Πώς λειτουργούν τα επίπεδα ανίχνευσης
Το ESET LiveGuard Advanced χρησιμοποιεί 4 ξεχωριστά επίπεδα ανίχνευσης για να διασφαλίζει το υψηλότερο ποσοστό ανίχνευσης. Κάθε επίπεδο χρησιμοποιεί διαφορετική προσέγγιση και παρέχει την κρίση του για το δείγμα. Η τελική αξιολόγηση είναι το αποτέλεσμα όλων των πληροφοριών σχετικά με το δείγμα. Δείτε την επισκόπηση της διεργασίας στο παρακάτω σχήμα:
Κάντε κλικ στην εικόνα για την φωτογραφία πλήρους μεγέθους.
Επίπεδο 1: Προηγμένη αποσυσκευασία και σάρωση
Κατά την είσοδο στο αρχικό επίπεδο του ESET LiveGuard Advanced - το επονομαζόμενο επίπεδο προηγμένης αποσυσκευασίας και σάρωσης - τα στατικά δείγματα αντιστοιχίζονται με τη βάση δεδομένων απειλών της ESET: εμπλουτισμένα με πειραματικές ανιχνεύσεις και ανιχνεύσεις που δεν έχουν διανεμηθεί ακόμα, καθώς και με έναν περιεκτικό κατάλογο καθαρών, ενδεχομένως ανεπιθύμητων (PUA) και ενδεχομένως μη ασφαλών (PUsA) στοιχείων. Το κακόβουλο λογισμικό προσπαθεί συχνά να εμποδίσει την ανίχνευση κρύβοντας τον κακόβουλο πυρήνα του πίσω από μια σειρά επιπέδων συσκευασίας. Συνεπώς, για σωστή ανάλυση, πρέπει να αφαιρεθεί αυτό το επίπεδο. Το ESET LiveGuard Advanced χρησιμοποιεί προηγμένη αποσυσκευασία και σάρωση για να το επιτύχει αυτό, χρησιμοποιώντας πολύ εξειδικευμένα εργαλεία που βασίζονται σε προγράμματα συσκευασίας, τα οποία έχουν βρει οι ερευνητές της ESET σε κακόβουλο κώδικα. Αυτά τα εξειδικευμένα προγράμματα αποσυσκευασίας αποκαλύπτουν το προστατευτικό επίπεδο του κακόβουλου λογισμικού, επιτρέποντας στο ESET LiveGuard Advanced να αντιστοιχίσει το δείγμα με την εμπλουτισμένη βάση δεδομένων απειλών για άλλη μια φορά. Το επίπεδο Προηγμένης αποσυσκευασίας και σάρωσης ταξινομεί το δείγμα ως κακόβουλο λογισμικό, καθαρό PUA ή PUsA. Λόγω των κινδύνων ασφαλείας και των απαιτήσεων υλικού που συσχετίζονται με τα προγράμματα αποσυσκευασίας και άλλες ενσωματωμένες διαδικασίες, απαιτείται ένα περιβάλλον υψηλών επιδόσεων και ασφάλειας. Αυτό το μοναδικό περιβάλλον παρέχεται από την ισχυρή και ανθεκτική υποδομή cloud του ESET LiveGuard Advanced.
Επίπεδο 2: Προηγμένη ανίχνευση με μηχανική μάθηση
Κάθε στοιχείο το οποίο υποβάλλεται στο ESET LiveGuard Advanced υπόκειται επίσης σε στατική ανάλυση μέσω Προηγμένης ανίχνευσης εκμάθησης υπολογιστή, η οποία παράγει τα βασικά χαρακτηριστικά του δείγματος. Επειδή η ανάλυση συμπιεσμένου ή κρυπτογραφημένου κώδικα χωρίς περαιτέρω επεξεργασία θα επιχειρούσε να ταξινομήσει μόνο το θόρυβο, το υποβληθέν στοιχείο υποβάλλεται ταυτόχρονα σε μια άλλη πιο δυναμική ανάλυση, η οποία εξάγει τις οδηγίες και τα γονίδια DNA. Με την περιγραφή των ενεργών χαρακτηριστικών και συμπεριφορών ενός δείγματος, τα κακόβουλα χαρακτηριστικά των συσκευασμένων ή συγκεχυμένων αντικειμένων αποκαλύπτονται ακόμη και χωρίς την εκτέλεσή του. Οι πληροφορίες που εξάγονται από όλα τα προηγούμενα βήματα υποβάλλονται σε περαιτέρω επεξεργασία από έναν μικρό στρατό προσεκτικά επιλεγμένων μοντέλων ταξινόμησης και αλγορίθμων βαθιάς μάθησης. Τέλος, όλες αυτές οι πληροφορίες ενοποιούνται μέσω ενός νευρωνικού δικτύου που επιστρέφει ένα από τα τέσσερα επίπεδα πιθανότητας - κακόβουλο, εξαιρετικά ύποπτο, ύποπτο και καθαρό. Σε περίπτωση που δεν χρησιμοποιείται αυτό ή οποιοδήποτε άλλο επίπεδο του ESET LiveGuard Advanced, εμφανίζεται ένα μήνυμα «δεν απαιτείται ανάλυση». Λόγω της πολυπλοκότητας και των απαιτήσεων υλικού αυτών των διαδικασιών, απαιτείται μια σημαντικά πιο ισχυρή υποδομή από αυτήν που παρέχεται από το τερματικό ενός χρήστη. Προκειμένου να χειριστούν εργασίες με τόσους πολλούς υπολογισμούς, οι μηχανικοί της ESET επινόησαν ένα ανώτερο και σύνθετο σύνολο συστημάτων – το ESET LiveGuard Advanced.
