Aide en ligne ESET

Rechercher Français
Sélectionner la rubrique

Fonctionnement des couches de détection

ESET LiveGuard Advanced utilise 4 couches de détection distinctes pour garantir le taux de détection le plus élevé. Chaque couche utilise une approche différente et donne son verdict sur l'échantillon. L’évaluation finale est le résultat de toutes les informations sur l’échantillon. Découvrez la vue d’ensemble du processus dans le schéma suivant :

layer_overview

Cliquez sur l'image pour l'agrandir.

Couche 1 : Désassemblage et analyse avancés

En entrant dans la couche initiale d'ESET LiveGuard Advanced, appelée couche de décompression et d’analyse avancées, les échantillons statiques sont comparés à la base des menaces d’ESET : enrichie de détections expérimentales et encore à distribuer, ainsi qu'à une liste complète d'éléments non infectés, potentiellement indésirables (PUA) et potentiellement dangereux (PUsA). Les logiciels malveillants tentent souvent de déjouer la détection en cachant leur noyau malveillant derrière une série de couches diverses ; ainsi, pour une analyse correcte, cette enveloppe doit être supprimée. ESET LiveGuard Advanced utilise la décompression et l'analyse avancées pour y parvenir en utilisant des outils hautement spécialisés basés sur les décompresseurs que les chercheurs d'ESET ont trouvés dans les codes malveillants. Ces décompresseurs spécialisés retirent la couche de protection des logiciels malveillants, ce qui permet à ESET LiveGuard Advanced de faire correspondre à nouveau l’échantillon par rapport à la base enrichie des menaces. La couche de décompression et d'analyse avancées classe l’échantillon comme logiciel malveillant, non infecté, PUA ou PUsA. En raison des risques de sécurité et des besoins matériels associés aux décompresseurs, ainsi que d’autres procédures intégrées, un environnement performant et sécurisé est nécessaire. Cet environnement unique est fourni par l'infrastructure cloud robuste et résiliente d'ESET LiveGuard Advanced.

layer_1

Couche 2 : Détection avancée par l’apprentissage machine

Chaque élément soumis à ESET LiveGuard Advanced est également soumis à une analyse statique via une détection par apprentissage machine avancé, produisant les caractéristiques de base de l’échantillon. Comme l'analyse d'un code compressé ou chiffré sans autre traitement ne classerait que du bruit, l'objet soumis subit simultanément une autre analyse, plus dynamique, qui extrait ses instructions et ses gènes d'ADN. En décrivant les caractéristiques et les comportements actifs d'un échantillon, les caractéristiques malveillantes des objets compressés ou obfusqués sont découvertes même sans les exécuter. Les informations extraites de toutes les étapes précédentes sont ensuite traitées par des modèles de classification et d'algorithmes d'apprentissage approfondi soigneusement choisis. Enfin, toutes ces informations sont consolidées par un réseau neuronal qui renvoie l'un des quatre niveaux de probabilité suivants : malveillant, hautement suspect, suspect et non infecté. Si cette couche ou toute autre couche ESET LiveGuard Advanced n’est pas utilisée, le message « analyse non nécessaire » s’affiche. En raison de la complexité et des besoins matériels de ces procédures, une infrastructure nettement plus puissante que celle fournie par l'endpoint de l'utilisateur est nécessaire. Pour gérer les tâches demandant beaucoup de calculs, les ingénieurs d'ESET ont conçu un ensemble supérieur et complexe de systèmes : ESET LiveGuard Advanced.

layer_2

Couche 3 : Moteur de détection expérimentale

Pour analyser davantage chaque échantillon, une analyse plus approfondie et axée sur le comportement est nécessaire pour compléter les résultats précédents. Pour recueillir ce type de renseignement sur les menaces, une autre couche ESET LiveGuard Advanced intervient, à savoir, le moteur de détection expérimental. Il insère l'élément suspect dans un ensemble de systèmes configurés avec précision, qui ressemblent beaucoup à des machines grandeur nature utilisant divers systèmes d'exploitation, une sorte de « sandbox sur stéroïdes ». Ces environnements hautement contrôlés servent de cellules de surveillance équipées d'un grand nombre d'algorithmes de détection d'ESET qui enregistrent chaque action dans un journal. Pour identifier les comportements malveillants cachés, le moteur de détection expérimental produit également une grande quantité de vidages de mémoire. Ceux-ci sont ensuite analysés et comparés à la base de données de menaces enrichie d'ESET, qui comprend des détections inédites et expérimentales, ce qui garantit des résultats de détection très précis et un nombre extrêmement faible de faux positifs. Les renseignements recueillis par le moteur de détection expérimental sont également compilés dans une liste complète d'événements détectés par le sandbox, qui est ensuite utilisée pour une analyse plus approfondie dans la couche de détection finale d'ESET LiveGuard Advanced : analyse comportementale approfondie.

layer_3

Couche 4 : Analyse comportementale approfondie

Dans la dernière couche ESET LiveGuard Advanced, appelée analyse comportementale approfondie, toutes les sorties du sandbox, y compris les fichiers créés ou supprimés sur le disque dur, les entrées ajoutées au registre du système Windows ou supprimées de celui-ci, toutes les tentatives de communication externe et les scripts en cours d'exécution, sont soumises à une analyse comportementale approfondie. À ce stade, ESET LiveGuard Advanced se concentre sur les actions malveillantes et suspectes telles que les tentatives de connexion à des sites web de mauvaise réputation, l'utilisation d'objets malveillants connus et l'utilisation de chaînes uniques générées par des familles de logiciels malveillants spécifiques. L'analyse comportementale approfondie décompose également les résultats du sandbox en blocs logiques, qui sont ensuite comparés à une base de données étendue et périodiquement révisée de modèles et de chaînes d'actions précédemment analysés afin d'identifier le moindre comportement malveillant.

layer_4

Résultat final

ESET LiveGuard Advanced combine tous les verdicts disponibles des couches de détection et évalue le statut de l'échantillon. Le résultat est remis en priorité au produit de sécurité ESET de l'utilisateur et à l'infrastructure de son entreprise.

Layer_verdict