Euristic – Definiţie. Metode euristice de detecţie şi clasificare
Euristic – Definiție
Termenul euristic (heuristic) era utilizat în limba greacă (heuriskein) precum şi în limba latină (heuristicus) cu sensul de a căuta, a descoperi. Euristic sau euristica sunt termeni utilizaţi în mod curent pentru a defini acel procedeu de luare a deciziei (sau de găsire a unei soluţii) care nu analizează toată cantitatea de informaţie disponibilă în acest sens.
Euristic – principii
Metodele euristice “sar” peste anumite informaţii sau etape utilizate în mod normal la luarea unei decizii sau găsirea unei soluţii. În anumite situaţii, o metodă euristica poate duce la rezultate mult mai rapide şi mult precise decât metodele clasice de analiză. Conform unor autori, scopul euristicii este acela de a studia metodele şi regulile utilizate pentru descoperiri şi invenţii. Conform altor autori, euristic, înseamnă o procedură foarte rapidă de rezolvare a unei probleme.
Euristic – Utilizare
Euristic este un termen des utilizat în industria anti-malware. Un antivirus efectuează o scanare euristică a fişierelor atunci când există posibilitatea infectării cu o tulpină malware necunoscută. În mod normal, un antivirus detectează fişierele infectate prin compararea acestora cu semnăturile existente într-o bază de date. Această metodă dă greş atunci când intervine o tulpină necunoscută şi neclasificată.
De exemplu, dacă doriți să testați cât de bună este soluția antivirus utilizată de dumneavoastră la detecția euristică a codului malware, EUROPEAN EXPERT GROUP FOR IT-SECURITY, vă pune la dipoziție pe INTERNET un set de fișiere care conțin un pseudo-cod malware. Aceste fișiere sunt inofensive, iar la descărcarea lor de pe site-ul EICAR, aplicația antivirus ar trebui să semnalizeze faptul că au cod malițios.
Semnătura malware EICAR este recunoscută și introdusă de toți producătorii de soluții antivirus în bazele de date ale acestor aplicații, tocmai în scopuri de testare. Sunt puse la dispoziție 4 fișiere în format executabil (.com), text(.txt) și arhivă (.zip). Fișierul eicar.com.txt este de fapt fișierul eicar.com cu extensia schimbată. Fișierul eicar_com.zip este fișierul eicar.com arhivat. Fișierul eicarcom2.zip este fișierul eicar_com.zip arhivat încă o dată.
O soluție antivirus OK, ar trebui să detecteze toate cele 4 fișiere atât la descărcarea prin protocolul http nesecurizat cât și la descărcarea prin protocolul https (SSL). De asemenea, pentru testare, se pot face combinații prin includerea fișierelor EICAR în arhive mai mari.
Metode de detecție euristică
O metodă de detecţie euristica este aceea de a analiza în ce măsură un obiect necunoscut este similar în formă, conţinut şi funcţionalitate cu unul deja catalogat ca şi malware. Dacă prezintă funcţii de conectare UDP/TCP la un anumit port de pe o anumită clasă IP, dacă accesează anumite intrări din regiştrii, atunci obiectul se poate încadra în categoria malware.
O altă medodă de detecţie euristică este aceea de a permite unei aplicaţii necunoscute să ruleze nestingherită într-un mediu virtual. Funcţie de producător, tehnica este cunoscută ca şi sandboxing, emulare sau virtualizare. Un astfel de mediu virtual permite aplicaţiei catalogată ca fiind posibil malware, să se autodecripteze şi să ruleze, acţiunile acesteia putând duce la concluzia că este sau că nu este de tip malware.
Link-uri utile
https://en.wikipedia.org/wiki/Heuristic_analysis
https://usa.kaspersky.com/resource-center/definitions/heuristic-analysis
https://www.f-secure.com/v-descs/heuristic.shtml
https://www.opswat.com/blog/understanding-heuristic-based-scanning-vs-sandboxing