5. Phương pháp nghiên cứu
2.2.2 Công nghệ phát hiện mãđộc
a.Phòng vệ chủ động
Đây là một khái niệm chung cho việc sử dụng các công nghệ thông minh (heuristic, hips, behaviour…) để phát hiện các chủng virus mới.
Ngược lại với Proactive Detection là Reactive Reaction, đây là phương pháp nhận diện virus đã biết thông qua mẫu nhận diện.
- Công nghệ thông minh (Heuristic):
Công nghệ nhận dạng virus sử dụng trí tuệ nhân tạo.Công nghệ này giả lập hệ thống máy ảo và thực thi file (chương trình, script) trên hệ thống đó. Toàn bộ các hành vi thực hiện sẽ được xem xét một cách thông minh để quyết định một file thực thi có chứa Virus hay không. Bất cứ hành vi nào giống virus như xóa file, thay thế, ẩn các tiến trình file, lưu thông tin bất thường đều sẽ bị phát hiện, file đó sẽ bị đánh dấu nguy hiểm và cảnh báo đến người dùng và đội ngũ chuyên gia.
Một cách hoạt động khác của hệ thống Heuristic là giải mã (decompile) một file, phân tích mã nguồn (phân tích tĩnh). Dựa vào cách hành vi thực hiện trong mã nguồn, công nghệ này sẽ tự quyết định nó có hành vi bất thường và đánh giá khả năng nó là virus hay không.
Với cách làm trên, rõ ràng công nghệ này giúp cho việc phát hiện những virus chưa được biết đến. Tuy nhiên, với tính chất có tính ước lượng, công nghệ này có rủi ro cao trong việc nhận nhầm các file sạch là virus.
- Công nghệ phát hiện hành vi và giám sát truy cập (HIPS):
Hệ thống ngăn chặn xâm nhập (HIPS) là một dạng công nghệ thông minh, một lớp bảo vệ hệ thống của Antivirus. HIPS thường theo dõi mọi hành vi liên quan đến tiến trình, file, ứng dụng, registry, network cụ thể nào đó.
Trong quá trình theo dõi, HIPS sẽ dựa theo luật (rule-based) để định nghĩa đâu là hành vi tốt, đâu là hành vi xấu, những hành vi không có trong luật có thể đánh dấu chú ý hoặc đề nghị công nghệ nhận diện khác.
So với việc phân tích và phát hiện theo mẫu nhận diện, HIPS sử dụng luật nên phù hợp với việc phát hiện Virus có khả năng khai thác lỗ hổng phần mềm của hệ thống, từ đó bảo vệ hệ thống khỏi các cuộc tấn công zero-day (cuộc tấn công vào hệ thống đang tồn tại lỗ hổng bảo mật).
Giải pháp HIPS cho Antivirus là một mô hình nhỏ cho giải pháp Intrusion Prevention System (IPS) cho toàn bộ hệ thống mạng máy tính.
b.Bảo vệ thời gian thực - Real-time protection
Hệ thống bảo vệ theo thời gian thực là thành phần bảo vệ hệ thống quan trọng nhất của phần mềm Antivirus. Thành phần này thực hiện theo dõi tất cả các hành vi của của người dùng và hệ thống như: mở email, lướt web, đọc ghi dữ liệu, mở CD, USB, nghe nhạc. Bất cứ hành vi hoặc dữ liệu bất thường nào chứa dấu hiệu của virus sẽ được phát hiện và tiêu diệt tức thời.
Đây là thành phần yêu cầu công nghệ phức tạp, để đạt hiệu năng cao, nó đòi hỏi can thiệp sâu vào nhân hệ điều hành (kernel mode) để bẫy được đầy đủ hành vi của hệ thống mà không làm chậm hệ thống.
c. Ngăn chặn website chứa mã độc – Site Advisor
Site Advisor là dịch vụ cảnh báo cho người sử dụng mức độ an toàn của website. Dịch vụ này kết hợp giữa công nghệ phát hiện virus và công nghệ thu thập thông tin website (web crawler). Thông tin về những website chứa virus sẽ được lưu trữ và cập nhật trong database. Ngay khi người dùng truy cập vào website, Antivirus sẽ ngăn chặn và cảnh báo.
Công nghệ này được giới thiệu đầu tiên bởi McAfee năm 2006.Đến nay, hầu hết các Antivirus đều tích hợp.Thậm chí, các trình duyệt Firefox và Chrome cũng đã tích hợp công nghệ này để bảo vệ người dùng.