В настоящее время пользователи высказывают по поводу антивирусов всевозможные мнения – от полной уверенности в защите до того что надо, во-первых – выдержать первый удар. Порой антивирусы применяются не столько как защита компьютера, сколько как способ оценки нанесенного ущерба и обезвреживание вредоносных модулей. Система оповещения, учитывающая опыт прежних атак, стает бесполезной при столкновении с незнакомым вирусом либо шпионской программой.
Для того чтоб сгенерировать сигнатуру, антивирусной программы требуется получить экземпляр вируса, выделить фрагмент, характерный лишь для него, уже после чего занести вирус в базу программы. Данное вычисление занимает время (в случае полиморфного вируса процесс конструирования сигнатуры способен весомо затянуться), в течение этого антивирусы недееспособны, и ранее не известный червь в силах успеть заразить сотни тысяч компьютеров. Таким образом, типичные сигнатурные антивирусы не способны остановить всеобщую эпидемию.
Применяя всевозможные подходы и технологии, системы защиты стремятся прервать невиданные атаки. Можно выделить немного подходов: эвристический анализ, поведенческие блокираторы, политика безопасности и системы контроля целостности. Каждый имеет достоинства и недостатки, в связи с этим в нынешних продуктах они комбинируются, повышая точность и способствует, избежать ошибок при определении подозрительной деятельности приложений.
Фактически все сегодняшние антивирусы имеют модуль проактивной защиты. Так, например, проактивная защита «Антивируса Касперского» применяет для детектирования невиданных вирусов все указанные технологии. По результатам тестов, точность проактивных систем защиты все время является 100 %, в связи с этим они играют дополнительную роль. Кроме прочего, антивирусы должны проверять файлы обычным способом, в связи с этим такая система защиты ресурсоемка. При реализации проактивной защиты создатели привязаны также к движку антивируса, какой часто не может дать кардинально осуществить потенциальные возможности.
Появились энтузиасты, какие разработали системы защиты, действующие от противоположного: в первую очередь проактивность, а антивирус – по желанию. Такие системы не сопряжены антивирусным движком и могут предельно использовать возможности проактивных спец.технологий. Если на компьютере стоит антивирус, то вместе с одной из программ, какие будут рассмотрены далее, они смогут обезопасить компьютер от неведомых угроз.
Такие решения еще не получили широкого использования. Пользователи, привыкшие каждый день обновлять базы, воспринимают их с недоверием. Антивирусные компании также не хотят сдавать позиции. Тем не менее, проактивные системы защиты открывают все более широкое распространение, в связи с этим с ними надо ознакомиться.
Намерения, позволяющие обнаружить либо обезвредить нападение, относят к системам обнаружения иначе системам устранения атак. Первые позволяют зарегистрировать факт атаки, вторые – не лишь обнаруживают, однако и останавливают ее. Условия к системам, предотвращающим атаки, жестче, так как любая неверная ошибка в силах довести к блокировке легального запроса. Реализации данных систем работают с разными текущими: они анализируют сетевые пакеты, системные запросы, файлы журналов и пр. Системы устранения атак делятся на 2 класса: одни защищают отдельный компьютер (host intrusion prevention system), другие – ориентированы на сеть (network intrusion prevention system). В данной статье изложены решения, относящиеся к 1 типу. О системах, защищающих сетевую часть, будет рассказано в следующих статьях.
]
