zum Austausch von Virenproben, was dazu führt, dass die Signatur eines neuen Virus früher oder später in den Antiviren-Datenbanken fast aller Antivirenprogramme landet. Das beste Antivirenprogramm ist dasjenige, für das die neue Virensignatur zuerst veröffentlicht wurde.

Ein häufiges Missverständnis über Signaturen besteht darin, dass jede Signatur genau einem Virus oder einer Malware entspricht. Und so können Sie mit einer Antiviren-Datenbank mit einer großen Anzahl von Signaturen mehr Viren erkennen. Eigentlich stimmt das nicht. Sehr oft wird eine einzige Signatur zum Erkennen einer Familie ähnlicher Viren verwendet. Daher kann nicht mehr davon ausgegangen werden, dass die Anzahl der Signaturen mit der Anzahl der erkannten Viren übereinstimmt.

Das Verhältnis der Anzahl der Signaturen zur Anzahl der bekannten Viren ist für jede Antiviren-Datenbank unterschiedlich, und es kann durchaus sein, dass die Datenbank mit weniger Signaturen tatsächlich Informationen über eine größere Anzahl von Viren enthält. Wenn wir uns daran erinnern Antiviren-Unternehmen Beim Austausch von Virenproben können wir mit hoher Sicherheit davon ausgehen, dass die Antivirendatenbanken der bekanntesten Antivirenprogramme gleichwertig sind.

Eine wichtige zusätzliche Eigenschaft von Signaturen ist die genaue und garantierte Bestimmung des Virustyps. Mit dieser Eigenschaft können Sie nicht nur die Signaturen selbst, sondern auch Methoden zur Behandlung des Virus in die Datenbank eingeben. Wenn Signaturanalyse gab nur eine Antwort auf die Frage, ob es einen Virus gibt oder nicht, gab aber keine Antwort, um welche Art von Virus es sich handelt. Offensichtlich wäre eine Behandlung nicht möglich – das Risiko, falsche Maßnahmen zu ergreifen und statt einer Behandlung eine Behandlung zu erhalten Ein zusätzlicher Informationsverlust wäre zu groß.

Eine weitere wichtige, aber bereits negative Eigenschaft ist, dass Sie zum Erhalt einer Signatur eine Probe des Virus benötigen. Somit, Signaturmethode ist zum Schutz vor neuen Viren ungeeignet, da die Erstellung einer Signatur des Virus erst nach fachmännischer Analyse möglich ist. Deshalb werden alle großen Epidemien durch neue Viren verursacht. Vom Auftauchen eines Virus im Internet bis zur Veröffentlichung der ersten Signaturen vergehen meist mehrere Stunden, in denen der Virus nahezu ungehindert Computer infizieren kann. Fast schon, denn die oben besprochenen zusätzlichen Schutzmaßnahmen sowie heuristische Methoden in Antivirenprogrammen tragen zum Schutz vor neuen Viren bei.

Heuristische Analyse

Das Wort „heuristisch“ kommt vom griechischen Verb „finden“. Das Wesen heuristischer Methoden besteht darin, dass die Lösung eines Problems auf einigen plausiblen Annahmen basiert und nicht auf strengen Schlussfolgerungen aus bestehenden Fakten und Prämissen. Da diese Definition recht komplex und unverständlich klingt, lässt sie sich anhand von Beispielen verschiedener heuristischer Methoden einfacher erklären

Wenn die Signaturmethode auf der Identifizierung der charakteristischen Merkmale eines Virus und der Suche nach diesen Merkmalen in den gescannten Dateien basiert, basiert die heuristische Analyse auf der (sehr plausiblen) Annahme, dass neue Viren häufig einem der Viren ähnlich sind bereits bekannte. Im Nachhinein wird diese Annahme durch das Vorhandensein in gerechtfertigt Antiviren-Datenbanken Signaturen zur gleichzeitigen Identifizierung nicht eines, sondern mehrerer Viren. Basierend auf dieser Annahme besteht eine heuristische Methode darin, nach Dateien zu suchen, die nicht vollständig, aber sehr genau mit den Signaturen bekannter Viren übereinstimmen.

Ein positiver Effekt dieser Methode ist die Möglichkeit, neue Viren zu erkennen, noch bevor ihnen Signaturen zugewiesen werden. Negative Seiten:

  • Die Wahrscheinlichkeit, fälschlicherweise das Vorhandensein eines Virus in einer Datei zu erkennen, obwohl die Datei tatsächlich sauber ist – solche Ereignisse werden als falsch positive Ergebnisse bezeichnet
  • Unmöglichkeit der Behandlung – sowohl aufgrund möglicher falsch positiver Ergebnisse als auch aufgrund einer möglichen ungenauen Bestimmung des Virustyps kann ein Behandlungsversuch zu größeren Informationsverlusten führen als das Virus selbst, und dies ist inakzeptabel
  • Geringe Effizienz – gegen wirklich innovative Viren, die die größten Epidemien verursachen, ist diese Art der heuristischen Analyse von geringem Nutzen

Suchen Sie nach Viren, die verdächtige Aktionen ausführen

Eine andere auf Heuristik basierende Methode geht davon aus, dass Malware versucht, dem Computer Schaden zuzufügen. Die Methode basiert auf der Identifizierung der wichtigsten böswilligen Aktionen, wie zum Beispiel:

  • Eine Datei löschen
  • In Datei schreiben
  • Schreiben in bestimmte Bereiche der Systemregistrierung
  • Öffnen eines Abhörports
  • Abfangen von über die Tastatur eingegebenen Daten
  • Versenden von Briefen
  • Usw.

