stringtranslate.com

Análisis heurístico

El análisis heurístico es un método empleado por muchos programas antivirus informáticos diseñados para detectar virus informáticos previamente desconocidos , así como nuevas variantes de virus que ya están "en circulación". [1]

El análisis heurístico es un análisis basado en expertos que determina la susceptibilidad de un sistema a una amenaza o riesgo particular utilizando varias reglas de decisión o métodos de ponderación. El análisis multicriterio (MCA) es uno de los métodos de ponderación. Este método se diferencia del análisis estadístico, que se basa en los datos o estadísticas disponibles.

Operación

La mayoría de los programas antivirus que utilizan el análisis heurístico realizan esta función ejecutando los comandos de programación de un programa o script cuestionable dentro de una máquina virtual especializada , lo que permite al programa antivirus simular internamente lo que sucedería si se ejecutara el archivo sospechoso mientras mantiene el código sospechoso aislado de la máquina del mundo real. Luego analiza los comandos a medida que se ejecutan, monitoreando las actividades virales comunes, como la replicación, la sobrescritura de archivos y los intentos de ocultar la existencia del archivo sospechoso. Si se detectan una o más acciones similares a las de un virus, el archivo sospechoso se marca como un virus potencial y se alerta al usuario.

Otro método común de análisis heurístico es que el programa antivirus descompila el programa sospechoso y luego analiza el código de máquina que contiene. El código fuente del archivo sospechoso se compara con el código fuente de virus conocidos y actividades similares a virus. Si un cierto porcentaje del código fuente coincide con el código de virus conocidos o actividades similares a virus, se marca el archivo y se alerta al usuario.

Eficacia

El análisis heurístico es capaz de detectar muchos virus previamente desconocidos y nuevas variantes de virus actuales. Sin embargo, el análisis heurístico funciona sobre la base de la experiencia (comparando el archivo sospechoso con el código y las funciones de los virus conocidos). Esto significa que es probable que pase por alto nuevos virus que contienen métodos de funcionamiento previamente desconocidos que no se encuentran en ningún virus conocido. Por lo tanto, la efectividad es bastante baja en cuanto a precisión y número de falsos positivos .

A medida que los investigadores humanos descubren nuevos virus, se agrega información sobre ellos al motor de análisis heurístico, lo que proporciona al motor los medios para detectar nuevos virus.

Referencias

  1. ^ Wong, W.; Stamp, M. (2006). "En busca de motores metamórficos". Revista de Virología Informática . 2 (3): 211–229. doi :10.1007/s11416-006-0028-7. S2CID  8116065.

Enlaces externos