Pomoc online ESET

Wyszukaj Polski
Wybierz temat

Jak działają warstwy wykrywania

ESET LiveGuard Advanced wykorzystuje 4 oddzielne warstwy wykrywania, aby zapewnić najwyższy stopień wykrywalności. Każda warstwa używa innego podejścia i wydaje werdykt dotyczący próbki. Ocena końcowa jest oparta na wszystkich informacjach na temat próbki. Zobacz przegląd procesu na schemacie poniżej:

layer_overview

Kliknij obraz, aby zobaczyć go w pełnym rozmiarze.

Warstwa 1: Zaawansowane rozpakowywanie i skanowanie

Po przejściu do początkowej warstwy ESET LiveGuard Advanced — tak zwanej warstwy zaawansowanego rozpakowywania i skanowania — statyczne próbki są porównywane z zawartością bazy danych firmy ESET z informacjami o zagrożeniach. Jest ona wzbogacona o eksperymentalne i jeszcze nierozpowszechnione wykrycia. Ponadto następuje porównanie z obszerną listą zdrowych, potencjalnie niechcianych (PUA i potencjalnie niebezpiecznych (PUsA) elementów. Złośliwe oprogramowanie często próbuje udaremnić wykrycie, ukrywając swój złośliwy rdzeń za szeregiem warstw kompresji. W związku z tym, dla właściwej analizy, te zewnętrzne powłoki muszą zostać usunięte. ESET LiveGuard Advanced wykorzystuje zaawansowane rozpakowywanie i skanowanie, aby to osiągnąć, stosując wysoce wyspecjalizowane narzędzia kompresji, które badacze firmy ESET znaleźli w złośliwym kodzie. Te wyspecjalizowane dekompresory usuwają warstwę ochronną złośliwego oprogramowania, co pozwala ESET LiveGuard Advanced ponownie dopasować próbkę do wzbogaconej bazy danych zagrożeń. Warstwa Zaawansowane rozpakowywanie i skanowanie klasyfikuje próbkę jako złośliwą, czystą PUA lubPUsA. Ze względu na zagrożenia bezpieczeństwa i wymagania sprzętowe związane z rozpakowywaniem, a także inne włączone procedury, wymagane jest środowisko o wysokiej wydajności i bezpieczeństwie. To wyjątkowe środowisko jest dostarczane przez niezawodną i odporną infrastrukturę chmury ESET LiveGuard Advanced.

layer_1

Warstwa 2: Zaawansowane wykrywanie przy użyciu uczenia maszynowego

Każdy element przesłany do ESET LiveGuard Advanced jest również przedmiotem analizy statycznej za pośrednictwem zaawansowanego wykrywania opartego na uczeniu maszynowym, w ramach którego dochodzi do podstawowej charakteryzacji próbki. Ponieważ analiza skompresowanego lub zaszyfrowanego kodu bez dalszego przetwarzania będzie tylko próbowała sklasyfikować szum, przesłany element przechodzi jednocześnie inną bardziej dynamiczną analizę, która wyodrębnia jego instrukcje i geny DNA. Dzięki opisaniu aktywnych funkcji i zachowania próbki złośliwe cechy spakowanych lub zaciemnionych obiektów są odkrywane nawet bez uruchamiania tej próbki. Informacje pochodzące ze wszystkich poprzednich kroków są dalej przetwarzane przez małą armię starannie dobranych modeli klasyfikacji i algorytmów głębokiego uczenia się. Na koniec wszystkie te informacje są konsolidowane za pośrednictwem sieci neuronowej, która zwraca jeden z czterech poziomów prawdopodobieństwa — złośliwy, bardzo podejrzany, podejrzany i czysty. W przypadku, gdy ta lub inna warstwa ESET LiveGuard Advanced nie jest używana, wyświetlany jest komunikat „analiza nie jest potrzebna”. Ze względu na złożoność i wymagania sprzętowe tych procedur, konieczna jest znacznie bardziej wydajna infrastruktura niż zapewniana przez punkt końcowy użytkownika. Aby poradzić sobie ze złożonymi zadaniami obliczeniowymi, inżynierowie firmy ESET opracowali doskonały i złożony zestaw systemów — ESET LiveGuard Advanced .

layer_2

Warstwa 3: Eksperymentalny silnik detekcji

Aby dokładniej przeanalizować każdą próbkę, konieczna jest głębsza i ukierunkowana na zachowanie analiza w celu uzupełnienia poprzednich ustaleń. Aby przeprowadzić tego typu analizę zagrożeń, stosowana kolejna warstwa ESET LiveGuard Advanced — eksperymentalny silnik detekcji. Umieszcza on podejrzany element w zbiorze precyzyjnie skonfigurowanych systemów, które bardzo przypominają faktyczne komputery korzystające z różnych systemów operacyjnych — to taki rodzaj „piaskownicy na sterydach”. Te wysoce kontrolowane środowiska służą jako komórki monitorujące, wyposażone w szereg algorytmów wykrywania firmy ESET i rejestrujące każde działanie. Aby zidentyfikować ukryte złośliwe zachowanie, eksperymentalny silnik detekcji wykonuje również dużą liczbę zrzutów pamięci. Są one następnie skanowane i dopasowywane do wzbogaconej bazy danych zagrożeń firmy ESET, która obejmuje niepublikowane i eksperymentalne wykrycia, zapewniając bardzo dokładne wyniki wykrywania i bardzo małą liczbę fałszywych alarmów. Informacje zgromadzone przez eksperymentalny silnik detekcji są również zestawiane w kompleksową listę zdarzeń wykrytych przez piaskownicę, która jest następnie wykorzystywana do dalszej analizy w końcowej warstwie wykrywania ESET LiveGuard Advanced — Dogłębnej analizie behawioralnej.

layer_3

Warstwa 4: Dogłębna analiza zachowania

W ostatniej warstwie ESET LiveGuard Advanced, znanej jako Dogłębna analiza behawioralna, wszystkie wyjścia z piaskownicy — w tym pliki utworzone lub usunięte na dysku twardym, wpisy dodane lub usunięte z rejestru systemu Windows, wszystkie próby komunikacji zewnętrznej i skrypty, które są uruchamiane — podlegają dokładnej analizie behawioralnej. Na tym etapie ESET LiveGuard Advanced koncentruje się na złośliwych i podejrzanych działaniach, takich jak próby połączeń ze stronami internetowymi o złej reputacji, użycie znanych szkodliwych obiektów i użycie unikatowych ciągów generowanych przez określone rodziny złośliwego oprogramowania. Dogłębna analiza behawioralna dzieli również dane wyjściowe z piaskownicy na bloki logiczne, które są następnie dopasowywane do obszernej i okresowo przeglądanej bazy danych wcześniej analizowanych wzorców i łańcuchów działań w celu zidentyfikowania nawet najdrobniejszych podejrzeń złośliwego zachowania.

layer_4

Wynik końcowy

ESET LiveGuard Advanced łączy wszystkie dostępne werdykty z warstw wykrywania i ocenia stan próbki. Wynik jest dostarczany najpierw do produktu zabezpieczającego ESET użytkownika i infrastruktury jego firmy.

Layer_verdict