6

Я только что разговаривал по телефону с одной из крупных AV-компаний о том, почему менее известный AV-вирус подхватил вирус, которого у них нет. Детали этого делима не важны.

Что привлекло мое внимание к разговору, так это то, что техник упомянул: «Мы выполняем традиционное сканирование, в то время как другие проводят эвристическое сканирование». Он продолжал рассказывать о том, насколько проверенным был традиционный метод и тому подобное. Но я не мог получить от него никакой детали относительно того, в чем разница?

Есть ли разница в эффективности, или это просто различие в технике, у каждого из которых есть свои плюсы и минусы? Какие есть отличия?

2 ответа2

5

Традиционно антивирусное программное обеспечение в значительной степени полагалось на сигнатуры для выявления вредоносных программ. Это может быть очень эффективным, но не может защитить от вредоносных программ, если образцы уже получены и подписи созданы. Из-за этого подходы на основе сигнатур не эффективны против новых, неизвестных вирусов.

Эвристический анализ - это экспертный анализ, который определяет восприимчивость системы к конкретной угрозе / риску с использованием различных правил принятия решений или методов взвешивания. Многокритериальный анализ (MCA) является одним из способов взвешивания. Этот метод отличается от статистического анализа, который основывается на доступных данных / статистике

Короче говоря, сигнатура отлично подходит для существующих угроз, но эвристик будет использовать алгоритмы, чтобы «лучше угадать», является ли программа вирусом, что позволяет ей потенциально заражать новые вирусы, которые не распознаются их сигнатурами. Вы также можете получить много ложных срабатываний от эвристического AV.

Я поднял изрядную часть этого отсюда и здесь

3

Традиционное сканирование основано на вирусных сигнатурах. Эвристическое сканирование основано на обнаружении подозрительного поведения. Поскольку количество вирусов огромно, хранение базы данных всех подписей становится непрактичным. Вот почему алгоритмы сканирования движутся в направлении эвристического сканирования.

На мой взгляд, традиционное сканирование лучше при обнаружении уже известных вирусов. Он не сможет обнаружить неизвестную угрозу. Эвристическое сканирование способно обнаруживать еще не известные угрозы, но может не быть столь же защищенным от ошибок при работе с известными вирусами, как традиционное сканирование на основе сигнатур вирусов.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .