آشنایی با جدید‌ترین روش‌های تشخیص بدافزار

تکنولوژی <>

تکنولوژی <> امروزه از طرف آنتی ویروس ها و آنتی مالور ها به شدت مورد استفاده قرار می گیرد. سیستم تشخیص مالور در این تکنولوژی متنوع است. روش تحلیل ترافیک شبکه برای تشخیص تهدیدهای احتمالی در شبکه به کار می رود. الگوهای رفتاری مورد دقت قرار می گیرند و فایل های مشکوک به سندباکس (sandbox) فرستاده می شوند. این فایل ها سپس در محیطی از ماشین های مجازی امتحان می شوند و کارکرد این ماشین های مجازی، تحلیل رفتار فایل ها در سیستم عامل های مختلف و نسخه های متفاوت نرم افزار ها است. هر تغییری که فایل های مشکوک ایجاد کنند، ثبت می شود و گزارشی تهیه می شود که تمامی مناطقی از سیستم عامل و نرم افزار ها را که تغییر کرده اند، نشان می دهد. بر اساس همین گزارش، فایل ها به عنوان مالور معرفی می شوند.

بهترین جنبه این روش این است که مهم نیست مالور چقدر تلاش می کند تا ترافیک خودش را مخفی کند، بلکه مجبور است تغییراتی را هر چند ناچیز روی سیستم عامل ایجاد کند و سندباکس این تغییرات را تشخیص می دهد. این پروسه دو مرحله ای- اول تشخیص تهدید و بعد فرستادن فایل به سندباکس- روشی کارا و مفید بوده است.

همچنین فایل ها هنگام ورودشان به شبکه مورد تحلیل قرار می گیرند، مثلا وقتی از وبسایت دانلود می شوند. ترافیک اینترنت توسط محصولات آنتی مالور شکل داده می شوند و ناهنجاری ها تشخیص داده می شوند. در لحظاتی معین، ترافیک مشکوک به سند باکس هدایت می شود. تهدیدهایی هم که از قبل در شبکه وجود داشته اند با قفل کردن راه های خروج اطلاعات بر اساس ترافیک شبکه، به حداقل رسانده می شوند. مالور ها عادت دارند که وقتی در جایی وارد شدند، بقیه مالور ها را هم به آنجا دعوت کنند. در این لحظه هم می توان جلوی رشد مالور را گرفت. از آنجا که سیستم سندباکس بر اساس الگوی خاصی از بدافزار کار نمی کند و بر اساس تغییرات مشکوک تصمیم می گیرد، مالورهای جدیدالورود هم قابل تشخیص خواهند بود. اطلاعات یک مالورِ لو رفته با بقیه دستگاه ها همخوان می شوند تا بقیه هم اطلاع داشته باشند و از رشد آن مالور جلوگیری کنند.