Ochrona antywirusowa: ewolucja i metody

Przeczytaj także: Panda Malware Radar

Wymagania programu dotyczące zasobów to udział czasu procesora i pamięci RAM wymaganych ciągle lub okresowo w celu zapewnienia ochrony. Jeżeli oprogramowanie wymaga wielu zasobów, może spowolnić działanie systemu. Emulatory działają wolno: niezależnie od implementacji, każda emulowana instrukcja tworzy kilka instrukcji w sztucznym środowisku. To samo dotyczy wirtualizacji. Monitory zdarzeń systemowych również spowalniają systemy, jednak to w jakim stopniu to robią, zależy od implementacji. Jeżeli chodzi o wykrywanie plików oraz wykrywanie anomalii systemowych, obciążenie systemu również całkowicie zależy od implementacji.

Bezpieczeństwo to poziom ryzyka, na jakie narażony będzie system operacyjny oraz dane użytkownika podczas procesu identyfikacji szkodliwego kodu. Ryzyko występuje zawsze, gdy szkodliwy kod jest uruchamiany w systemie operacyjnym. Architektura monitorów zdarzeń systemowych oznacza, że szkodliwy kod musi zostać uruchomiony, zanim będzie mógł zostać wykryty, podczas gdy emulatory i skanery plikowe mogą wykrywać szkodliwy kod, zanim zostanie on wykonany.

Ochrona odzwierciedla stopień, w jakim technologia może być podatna na zagrożenia, lub jak łatwo szkodliwy program może utrudnić wykrywanie. Zwalczanie wykrywania plików jest bardzo łatwe: wystarczy spakować plik, uczynić go polimorficznym lub użyć technologii rootkit w celu zamaskowania pliku. Trochę trudniej jest obejść emulację, nadal jest to jednak możliwe; twórca wirusów musi wbudować do kodu szkodliwego oprogramowania jeden z szeregu różnych trików. Z drugiej strony, szkodliwemu oprogramowaniu trudno jest ukryć się przed monitorem zdarzeń systemowych, ponieważ zamaskowanie zachowania jest prawie niemożliwe.

Można powiedzieć, że im mniej abstrakcyjna jest forma ochrony, tym bezpieczniejsza. I odwrotnie, im mniej abstrakcyjna forma ochrony, tym łatwiej szkodliwe oprogramowanie będzie mogło ją obejść.

Aspekt analityczny technologii jest odpowiedzialny za proaktywność (oraz jej wpływ na konieczność częstych aktualizacji antywirusowych baz danych), współczynnik fałszywych trafień oraz poziom zaangażowania użytkownika.

Proaktywność określa zdolność technologii do wykrywania nowych, niezidentyfikowanych jeszcze szkodliwych programów. Na przykład, najprostszy rodzaj analizy (proste porównanie) oznacza najmniej proaktywne technologie, takie jak wykrywanie sygnaturowe: takie technologie potrafią wykrywać tylko znane szkodliwe programy. Im bardziej złożony jest system analityczny, tym bardziej jest on proaktywny. Proaktywność ma bezpośredni związek z tym, jak często należy przeprowadzać aktualizację. Na przykład, bazy sygnatur muszą być często uaktualniane; bardziej złożone systemy heurystyczne pozostają skuteczne dłużej, a ekspertowe systemy analityczne mogą miesiącami skutecznie działać bez aktualizacji.

Ze złożonością komponentu analitycznego technologii wiąże się bezpośrednio również współczynnik fałszywych trafień. Jeżeli szkodliwy kod jest wykrywany przy użyciu dokładnie zdefiniowanej sygnatury lub sekwencji akcji, to o ile sygnatura będzie wystarczająco długa, identyfikacja będzie bezwzględna/zupełna. Sygnatura będzie tylko wykrywała określony szkodliwy program, nie będzie wykrywała innych. Im więcej programów próbuje zidentyfikować algorytm wykrywania, tym większe prawdopodobieństwo wykrycia programów, które nie są szkodliwe.

Poziom zaangażowania użytkownika to stopień, w jakim niezbędny jest udział użytkownika w definiowaniu polityki bezpieczeństwa: tworzeniu reguł, wyjątków oraz czarnych i białych list. Odzwierciedla on również stopień, w jakim użytkownik uczestniczy w procesie wydawania werdyktów poprzez potwierdzanie lub odrzucenie podejrzeń systemu analitycznego. Poziom zaangażowania użytkownika zależy od implementacji, zazwyczaj jednak im bardziej analiza odbiega od prostego porównania, tym więcej będzie fałszywych trafień wymagających skorygowania. Z kolei korygowanie fałszywych trafień wymaga danych wprowadzonych przez użytkownika.