Jak fungují jednotlivé detekční vrstvy

Pro zajištění nejvyšší míry detekce využívá ESET LiveGuard Advanced čtyři odlišné detekční vrstvy. Každá vrstva analyzuje vzorek jiným způsobem a poskytuje samostatný výsledek. Finální rozhodnutí je založeno na základě všech získaných informacích o zaslaném vzorku. Níže uvádíme schéma celého procesu:

layer_overview_small

Kliknutím na obrázek si zobrazíte jeho plnou velikost

Vrstva č.1: Pokročilá extrakce a kontrola

Po vstupu do počáteční vrstvy ESET LiveGuard Advanced – zvané pokročilá extrakce a kontrola – se statické vzorky porovnávají vůči databázi hrozeb společnosti ESET, která je navíc doplněna o experimentální a dosud nezveřejněné detekce. Stejně se vzory porovnávají vůči seznamu čistých, potenciálně nechtěných (PUA) a potenciálně zneužitelných (PUsA) objektů. Malware se často snaží zabránit detekci skrytím svého škodlivého jádra za několik komprimačních vrstev. Pro zajištění správné analýzy je nutné nejprve tento obal odstranit. ESET LiveGuard Advanced k tomu využívá právě vrstvu pokročilé extrakce a kontroly, kdy jsou na vzorky spuštěny velmi specializované nástrojů založené na tzv. packerech, které analytici virových laboratoří ESET objevili ve škodlivém kódu. Tyto specializované nástroje na extrakci odstraní ochranný obal škodlivého kódu, aby ESET LiveGuard Advanced následně mohl opětovně porovnat vzorek vůči databázi hrozeb doplněné o dosud nezveřejněné detekce. Vrstva pokročilé extrakce a kontroly klasifikuje vzorek jako čistý, malware, PUA nebo PUsA. S ohledem na bezpečnostní rizika a hardwarové požadavky ze strany nástrojů na extrakci a další související procesů, je nezbytným předpokladem k provádění těchto operací velmi výkonné a bezpečné prostředí. Toto jedinečné prostředí zajišťuje robustní a odolná cloudová infrastruktura ESET LiveGuard Advanced.

layer_1

Vrstva č.2: Detekce s využitím pokročilého strojového učení

Každý vzorek odeslaný do ESET LiveGuard Advanced je podroben statické analýze prostřednictvím detekce s využitím pokročilého strojového učení, jejímž výstupem je základní charakteristika vzorku. Pouhá analýza komprimovaného nebo zašifrovaného kódu bez jeho dalšího zpracování by vedla pouze k pokusu o klasifikaci datového šumu bez relevantního výsledku. Proto je objekt zároveň podroben další, dynamické, analýze, která z něj získá jeho instrukce a geny (DNA). Popsáním aktivních vlastností a chování vzorku je možné odhalit charakteristiku komprimovaných nebo obfuskovaných vzorků bez jejich spuštění. Informace získané v předchozích krocích jsou dále zpracovány hrstkou pečlivě vybraných klasifikačních modelů a algoritmů hloubkového učení. Na závěr jsou všechny tyto informace spojeny prostřednictvím neuronové sítě, která klasifikuje vzorek jako čistý, podezřelý, velmi podezřelý nebo škodlivý. V případě že se tato nebo jiná vrstva ESET LiveGuard Advanced nepoužije, zobrazí se informace "analýza není potřebná". Vzhledem na složitost a hardwarové požadavky těchto operací je vyžadovaná výrazně výkonnější infrastruktura, než kterou dokáže nabídnout koncové zařízení uživatele. Na zvládnutí těchto výpočtově náročných úloh vyvinuli inženýři společnosti ESET špičkovou a komplexní sestavu systémů – ESET LiveGuard Advanced.

layer_2

Vrstva č.3: Experimentální detekční jádro  

Dále je nezbytné u každého vzorku provést jeho hlubší analýzu chování, která doplní předchozí zjištění. Získání tohoto typu informací o hrozbách zajišťuje v ESET LiveGuard Advanced detekční vrstva zvaná Experimentální detekční jádro. Podezřelé objekty jsou umístěny do sady přesně nakonfigurovaných systémů, které připomínají počítače z reálného života s různými operačními systémy – představit si je můžete jako "sandbox na steroidech". Toto kontrolované prostředí slouží jako monitorovací buňky vybavené řadou detekčních algoritmů ESET, které zaznamenávají každou akci. Za účelem identifikace skrytého škodlivého chování generuje experimentální detekční jádro velké množství výpisů paměti. Ty jsou následně kontrolovány a porovnávány vůči databázi hrozeb společnosti ESET doplněné o experimentální a dosud nezveřejněné detekce, za účelem dosažení velmi přesných výsledků detekce a extrémně nízkého počtu falešných poplachů. Informace získané experimentálním detekčním jádrem jsou zaznamenány do souhrnného seznamu událostí zachycených v sandboxu. Tento seznam je následně využit v poslední detekční vrstvě ESET LiveGuard Advanced.

layer_3

Vrstva č.4: Hloubková analýza chování

Poslední detekční vrstva systému ESET LiveGuard Advanced, známá jako Hloubková analýza chování, podrobně analyzuje aktivitu vzorku – včetně informací o vytvořených nebo smazaných souborech z pevného disku, záznamech v registru Windows, veškerých pokusech o externí komunikaci a spuštěných skriptech. V této fázi se ESET LiveGuard Advanced zaměřuje na škodlivé a podezřelé aktivity jako jsou pokusy o připojení k webovým umístěním se špatnou reputací, použití známých škodlivých objektů a jedinečných řetězců vygenerovaných konkrétními rodinami malware. Za účelem identifikace i nepatrného náznaku škodlivého chování, hloubková analýza chování rozděluje výstupy ze sandboxu do logických bloků, které jsou následně porovnávány vůči rozsáhlé a pravidelně kontrolované databázi dříve analyzovaných vzorců a řetězů aktivit.

layer_4

Finální výsledek

ESET LiveGuard Advanced použije výsledky z jednotlivých vrstev a na základě nich vyhodnotí stav zaslaného vzorku. Výsledek je doručen bezpečnostnímu produktu ESET, ze kterého byl zaslán, stejně tak všem zařízením v infrastruktuře zákazníka.

Layer_verdict