Es ist klar, dass die separate Ausführung jeder dieser Aktionen kein Grund ist, das Programm als bösartig zu betrachten. Wenn ein Programm jedoch nacheinander mehrere solcher Aktionen ausführt, beispielsweise seinen eigenen Start in der Autorun-Taste der Systemregistrierung aufzeichnet, über die Tastatur eingegebene Daten abfängt und diese Daten mit einer bestimmten Häufigkeit an eine Adresse im Internet sendet, dann handelt es sich um dieses Programm am wenigsten verdächtig. Ein auf diesem Prinzip basierender heuristischer Analysator muss die von Programmen ausgeführten Aktionen ständig überwachen.

Der Vorteil der beschriebenen Methode liegt in der Möglichkeit, bisher unbekannte Schadsoftware zu erkennen, auch wenn diese nicht sehr ähnlich zu bereits bekannten ist. Beispielsweise kann ein neues Schadprogramm eine neue Schwachstelle ausnutzen, um in einen Computer einzudringen, danach aber bereits bekannte Schadaktionen ausführen. Ein solches Programm kann von einem heuristischen Analysator des ersten Typs übersehen werden, kann aber durchaus von einem Analysator des zweiten Typs erkannt werden.

Negative Merkmale sind die gleichen wie zuvor:

  • Fehlalarm
  • Unmöglichkeit der Behandlung
  • Geringe Effizienz

In diesem Artikel geht es um Antivirenprogramme Software. Informationen zur Anwendung von Heuristiken bei der Usability-Bewertung finden Sie unter Heuristische Bewertung.

Heuristische Analyse ist eine Methode, die von vielen Computer-Antivirenprogrammen verwendet wird, um bisher unbekannte Computerviren sowie neue Varianten von bereits verbreiteten Viren zu erkennen.

Die heuristische Analyse basiert auf einer Expertenanalyse, die mithilfe verschiedener Entscheidungsregeln oder Gewichtungsmethoden die Anfälligkeit eines Systems für eine bestimmte Bedrohung/ein bestimmtes Risiko bestimmt. Die Multikriterienanalyse (MCA) ist eines der Abwägungsinstrumente. Diese Methode unterscheidet sich von der statistischen Analyse, die auf verfügbaren Daten/Statistiken basiert.

Betrieb

Die meisten Antivirenprogramme, die eine heuristische Analyse verwenden, führen diese Funktion aus, indem sie Programmierbefehle von einem fragwürdigen Programm oder Skript in einer speziellen virtuellen Maschine ausführen. Dadurch kann das Antivirenprogramm intern simulieren, was passieren würde, wenn eine verdächtige Datei ausgeführt würde, während der verdächtige Code gespeichert würde .isoliert von der realen Welt der Maschine. Anschließend analysiert es Befehle während ihrer Ausführung, überwacht häufige Virenaktivitäten wie Replikation, Dateiumschreibungen und versucht, die Existenz einer verdächtigen Datei zu verbergen. Wenn ein oder mehrere Viren erkannt werden, wird die verdächtige Datei als potenzieller Virus gekennzeichnet und der Benutzer wird gewarnt.

Eine weitere gängige heuristische Analysemethode besteht darin, dass ein Antivirenprogramm ein verdächtiges Programm dekompiliert und dann den darin enthaltenen Maschinencode analysiert. Der Quellcode der verdächtigen Datei wird mit dem Quellcode bekannter Viren und virusähnlicher Aktivitäten verglichen. Wenn ein bestimmter Prozentsatz des Quellcodes mit dem Code eines bekannten Virus oder einer virusähnlichen Aktivität übereinstimmt, wird die Datei markiert und der Benutzer benachrichtigt.

Effizienz

Heuristische Analysen können viele bisher unbekannte Viren und neue Varianten aktueller Viren erkennen. Die heuristische Analyse basiert jedoch auf Erfahrung (durch Vergleich einer verdächtigen Datei mit dem Code und der Funktion bekannter Viren). Dies bedeutet, dass Sie wahrscheinlich neue Viren übersehen, die bisher unbekannte Arbeitsmethoden enthalten, die in keinem der bekannten Viren zu finden sind. Folglich ist die Effizienz hinsichtlich Genauigkeit und Anzahl falsch positiver Ergebnisse recht gering.

