Heuristiek


  Share  
|

Beschouw een situatie waarin je belast met het identificeren van alle wereld-klasse internationale spionnen die u zou kunnen ontmoeten, maar je wist niet wat ze eigenlijk uitzag. Je kan de aanpak van dit probleem door eerst de ontwikkeling van een matrix die vermeld bekende spion attributen en de punten toegekend aan hen op basis van hoe sterk ze geven een spion. Uw lijst zou er ongeveer zo uitzien:

  • Draagt een stijlvol pak of een smoking (70 punten).

  • Overleeft rampen en andere onwaarschijnlijke situaties (30 punten).

  • Rijdt in een gelikte auto (80 punten).

  • Nooit heeft een bad hair day (58 punten).

De lijst kan op gaan, maar je krijgt het idee. Indien de som van alle punten voor het individu een bepaalde waarde overschrijdt, kunt u ervoor kiezen dat hij of zij is waarschijnlijk een spion zonder ooit het zien van dit bijzondere spion voor. Vervolgens kunt u vragen voor een ritje in de gelikte auto.

Het realiseren van de beperkingen van handtekeningen gebaseerde detectie methoden, hebben leveranciers van antivirusprogramma bedacht soortgelijke manieren waarop zij kunnen detecteren virussen die voorheen onzichtbaar vertonen bepaalde gedrags-en structurele kenmerken. Symantec, bijvoorbeeld, noemt dit kenmerk van zijn Norton AntiVirus product Bloodhound. Een heuristiek gebaseerde detectie-engine scant het bestand voor functies vaak zien in virussen, zoals deze:

  • Pogingen om toegang tot de boot sector.

  • Pogingen om alle documenten te vinden in de huidige directory.

  • Pogingen om te schrijven naar een EXE-bestand.

  • Pogingen om de harde schijf verwijderen inhoud.

Zoals de heuristiek scanner het bestand onderzoekt, wijst het meestal een gewicht aan elke virus-achtige functie die zij tegenkomt. Als het totale gewicht van het bestand een bepaalde drempel overschrijdt, dan is de scanner acht het kwaadaardige code. Als ontwikkelaar van de scanner wordt de drempel te laag, dan is de gebruiker kunnen worden overspoeld met vals alarm. Aan de andere kant, als de drempel te hoog is ingesteld, of indien virus-achtige functies niet naar behoren zijn geïdentificeerd, dan zal de detector te veel virussen missen. Hoe dan ook, is de bescherming van de gebruiker beperkt, tenzij de gevoeligheid is gewoon recht te zetten.

Gezien de moeilijkheid van betrouwbaar emuleren een processor, heuristische detectie benaderingen zijn verre van waterdicht. Het is vooral een uitdaging om de effecten van macro-gebaseerde virussen, omdat hun structuur en mogelijke uitvoering stromen veel minder voorspelbaar dan die van gecompileerde executables. Als gevolg hiervan doen virusscanners niet beroepen op heuristiek als de enige aanpak van de opsporing van virussen-zij ook gebruik maken van de goede oude handtekening techniek, en soms ook in dienst van de integriteit controle beschreven methode de volgende.

een artikel afkomstig van Levi D. Johnson

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions