Рынок антивирусной индустрии 2 Исторические факты Корпорация Symantec была основана в 1982 году Гари Хендриксом за счет средств, выделенных по гранту. - презентация

1

2 Рынок антивирусной индустрии 2

3 Исторические факты Корпорация Symantec была основана в 1982 году Гари Хендриксом за счет средств, выделенных по гранту Национального научного фонда США. Чистая прибыль Компании по данным Bloomberg в апреле 2010 года достигла 714 миллионов долларов США. Компания ESET международный разработчик антивирусного программного обеспечения и решений в области компьютерной безопасности для корпоративных и домашних пользователей была основана в 1992 году. Штаб-квартиры ESET находятся в г. Братислава, Словакия и в г.Сан-Диего, США. Компания представлена более чем в 180 странах мира. Доход компании в 2010 году составил 80 миллионов евро. «Лаборатория Касперского» международная группа компаний с центральным офисом в Москве, специализирующаяся на разработке систем защиты от компьютерных вирусов, спама и хакерских атак. Компания входит в пятерку ведущих мировых разработчиков программного обеспечения для защиты информации от интернет-угроз. Оборот компании в 2009 году 480 миллионов долларов США. 3

4 Исторические факты Trend Micro американо-японская компания по разработке антивирусного программного обеспечения. Имеет подразделения во многих странах мира. Штаб- квартира в Токио. Оборот компании за 2007 год составил 810 миллионов долларов США. Panda Antivirus антивирусное программное обеспечение, разрабатываемое Panda Security. Предоставляет пользователю защиту от вирусов, троянских программ, шпионских программ, червей, adware и дозвонщиков. McAfee компания-разработчик антивирусного программного обеспечения со штаб-квартирой в Санта-Кларе, штат Калифорния, США. Она производит вирусный сканер McAfee и сопутствующие продукты и услуги. 19 августа 2010 года была приобретена компанией Intel за 7,68 млрд. долларов. Чистая прибыль компании в 2008 году достигла 1,6 миллиарда долларов США. 4

5 Проблемы современной антивирусной индустрии 5

6 Антивирусная база Сигнатурный анализ 6

7 7

8 Нахождение вируса Шаг 1 Анализ вируса и извлечение сигнатуры Анализ вируса и извлечение сигнатуры Шаг 2 Тестирование сигнатуры Step 3 Обновление базы Step 4 Прежде всего, эксперты должны найти новый вирус. Существует несколько путей: Интернет, ловушки, пользователи… Далее эксперты должны проанализировать несколько копий найденного вируса и извлечь сигнатуру вируса, которая должна быть уникальна. После извлечения, новая сигнатура должна быть протестирована. Только после этого она добавляется в антивирусную базу. Пользователи должны обновить свои антивирусные базы, скачивая их с сайта разработчика. И только после этого, антивирус сможет обнаруживать новый вирус Процесс создания сигнатур 8

9 9

10 Недостатки сигнатурного анализа неспособность обнаружения новых ранее неизвестных вредоносных программ и компьютерных вирусов; трудоемкий процесс ручного анализа вредоносных программ и извлечения сигнатуры, что приводит к значительным временным затратам выпуска обновлений для новых угроз. 10

11 Эвристический анализ Существует несколько алгоритмов эвристического анализа программ с целью выявления их вредоносности: поведенческий блокиратор. Анализирует поведение подозрительных программ, и на основе списка запрещенных действий принимает решение о запрете или разрешении выполнения анализируемой программы; эвристический анализ кода. Анализирует код программы, и на основе списка запрещенных инструкций принимает решение о запрете или разрешении выполнения анализируемой программы; другие алгоритмы. 11

12 12

13 Proactive detection. Test of antivirus software 13

14 Недостатки эвристического анализа высокая степень возникновения ложных обнаружений; недостаточный уровень предлагаемой защиты. 14

