Kako funkcioniraju slojevi otkrivanja prijetnji
ESET LiveGuard Advanced upotrebljava četiri odvojena sloja otkrivanja prijetnji kako bi se osigurala najveća stopa otkrivanja. Svaki sloj upotrebljava drukčiji pristup i daje svoju odluku o uzorku. Konačna procjena rezultat je svih informacija o uzorku. Pogledajte pregled procesa u shemi u nastavku:
Kliknite na sliku za prikaz slike pune veličine.
Sloj 1: Napredno raspakiravanje i skeniranje
Po ulasku u početni sloj programa ESET LiveGuard Advanced, takozvanog Naprednog sloja za raspakiravanje i skeniranje, statički uzorci uspoređuju se s ESET-ovom bazom podataka prijetnji: obogaćeni eksperimentalnim prijetnjama i prijetnje koje tek treba distribuirati, kao i sa sveobuhvatnim popisom čistih, potencijalno neželjenih (PUA) i potencijalno nesigurnih (PUsA) stavki. Zlonamjerni softver često pokušava spriječiti otkrivanje prijetnje skrivajući svoju zlonamjernu jezgru iza niza slojeva pakiranja; stoga, za pravilnu analizu, ovaj premaz treba ukloniti. ESET LiveGuard Advanced upotrebljava napredno raspakiravanje i skeniranje kako bi to postigao pomoću visoko specijaliziranih alata temeljenih na packer programima koje su ESET-ovi istraživači pronašli u zlonamjernom kodu. Ovi specijalizirani unpacker programi sloj po sloj uklanjaju zaštitni sloj zlonamjernog softvera, omogućujući programu ESET LiveGuard Advanced da još jednom usporedi uzorak s obogaćenom bazom podataka prijetnji. Napredni sloj za raspakiravanje i skeniranje klasificira uzorak kao zlonamjerni softver, čisto, PUA ili PUsA. Zbog sigurnosnih rizika i hardverskih zahtjeva povezanih s unpacker programima i zbog drugih ugrađenih postupaka, potrebno je sigurno okruženje visokih performansi. Ovo jedinstveno okruženje osigurava sigurna i otporna infrastruktura program ESET LiveGuard Advanced u oblaku.
Sloj 2: Napredno otkrivanje strojnog učenja
Svaka stavka koja je poslana u program ESET LiveGuard Advanced isto tako prolazi statičku analizu pomoću otkrivanja prijetnji pomoću naprednog strojnog učenja, čime se stvaraju osnovne karakteristike uzorka. Budući da bi analiza komprimiranog ili šifriranog koda bez daljnje obrade uspjela samo pokušati klasificirati buku, poslana stavka istovremeno prolazi kroz drugu, dinamičniju, analizu koja izvlači njezine upute i DNK gene. Opisivanjem aktivnih značajki i ponašanja uzorka otkrivaju se zlonamjerne karakteristike zapakiranih ili prikrivenih objekata čak i bez izvršavanja. Informacije izvučene iz svih prethodnih koraka dodatno obrađuje mnoštvo pažljivo odabranih modela klasifikacije i algoritama dubokog učenja. Konačno, sve te informacije objedinjuju se putem neuronske mreže koja vraća jednu od četiri razine vjerojatnosti: zlonamjerno, vrlo sumnjivo, sumnjivo i čisto. U slučaju da se ovaj ili bilo koji drugi sloj programa ESET LiveGuard Advanced ne upotrebljava, prikazuje se poruka "analiza nije potrebna". Zbog složenosti i hardverskih zahtjeva ovih postupaka potrebna je znatno snažnija infrastruktura od one koju osigurava korisnikov sigurnosni program. Kako bi mogli riješiti zadatke koji uključuju mnogo izračunavanja, ESET-ovi inženjeri osmislili su vrhunski i kompleksni skup sustava ESET LiveGuard Advanced.
Sloj 3: Eksperimentalni modul detekcije
Za daljnju analizu svakog uzorka potrebna je dublja analiza usmjerena na ponašanje kako bi se nadopunili prethodni nalazi. Za prikupljanje ove vrste podataka o prijetnjama postoji još jedan sloj programa ESET LiveGuard Advanced – eksperimentalni sustav za otkrivanje prijetnji. On umeće sumnjivu stavku u skup precizno konfiguriranih sustava koji su vrlo slični strojevima pomoću različitih operativnih sustava. Riječ je o svojevrsnom „testnom okruženju na steroidima". Ta dobro kontrolirana okruženja služe kao stanice za praćenje koje su opremljene brojnim ESET-ovim algoritmima za otkrivanje koji bilježe svaku radnju. Da bi identificirao skriveno zlonamjerno ponašanje, Eksperimentalni sustav za otkrivanje prijetnji isto tako proizvodi veliku količinu slika stanja memorije. One se naknadno skeniraju i uspoređuju s ESET-ovom obogaćenom bazom podataka prijetnji koja uključuje neobjavljene i eksperimentalne prijetnje, čime se osiguravaju vrlo točni rezultati otkrivanja i iznimno mali broj lažno pozitivnih rezultata. Informacije koje prikuplja Eksperimentalni sustav za otkrivanje prijetnji objedinjuju se u sveobuhvatan popis događaja koje je otkrilo testno okruženje, koji se zatim upotrebljava za daljnju analizu u konačnom sloju otkrivanja prijetnji programa ESET LiveGuard Advanced koji se naziva Dubinska analiza ponašanja.
Sloj 4: Detaljna analiza ponašanja
U završnom sloju programa ESET LiveGuard Advanced, poznatom kao Dubinska analiza ponašanja, svi izlazni rezultati testnog okruženja, uključujući datoteke stvorene ili izbrisane na tvrdom disku, unose dodane ili uklonjene iz registra sustava Windows, sve pokušaje vanjske komunikacije i skripte koje se pokreću, podliježu temeljitoj analizi ponašanja. U ovoj fazi ESET LiveGuard Advanced se usredotočuje na zlonamjerne i sumnjive radnje kao što su pokušaj povezivanja s web lokacijama s lošim ugledom, upotreba poznatih zlonamjernih objekata i upotreba jedinstvenih nizova koje generiraju određene skupine zlonamjernih softvera. Dubinska analiza ponašanja isto tako razdvaja izlazne rezultate testnog okruženja u logičke blokove, koje zatim uspoređuje s opsežnom bazom podataka prethodno analiziranih uzoraka i lanaca radnji koja se povremeno pregledava kako bi se identificirali i najmanji pokazatelji zlonamjernog ponašanja.
Konačni rezultat
ESET LiveGuard Advanced kombinira sve dostupne odluke iz slojeva otkrivanja prijetnji i procjenjuje status uzorka. Rezultat se prvo dostavlja ESET-ovom sigurnosnom programu korisnika i infrastrukturi tvrtke korisnika.