Хочу познакомить с технологиями, которые используются в программных продуктах BitDefender, и конечно о новых возможностях в следующих поколениях антивирусных решений.
B-Have
B-HAVE – это технология BitDefender по эвристическому обнаружению на основе поведения. Технология разработана для обнаружения и блокирования новых и неизвестных угроз, не требуя новых вирусных сигнатур. B-HAVE отслеживает файлы в среде виртуального компьютера и выявляет вредоносное поведение.
B-HAVE имитирует относительно простой компьютер, используя системный эмулятор процессора и памяти, а также виртуальный эмулятор других компонентов оборудования, таких как жесткий диск или монитор.
Когда ненадежная программа достигает начальной точки известной последовательности кода, упакована с помощью известного упаковщика или создает известный системный вызов, выполняется встроенная подпрограмма (для виртуальной машины), называемая подпрограммой ускорения, которая эмулирует последовательность кода, распаковывая вызывающую сомнение подпрограмму или системный вызов.
Затем конечные результаты анализируются с помощью модуля проверки виртуальных машин, модуля проверки файлов (который проверяет все файлы, созданные в результате выполнения ненадежного кода) и модуля проверки памяти.
Файл может считаться вредоносным, если в конце процесса эмуляции один из отслеживаемых файлов на жестком диске был изменен (например, файл hosts) или при выполнении некоторых других условий (например, создан файл, соответствующий сигнатуре известного вируса, или подозрительная программа пыталась изменить или считать расположение с конфиденциальной памятью).
Весь процесс выполняется за доли секунды. Если владелец ПО BitDefender добавит соответствующую настройку, вредоносный файл, для которого отсутствуют известные сигнатуры, затем отправляется в лабораторию BitDefender для дальнейшего анализа. В результате создается и распространяется новая сигнатура, поэтому процесс не потребуется повторять, когда другой компьютер столкнется с этим файлом.
Технология B-HAVE позволяет BitDefender постоянно получать высокие оценки по эффективности проактивного обнаружения в независимых тестах.
NeuNet
NeuNet – это "интеллектуальный" фильтр спама, использующий набор нейронных сетей, предварительно подготовленных на базе сообщений со спамом. Подготовка и обновление сетей осуществляется в лабораториях BitDefender Labs с помощью последних разновидностей спама.
Сети упорядочены таким образом, чтобы работать в качестве последовательных уровней фильтрации: "самая верхняя" сеть эффективно отличает некоторые типы допустимых сообщений от подозрительных, а последующие слои могут распознать с высокой степенью точности одну из нескольких предварительно определенных категорий спама, таких как фишинговый спам или спам, рекламирующий дешевые копии часов.
Одним из больших преимуществ предварительно подготовленных нейронных сетей является их способность распознавать новые разновидности спама в сообщениях электронной почты, относящиеся к той же категории, которая описана в наборе подготовки. Другое заключается в том, что во многих случаях они работают быстрее устаревших фильтров на основе правил.
Обучение выполняется в лабораториях, а не на клиентских компьютерах BitDefender, по двум причинам: производительности (обучение потребляет большой объем ресурсов процессора) и точности (лаборатории могут собрать и классифицировать намного больше разновидностей недавнего спама, чем любой клиентский компьютер, что делает обучение более точным).
AVC
Функция контроля активных вирусов BitDefender ® – это инновационная технология проактивного обнаружения, использующая расширенные эвристические методы выявления новых потенциальных угроз в режиме реального времени. Она отслеживает каждую программу, запущенную на компьютере, и уведомляет о вредоносных действиях. Если подобные действия будут обнаружены, программа, выполняющая их, помечается в качестве опасной.
В отличие от любой другой эвристической технологии, которая только проверяет файлы при доступе или первом запуске, функция контроля активных вирусов отслеживает все действия приложений во время их активности.
Мониторинг выполняется за счет "инъекции" DLL при запуске процессов, то есть для каждого процесса назначается "наблюдатель", остающийся в течение всего периода активности процесса и сообщающий об определенных действиях серверу. Последний, в свою очередь, решает (основываясь на количестве и типах потенциально опасных действий, которые выполнял процесс), какие процессы следует отнести к категории вредоносных и остановить.
Функция контроля активных вирусов входит в состав всех версий продуктов BitDefender для обычных пользователей.