15 Методы искусственного интеллекта 15

16 Искусственные нейронные сети Искусственный нейрон – узел искусственной нейронной сети, являющийся упрощенной моделью биологического нейрона. Искусственная нейронная сетьБиологическая нейронная сеть 16

17 От биологического иммунитета к искусственному 1-3. Бактерия проникает в тело и обнаруживается макрофагами. 4. Бактерия изучается макрофагами. Макрофаги представляют антигены бактерии Т- и В-лимфоцитам. 5. Т-хелперы посылают сигнал на активацию другим Т- и В-лимфоцитам. 6. Т-киллеры уничтожают зараженные вирусом клетки. В-лимфоциты производят антитела. 7. Антитела связывают бактерии и продолжают активировать иммунные клетки, в итоге полностью уничтожая инфекцию. Искусственные иммунные системы 17

18 Нейросетевой иммунный детектор Слой Кохонена Легитимный Вредоносный 18

19 Искусственная иммунная система Эволюция иммунных нейросетевых детекторов Сгенерированный детектор Обученный детектор Отобранный детектор Клонированный детектор Дететктор иммунной памяти Neural Network Нейронная сеть GLS C C IM INN Алгоритм функционирования 19

20 Генерация детекторов Обучение и отбор детекторов Уничтожение плохих детекторов Сканирование файлового пространства Уничтожение детекторов по истечению времени Обнаружение вредоносной программы Создание детекторов иммунной памяти Клонирование и мутация детекторов NN Detector 1 NN Detector 2 NN Detector 3 NN Detector 1 NN Detector 2 NN Detector 3 NN Detector 1 NN Detector 2 NN Detector 3 NN Detector 2 NN Detector 3 NN Detector 3 1 NN Detector 3 2 NN Detector 3 3 NN Detector 3 4 NN Detector 3 2 Алгоритм функционирования 20

21 Модульная структура системы обнаружения вирусов Модуль генерации детекторов Модуль отбора детекторов Модуль обнаружения вредоносных программ Модуль клонирования и мутации детекторов Модуль формирования детекторов иммунной памяти Детекторы Обученные детекторы Отобранные детекторы Детектор, обнаруживший вирус Набор однотипных детекторов Лучший детектор Вирус Модуль классификации вредоносных программ Список файлов Модуль обучения детекторов Модуль предобработки данных из файла Предобработанные данные Проверяемый файл Данные для обучения Тестовые данные 21

22 Вредоносная прогр.Kaspersky antivirusESET NOD32Dr.WEBISS (10 детекторов) Worm.Brontok.qWormWin32/BrontokWormMalware Worm.NetSky.qWormWin32/NetSkyWormMalware Worm.RaysWormClear Malware Worm.Zafi.dClearNewHeur_PEClearMalware Worm.Zafi.fClearNewHeur_PEClearMalware Worm.Bozori.aClearWin32/BozoriClearMalware Worm.Bozori.kClearWin32/BozoriClearMalware Worm.Lovesan.aWormWin32/LovesanWormMalware Worm.Maslan.aWormWin32/MaslanWormMalware Worm.Mytob.aClearWin32/MytobClearMalware Worm.Sasser.aWormClear Malware Trojan.Agent.yTrojanClear Trojan.Dialer.ebTrojanClear Malware Trojan.Small.kjTrojanClear Malware Trojan.Psyme.yClear Malware Trojan.Adload.aTrojanClear Malware Trojan.Bagle.fClearWin32/BagleClearMalware Trojan.INS.blTrojanWin32/TrojanTrojanMalware Trojan.INS.giTrojanWin32/TrojanTrojanMalware Trojan.Ladder.aTrojanWin32/TrojanTrojanMalware Trojan.Small.daTrojanWin32/TrojanTrojanMalware Trojan.Small.ddeTrojanWin32/TrojanTrojanMalware Trojan.Small.dgTrojanWin32/TrojanTrojanMalware Сравнительный анализ обнаружения 22

23 Спасибо за внимание 23