検出レイヤーの動作方法

ESET LiveGuard Advancedは4つの個別の検出レイヤーを使用し、最高の検出率を保証します。各レイヤーは異なるアプローチを使用し、サンプルを判定します。最終評価はサンプルに関するすべての情報の結果です。以下のスキームのプロセスの概要を参照してください。

layer_overview

画像をクリックすると、フルサイズの画像が表示されます。

レイヤー1:高度な解凍と検査

ESET LiveGuard Advancedの最初のレイヤー(いわゆる高度な解凍および検査レイヤー)に入ると、静的サンプルがESETの脅威データベース(実験的でまだ配布されていない検出で強化)と、包括的な感染していない項目、望ましくない可能性がある項目(PUA)、および安全ではない可能性がある項目(PUsA)に対して照合されます。マルウェアは、多くの場合、さまざまな圧縮レイヤーの後ろにある悪意のあるコアを隠すことで検出の妨害を試みようとします。このため、適切な分析のために、この隠蔽を削除する必要があります。ESET LiveGuard Advancedでは、ESETの研究者が悪意のあるコードで見つけた圧縮プログラムに基づく高度な専用ツールを使用して、高度な解凍と検査によって隠された悪意のあるコアを削除します。これらの専用解凍プログラムはマルウェアの保護レイヤーを除去し、ESET LiveGuard Advancedはさらにもう一度、強化された脅威データベースに対してサンプルを照合することができます。高度な解凍および検査レイヤーはサンプルをマルウェア、未感染、PUA、またはPUsAに分類します。解凍ツールに関連付けられたセキュリティリスクとハードウェア要件、および他の組み込まれた手順のため、高パフォーマンス、高セキュリティの環境が必要です。この固有の環境は、ESET LiveGuard Advancedの堅牢で障害回復力が高いクラウドインフラストラクチャによって提供されます。

layer_1

レイヤー2:高度な機械学習検出

ESET LiveGuard Advancedに送信された各項目は、高度な機械学習検出によって静的分析も受け、サンプルの基本的な特性を生み出します。分析時には、これ以上処理を行わずに、圧縮または暗号化されたコードはノイズのみを分類しようとします。同時に、送信された項目には命令とDNA遺伝子を抽出する別のより動的な分析が適用されます。サンプルのアクティブな機能と動作を説明ことで、オブジェクトを実行せずに、圧縮または難読化されたオブジェクトの悪意のあるが検出されます。すべての前のステップから抽出された情報は、慎重に選択された分類モデルとディープラーニングアルゴリズムの小さい集合によってさらに処理されます。最後に、このすべての情報は、悪意、非常に不審、不審、未感染という4つの確率レベルのいずれかを返すニュートラルネットワーク経由で統合されます。この場合、または他のESET LiveGuard Advancedレイヤーが使用されていない場合は、「分析が必要ではありません」というメッセージが表示されます。これらの手順の複雑さおよびハードウェア要件のため、ユーザーのエンドポイントが提供するインフラストラクチャよりも大幅に強力なインフラストラクチャが必要です。演算集中型のタスクを処理するために、ESETエンジニアは、優れた複雑なシステムセットであるESET LiveGuard Advancedを開発しました。

layer_2

レイヤー3:実験的な検出エンジン  

各サンプルをさらに分析するには、前回の検査結果を補完するために、動作に集中した深層分析が必要です。このタイプの脅威インテリジェンスを収集するために、実験的な検出エンジンという別のESET LiveGuard Advancedレイヤーが登場します。このレイヤーでは、さまざまなオペレーティングシステムを使用して、フルスケールコンピューターに非常に似せた正確に構成されたシステムのセットに不審なアイテムが挿入されます(「ステロイドのサンドボックス」の一種)。これらの高度に制御された環境は、すべてのアクションを記録する多数のESETの検出アルゴリズムに適合された監視セルとして機能します。隠された悪意のある動作を特定するために、実験的検出エンジンでは大量のメモリダンプも生成されます。これらはその後、未非公開の検出と実験的な検出を組み込む、ESETの強化された脅威データベースに対して検査および照合されます。これにより、非常に正確な検出結果と非常に少ない数の誤検出が保証されます。実験的検出エンジンによって収集されたインテリジェンス情報は、サンドボックスによって検出されたイベントの包括的なリストにもまとめられます。これは、最終ESET LiveGuard Advanced検出レイヤーの詳細動作分析で使用されます。

layer_3

レイヤー4:詳細動作分析

最後の詳細動作分析と呼ばれるESET LiveGuard Advancedレイヤーでは、ハードドライブで作成または削除されたファイル、Windowsシステムレジストリで追加または削除されたエントリ、すべての外部通信の試行、実行されているスクリプトを含むすべてのサンドボックス出力に徹底的な動作分析が適用されます。この段階では、ESET LiveGuard Advancedは、悪いレピュテーションのWebロケーションへの接続の試み、既知の悪意のあるオブジェクトの使用、特定のマルウェアファミリーによって生成された固有の文字列の使用といった悪意のあるアクションや不審なアクションに集中しています。詳細な動作分析も、サンドボックス出力を論理ブロックに分解します。これは、以前に分析されたパターンとアクションのチェーンの広範囲かつ定期的にレビューされるデータベースと照合され、悪意のある動作のごくわずかな兆候さえ特定します。

layer_4

最終結果

ESET LiveGuard Advancedは検出レイヤーからすべての使用可能な判定を組み合わせ、サンプルのステータスを評価します。結果は、最初にユーザーのESETセキュリティ製品と会社のインフラストラクチャに配信されます。

Layer_verdict