Ayuda en línea de ESET

Búsqueda Español
Seleccione el tema

Cómo funcionan las capas de detección

ESET LiveGuard Advanced utiliza cuatro capas de detección independientes para garantizar la máxima velocidad de detección. Cada capa utiliza un enfoque diferente y da su veredicto sobre la muestra. La evaluación final es el resultado de toda la información sobre la muestra. Consulte la descripción general del proceso en el siguiente esquema:

layer_overview

Haga clic en la imagen para verla a tamaño completo.

Capa 1: Descompresión y análisis avanzados

Al acceder a la capa inicial de ESET LiveGuard Advanced, la llamada capa de descompresión y análisis avanzados, las muestras estáticas se cotejan con la base de datos de amenazas de ESET, enriquecida con detecciones experimentales y aún no distribuidas, así como con una lista completa de elementos limpios, potencialmente no deseados (PUA) y poco seguros (PUsA). El malware a menudo intenta frustrar la detección ocultando su núcleo malicioso detrás de una serie de capas de compresión; por lo tanto, para un análisis adecuado, es necesario eliminar esta capa. Para ello, ESET LiveGuard Advanced utiliza la descompresión y el análisis avanzados mediante el uso de herramientas altamente especializadas basadas en los compresores que los investigadores de ESET han encontrado en el código malicioso. Estos descompresores especializados eliminan la capa protectora del malware, lo que permite a ESET LiveGuard Advanced cotejar la muestra con la base de datos de amenazas enriquecida una vez más. La capa de descompresión y análisis avanzados clasifica la muestra como malware, limpio, PUA o PUsA. Debido a los riesgos de seguridad y las demandas de hardware asociadas a los descompresores, así como a otros procedimientos incorporados, es necesario un entorno de alto rendimiento y seguro. Este entorno único se proporciona mediante la infraestructura de nube robusta y resistente de ESET LiveGuard Advanced.

layer_1

Capa 2: Detección con aprendizaje automático avanzado

Cada elemento enviado a ESET LiveGuard Advanced se somete también a un análisis estático a través de la detección de aprendizaje automático avanzado, que ofrece características básicas de la muestra. Como el análisis de un código comprimido o cifrado sin más procesamiento solo trataría de clasificar el ruido, el elemento presentado se somete simultáneamente a otro análisis, más dinámico, que extrae sus instrucciones y genes de ADN. Al describir las características y los comportamientos activos de una muestra, se descubren las características maliciosas de los objetos comprimidos u ocultos incluso sin ejecutarlos. La información extraída de todos los pasos anteriores la procesa posteriormente un pequeño ejército de modelos de clasificación y algoritmos de aprendizaje profundo cuidadosamente elegidos. Por último, toda esta información se consolida mediante una red neural que devuelve cuatro niveles de probabilidad: malicioso, muy sospechoso, sospechoso y limpio. Si no se utiliza esta o ninguna otra capa de ESET LiveGuard Advanced, se mostrará el mensaje que indica que no es necesario realizar el análisis. Debido a la complejidad y a las exigencias de hardware de estos procedimientos, es necesario contar con una infraestructura mucho más potente que la proporcionada por el punto de acceso del usuario. Para manejar las tareas con un nivel intenso de computación, los ingenieros de ESET idearon un conjunto superior y complejo de sistemas: ESET LiveGuard Advanced.

layer_2

Capa 3: Motor de detección experimental

Para profundizar en el análisis de cada muestra, es necesario un análisis más detallado y centrado en el comportamiento para complementar los resultados anteriores. Para recopilar este tipo de información sobre amenazas, interviene otra capa de ESET LiveGuard Advanced: el motor de detección experimental. Inserta el elemento sospechoso en un conjunto de sistemas configurados de forma precisa que se asemejan a equipos a escala completa con diversos sistemas operativos, algo así como "un entorno de pruebas aumentado". Estos entornos altamente controlados sirven como células de vigilancia equipadas con una legión de algoritmos de detección de ESET que registran cada acción. Con el fin de identificar comportamientos maliciosos ocultos, el motor de detección experimental también genera una gran cantidad de volcados de memoria. Posteriormente se analizan y se comparan con la amplia base de datos de amenazas de ESET, que incorpora detecciones inéditas y experimentales, lo que garantiza resultados de detección muy precisos y un número extremadamente bajo de falsos positivos. Los datos recopilados por el motor de detección experimental también se compilan en una lista completa de sucesos detectados por el entorno de pruebas, que se utiliza posteriormente para un análisis más profundo en la capa de detección final de ESET LiveGuard Advanced: análisis exhaustivo del comportamiento.

layer_3

Capa 4: Análisis exhaustivo del comportamiento

En la capa final de ESET LiveGuard Advanced, conocida como análisis exhaustivo del comportamiento, todos los resultados del entorno de pruebas, incluidos los archivos creados o eliminados en la unidad de disco duro, las entradas añadidas o eliminadas del Registro del sistema de Windows, todos los intentos de comunicación externa y las secuencias de comandos que se ejecutan- están sujetos a un análisis completo del comportamiento. En esta fase, ESET LiveGuard Advanced se centra en las acciones maliciosas o sospechosas como, por ejemplo, intentos de conexión a ubicaciones web con mala reputación, el uso de objetos maliciosos conocidos y el uso de cadenas exclusivas generadas por determinadas familias de malware. El análisis exhaustivo del comportamiento también divide los resultados del entorno de pruebas en bloques lógicos, que se comparan a continuación con una base de datos extensa y revisada periódicamente de patrones y cadenas de acciones analizadas anteriormente para identificar hasta el más mínimo indicio de comportamiento malicioso.

layer_4

Resultado final

ESET LiveGuard Advanced combina todos los elementos de análisis disponibles de las capas de detección y evalúa el estado de la muestra. El resultado se entrega primero al producto de seguridad ESET del usuario y a la infraestructura de su empresa.

Layer_verdict