Інтерактивна довідка ESET

Виберіть тему

Принцип роботи рівнів виявлення

ESET LiveGuard Advanced використовує 4 окремі рівня виявлення, щоб забезпечити максимально високий ступінь виявлення. На кожному рівні використовується окремий підхід і формується окремий висновок щодо зразка. Остаточна оцінка — це сукупність усієї інформації про зразок. Нижче наведено схематичне подання процесу обробки зразків на різних рівнях виявлення.

layer_overview

Щоб переглянути зображення в повному розмірі, клацніть його.

Рівень 1. Розширене розпаковування й сканування

Статичні зразки спочатку потрапляють на початковий рівень виявлення ESET LiveGuard Advanced («Розширене розпаковування й сканування»), де вони зіставляються із записами бази даних загроз ESET, яка містить експериментальні й ще нерозповсюджені об’єкти виявлення, а також із записами повного списку очищених, потенційно небажаних (PUA) і потенційно небезпечних елементів (PUsA). У шкідливому програмному забезпеченні ядро шкідливого коду часто приховане за низкою рівнів пакування задля уникнення виявлення. Тому для надійного аналізу ця оболонка має бути усунута. Для цього на рівні «Розширене розпаковування й сканування» ESET LiveGuard Advanced використовує вузькоспеціалізовані інструменти, які дозволяють нейтралізувати пакувальники, виявлені спеціалістами ESET у шкідливому коді. Ці спеціальні інструменти розпакування видаляють захисний рівень шкідливого програмного забезпечення, що дозволяє ESET LiveGuard Advanced додатково зіставляти зразки із записами доповненої бази даних загроз. На рівні «Розширене розпаковування й сканування» зразок потрапляє до категорії шкідливого програмного забезпечення, безпечних файлів, PUA або PUsA. Ризики безпеки й вимоги до обладнання, пов’язані з роботою інструментів розпаковування, а також інші внутрішні процедури зумовлюють необхідність мати високопродуктивне й безпечне середовище. Це унікальне середовище забезпечується надійною та стійкою хмарною інфраструктурою ESET LiveGuard Advanced.

layer_1

Рівень 2. Виявлення з використанням модуля розширеного машинного навчання

Усі елементи, які надсилаються в ESET LiveGuard Advanced, також підлягають статичному аналізу з використанням модуля розширеного машинного навчання, який продукує базові характеристики зразка. Оскільки аналіз стиснутого й зашифрованого коду без подальшої обробки дозволяє виконати класифікацію тільки за поверхневими ознаками, для наданого зразка одночасно виконується більш динамічний аналіз із видобуванням інструкцій і ДНК зразка. Опис активних функцій і варіантів поведінки зразка дозволяє викрити шкідливі характеристики запакованих або прихованих об’єктів навіть без їх виконання. Інформація, отримана на всіх попередніх етапах, обробляється в невеликій кількості ретельно підібраних моделей класифікації й алгоритмів глибинного навчання. Після цього вся отримана інформація консолідується в нейронній мережі, яка повертає один із таких рівнів імовірності: шкідливе програмне забезпечення, вкрай підозрілий елемент, підозрілий елемент і безпечний файл. Якщо цей або будь-який інший рівень ESET LiveGuard Advanced не використовується, відображається повідомлення «аналіз не потрібний». Ці процедури є складними й потребують суттєвих апаратних ресурсів. Тому потрібна більш потужна інфраструктура, ніж та, яка є в кінцевого користувача. Для обробки ресурсомістких завдань інженери ESET розробили висококласний і складний набір систем — ESET LiveGuard Advanced.

layer_2

Рівень 3. Експериментальне ядро виявлення

Для подальшого аналізу кожного зразка необхідно доповнити вже отримані висновки більш глибоким аналізом, орієнтованим на поведінку. Для збору даних цього типа застосовується наступний рівень ESET LiveGuard Advanced, який має назву «Експериментальне ядро виявлення». На цьому рівні підозрілий елемент поміщається в набір точно налаштованих систем, які схожі на повнофункціональні машини з різними операційними системами (різновид «пісочниці на стероїдах»). Ці середовища з високою керованістю функціонують як осередки моніторингу, де застосовано безліч алгоритмів виявлення ESET, які відстежують і обліковують кожну дію. Для виявлення прихованої шкідливої поведінки на рівні «Експериментальне ядро виявлення» також створюється велика кількість дампів пам’яті. Вони скануються й зіставляються із записами доповненої бази даних загроз ESET, яка зокрема містить неопубліковані й експериментальні об’єкти виявлення. Це дозволяє суттєво підвищити точність результатів виявлення й значно знизити кількість помилкових результатів. Дані, зібрані на рівні «Експериментальне ядро виявлення», також включаються до складу повного списку подій, виявлених пісочницею. Цей список потім використовуються для подальшого аналізу на останньому рівні виявлення ESET LiveGuard Advanced — «Детальний аналіз поведінки».

layer_3

Рівень 4. Детальний аналіз поведінки

На останньому рівні ESET LiveGuard Advanced («Детальний аналіз поведінки») всі вихідні дані, згенеровані пісочницею, ретельно аналізуються з точки зору їхньої поведінки. Зокрема, аналізуються файли, створені або видалені на жорсткому диску, записи, додані або видалені з системного реєстру Windows, усі спроби зовнішнього зв’язку, а також виконувані сценарії. На цьому етапі ESET LiveGuard Advanced аналізує шкідливі й підозрілі дії, зокрема спроби підключення до веб-сайтів із поганою репутацією, використання відомих шкідливих об’єктів, а також використання унікальних рядків, згенерованих певними сімействами зловмисних програм. На рівні «Детальний аналіз поведінки» дані, згенеровані пісочницею, розподіляються по логічним блокам, які потім зіставляються із записами розширеної й періодично оновлюваної бази даних раніше проаналізованих шаблонів і ланцюжків дій. Це дозволяє визначити зловмисну поведінку навіть за дрібнішими ознаками.

layer_4

Кінцевий результат

ESET LiveGuard Advanced поєднує всі доступні висновки з рівнів виявлення й оцінює стан зразка. Спочатку результат надсилається в продукт захисту ESET користувача та інфраструктуру його компанії.

Layer_verdict