Ako fungujú detekčné vrstvy
ESET LiveGuard Advanced využíva štyri samostatné detekčné vrstvy na zabezpečenie najvyššej možnej účinnosti detekcie. Každá vrstva analyzuje vzorku iným spôsobom a poskytuje vlastný výstup. Konečné hodnotenie je výsledkom všetkých zhromaždených informácií o vzorke. Prehľad celého procesu nájdete nižšie:
Kliknutím na obrázok ho zobrazíte v plnej veľkosti.
Vrstva č. 1: Pokročilá extrakcia a kontrola
Po vstupe do počiatočnej vrstvy produktu ESET LiveGuard Advanced, tzv. vrstvy pokročilej extrakcie a kontroly, sa statické vzorky porovnávajú s databázou hrozieb spoločnosti ESET, ktorá je doplnená aj o experimentálne a ešte nezverejnené detekcie. Rovnako sa porovnávajú aj s komplexným zoznamom neškodných, potenciálne nechcených (PUA) a potenciálne nebezpečných (PUsA) položiek. Malvér sa často snaží zabrániť detekcii tým, že svoje škodlivé jadro skrýva pod niekoľkými ochrannými vrstvami, preto je pre správnu analýzu potrebné ich odstrániť. ESET LiveGuard Advanced na to využíva práve detekčnú vrstvu pokročilej extrakcie a kontroly s použitím vysoko špecializovaných nástrojov založených na tzv. packeroch, ktoré výskumníci spoločnosti ESET našli v škodlivom kóde. Tieto špecializované nástroje na extrakciu odstraňujú ochrannú vrstvu malvéru, aby ESET LiveGuard Advanced mohol následne opätovne porovnať vzorku s databázou hrozieb doplnenou aj o dosiaľ nezverejnené detekcie. Vrstva pokročilej extrakcie a kontroly klasifikuje vzorku ako malvér, neškodnú, potenciálne nechcenú (PUA) alebo potenciálne nebezpečnú (PUsA) položku. Vzhľadom na bezpečnostné riziká a hardvérové nároky spojené s nástrojmi na extrakciu a ďalšími súvisiacimi postupmi je nevyhnutnosťou vysoko výkonné a bezpečné prostredie. Toto jedinečné prostredie zabezpečuje robustná a odolná cloudová infraštruktúra produktu ESET LiveGuard Advanced.
Vrstva č. 2: Detekcia pokročilého strojového učenia
Každá položka odoslaná do ESET LiveGuard Advanced je tiež podrobená statickej analýze prostredníctvom detekcie s využitím pokročilého strojového učenia, vďaka čomu možno získať základné vlastnosti vzorky. Keďže analýza skomprimovaného alebo zašifrovaného kódu bez ďalšieho spracovania by viedla len k pokusu o klasifikáciu dátového šumu bez relevantného výsledku, odoslaná položka sa súčasne podrobí ďalšej, dynamickejšej analýze, ktorá extrahuje jej inštrukcie a gény DNA. Opisom aktívnych vlastností a aktivít vzorky sa dajú odhaliť škodlivé charakteristiky maskujúcich sa objektov alebo objektov skrytých pod ochrannými vrstvami, a to aj bez spustenia vzorky. Informácie získané z predošlých krokov sa ďalej spracujú pomocou celého radu starostlivo vybraných klasifikačných modelov a algoritmov hĺbkového učenia. Nakoniec sa všetky tieto informácie spoja prostredníctvom neurónovej siete, ktorá klasifikuje vzorku buď ako škodlivú, veľmi podozrivú, podozrivú alebo neškodnú. Ak sa táto alebo iná vrstva ESET LiveGuard Advanced nepoužije, zobrazí sa správa „Analýza nie je potrebná“. Vzhľadom na zložitosť a hardvérové nároky týchto postupov je potrebná výrazne výkonnejšia infraštruktúra, než akú poskytuje koncové zariadenie používateľa. Na zvládnutie výpočtovo náročných úloh inžinieri spoločnosti ESET vyvinuli špičkovú a komplexnú sústavu systémov – ESET LiveGuard Advanced.
Vrstva č. 3: Experimentálne detekčné jadro
Na podrobnejší rozbor každej vzorky je potrebná hlbšia analýza jej aktivity, ktorá doplní predchádzajúce zistenia. Na zhromažďovanie tohto typu informácií o hrozbách slúži ďalšia detekčná vrstva ESET LiveGuard Advanced, konkrétne experimentálne detekčné jadro. Podozrivú položku vloží do sústavy presne nakonfigurovaných systémov, ktoré sú podobné skutočným používateľským zariadeniam s rôznymi operačnými systémami – ide o akýsi „sandbox na steroidoch“. Takéto vysoko kontrolované prostredia slúžia ako monitorovacie bunky vybavené skupinou detekčných algoritmov spoločnosti ESET, ktoré zaznamenávajú každú akciu. Experimentálne detekčné jadro vytvára na identifikáciu skrytého škodlivého správania aj veľké množstvo výpisov pamäte. Tie sú následne kontrolované a porovnávané s databázou hrozieb doplnenou o nezverejnené a experimentálne detekcie, ktorá zabezpečuje veľmi presné výsledky detekcie a extrémne nízky počet falošných poplachov. Informácie zozbierané prostredníctvom experimentálneho detekčného jadra sú tiež súčasťou komplexného zoznamu udalostí zachytených sandboxom. Zoznam sa následne vo finálnej detekčnej vrstve ESET LiveGuard Advanced použije na ďalšiu analýzu.
Vrstva č. 4: Hĺbková analýza aktivity
V poslednej detekčnej vrstve ESET LiveGuard Advanced, známej ako hĺbková analýza aktivity, sú všetky výstupy sandboxu – vrátane súborov vytvorených alebo odstránených z pevného disku, položiek pridaných alebo odstránených zo systémového registra Windows, všetkých pokusov o externú komunikáciu a spustených skriptov – podrobené dôkladnej analýze aktivity. V tejto fáze sa ESET LiveGuard Advanced zameriava na škodlivé a podozrivé akcie, ako sú pokusy o pripojenie na podozrivé webové lokality, používanie známych škodlivých objektov a používanie jedinečných reťazcov generovaných špecifickými rodinami malvéru. Hĺbková analýza aktivity tiež rozdeľuje výstupy zo sandboxu do logických blokov, ktoré sa potom porovnávajú s rozsiahlou a pravidelne kontrolovanou databázou predtým analyzovaných vzorcov a reťazcov akcií, aby sa identifikoval aj ten najmenší náznak škodlivého správania.
Konečný výsledok
ESET LiveGuard Advanced použije výsledky z jednotlivých detekčných vrstiev a na základe nich vyhodnotí stav vzorky. Výsledok je doručený bezpečnostnému produktu ESET na zariadení používateľa, odkiaľ bola vzorka odoslaná, ako aj všetkým zariadeniam v infraštruktúre daného zákazníka.