Επίπεδο 3: Πειραματικός μηχανισμός ανίχνευσης
Για την περαιτέρω ανάλυση κάθε δείγματος, απαιτείται βαθύτερη ανάλυση που εστιάζει στη συμπεριφορά, ώστε να συμπληρωθούν τα προηγούμενα ευρήματα. Για να συγκεντρωθεί αυτό το είδος πληροφοριών για απειλές, χρησιμοποιείται άλλο ένα επίπεδο του ESET LiveGuard Advanced - ο Πειραματικός μηχανισμός ανίχνευσης. Εισαγάγει το ύποπτο στοιχείο σε ένα σύνολο συστημάτων οι παράμετροι των οποίων έχουν ρυθμιστεί επακριβώς και τα οποία είναι παρόμοια με υπολογιστές πλήρους κλίμακας που χρησιμοποιούν διάφορα λειτουργικά συστήματα – ένα είδος «ενισχυμένου περιβάλλοντος προστατευμένης εκτέλεσης». Αυτά τα έντονα ελεγχόμενα περιβάλλοντα χρησιμεύουν ως θάλαμοι παρακολούθησης που είναι εξοπλισμένοι με μια λεγεώνα αλγορίθμων ανίχνευσης της ESET που καταγράφουν κάθε ενέργεια. Για να εντοπιστεί η κρυφή κακόβουλη συμπεριφορά, ο Πειραματικός μηχανισμός ανίχνευσης παράγει επίσης μεγάλο αριθμό αρχείων ένδειξης σφαλμάτων μνήμης. Στη συνέχεια, αυτά τα αρχεία σαρώνονται και αντιστοιχίζονται με την εμπλουτισμένη βάση δεδομένων απειλών της ESET, η οποία ενσωματώνει αδημοσίευτες και πειραματικές ανιχνεύσεις, διασφαλίζοντας πολύ ακριβή αποτελέσματα ανίχνευσης και εξαιρετικά χαμηλό αριθμό ψευδώς θετικών αποτελεσμάτων. Οι πληροφορίες που συλλέγονται από τον Πειραματικό μηχανισμό ανίχνευσης συγκεντρώνονται επίσης σε μια περιεκτική λίστα συμβάντων που ανιχνεύονται από το περιβάλλον προστατευμένης εκτέλεσης, το οποίο χρησιμοποιείται στη συνέχεια για περαιτέρω ανάλυση στο τελικό επίπεδο ανίχνευσης του ESET LiveGuard Advanced – Ανάλυση συμπεριφορά σε βάθος.
Επίπεδο 4: Ανάλυση συμπεριφοράς σε βάθος
Στο τελικό επίπεδο του ESET LiveGuard Advanced, που ονομάζεται και Ανάλυση συμπεριφοράς σε βάθος, όλες οι έξοδοι του περιβάλλοντος προστατευμένης εκτέλεσης – συμπεριλαμβανομένων των αρχείων που δημιουργήθηκαν ή καταργήθηκαν από τον σκληρό δίσκο, των καταχωρήσεων που προστέθηκαν ή καταργήθηκαν από το μητρώο συστήματος των Windows, όλων των προσπαθειών εξωτερικής επικοινωνίας και των δεσμών ενεργειών που εκτελούνται – υπόκεινται σε διεξοδική ανάλυση συμπεριφοράς. Σε αυτό το στάδιο, το ESET LiveGuard Advanced εστιάζει σε κακόβουλες και ύποπτες ενέργειες, όπως οι απόπειρες συνδέσεων σε τοποθεσίες διαδικτύου με κακή φήμη, η χρήση γνωστών κακόβουλων αντικειμένων και η χρήση μοναδικών συμβολοσειρών που δημιουργούνται από συγκεκριμένες οικογένειες κακόβουλου λογισμικού. Η Ανάλυση συμπεριφοράς σε βάθος χωρίζει επίσης τις εξόδους του περιβάλλοντος προστατευμένης εκτέλεσης σε λογικά μπλοκ, τα οποία αντιστοιχίζονται στη συνέχεια με μια εκτεταμένη βάση δεδομένων που αναθεωρείται περιοδικά, και περιλαμβάνει μοτίβα και αλυσίδες ενεργειών που έχουν αναλυθεί προηγουμένως, για τον εντοπισμό ακόμη και της παραμικρής ένδειξης κακόβουλης συμπεριφοράς.
Τελικό αποτέλεσμα
Το ESET LiveGuard Advanced συνδυάζει όλες τις διαθέσιμες κρίσεις από τα επίπεδα ανίχνευσης και αξιολογεί την κατάσταση του δείγματος. Το αποτέλεσμα παραδίδεται πρώτα στο προϊόν ασφάλειας ESET του χρήστη και στην υποδομή της εταιρείας του.