Wenn menschliche Forscher neue Viren entdecken, werden der heuristischen Analyse der Engine Informationen über sie hinzugefügt, wodurch die Engine die Möglichkeit erhält, neue Viren zu erkennen.

Was ist eine heuristische Analyse?

Die heuristische Analyse ist eine Methode zur Erkennung von Viren, indem Code auf verdächtige Eigenschaften analysiert wird.

Bei herkömmlichen Virenerkennungsmethoden wird Malware identifiziert, indem der Code im Programm mit dem Code bekannter Virentypen verglichen wird, die bereits aufgetreten sind, analysiert und in einer Datenbank aufgezeichnet werden – die sogenannte Signaturerkennung.

Obwohl sie nützlich ist und immer noch verwendet wird, ist die Erkennung von Signaturen aufgrund der Entwicklung neuer Bedrohungen, die um die Jahrhundertwende explosionsartig zunahmen und immer wieder auftauchen, auch eingeschränkter geworden.

Um dieses Problem zu lösen, wurde ein heuristisches Modell speziell entwickelt, um verdächtige Funktionen zu identifizieren, die in unbekannten, neuen Viren und modifizierten Versionen bestehender Bedrohungen sowie bekannten Malware-Beispielen zu finden sind.

Cyberkriminelle entwickeln ständig neue Bedrohungen, und die heuristische Analyse ist eine der wenigen Methoden, mit denen sie das schiere Ausmaß dieser täglich neuen Bedrohungen bekämpfen können.

Die heuristische Analyse ist zudem eine der wenigen Methoden, die in der Lage sind, polymorphe Viren zu bekämpfen – ein Begriff für Schadcode, der sich ständig verändert und anpasst. Heuristische Analyse inklusive fortschrittliche Lösungen Sicherheit, die von Unternehmen wie Kaspersky Labs angeboten wird, um neue Bedrohungen zu erkennen, bevor sie Schaden anrichten, ohne dass eine bestimmte Signatur erforderlich ist.

Wie funktioniert die heuristische Analyse?

Die heuristische Analyse ermöglicht den Einsatz vieler verschiedener Techniken. Eine heuristische Technik, bekannt als statische heuristische Analyse, besteht darin, ein verdächtiges Programm zu dekompilieren und seinen Quellcode zu untersuchen. Dieser Code wird mit bereits bekannten und in heuristischen Datenbanken lokalisierten Viren verglichen. Wenn ein Prozentsatz des Quellcodes mit einem Eintrag in der heuristischen Datenbank übereinstimmt, wird der Code als mögliche Bedrohung gekennzeichnet.

Eine andere Methode ist die sogenannte dynamische Heuristik. Wenn Wissenschaftler etwas Verdächtiges analysieren möchten, ohne Menschen zu gefährden, bewahren sie die Substanzen in einer kontrollierten Umgebung, wie einem sicheren Labor, auf und führen Tests durch. Dieser Vorgang ist bei der heuristischen Analyse ähnlich – aber auch in der virtuellen Welt.

Es isoliert verdächtige Programme oder einen Codeabschnitt in einem speziellen virtuelle Maschine- oder Sandboxes - und gibt dem Antivirenprogramm die Möglichkeit, den Code zu überprüfen und zu simulieren, was passieren würde, wenn die verdächtige Datei ausgeführt werden dürfte. Es untersucht jeden Befehl, wie er funktioniert, und sucht nach verdächtigem Verhalten, wie z. B. Selbstreplikation, Überschreiben von Dateien und anderen Aktionen, die bei Viren häufig vorkommen. Potenzielle Probleme

Die heuristische Analyse ist ideal für die Identifizierung neuer Bedrohungen. Um jedoch effektiv zu sein, müssen Heuristiken sorgfältig abgestimmt werden, um die beste Erkennung neuer Bedrohungen zu ermöglichen, ohne dass bei völlig harmlosem Code Fehlalarme generiert werden.



Freunden erzählen
Twitter
Anweisungen...
Nächster Artikel
Lesen Sie auch
So formatieren Sie Ihren Computer, damit Windows nicht gelöscht wird
So formatieren Sie Ihren Computer, damit Windows nicht gelöscht wird
2023-11-03 00:02:19
Die besten Datenbanken sammeln wir selbst
Die besten Datenbanken sammeln wir selbst
2023-11-02 00:06:06
Automatische Erkennung der Forum-Engine Bespravny powered by smf
Automatische Erkennung der Forum-Engine Bespravny powered by smf
2023-11-02 00:06:06
Was bedeutet ein in Symbolen geschriebenes Emoticon - Bedeutung von Symbolen und Dekodierung von Text-Emoticons
Was bedeutet ein in Symbolen geschriebenes Emoticon - Bedeutung von Symbolen und Dekodierung von Text-Emoticons
2023-11-01 00:03:09