Email this page Print this page Give us your feedback
Panda Security » about » Технологические достижения

Технологические достижения


Первое поколение: Антивирус Второе поколение: Antimalware Третье поколение:
Проактивные технологии		 Коллективный разум: 
следующее поколение



Первое поколение: Антивирус

Первое поколение антивирусных продуктов было полностью основано на сигнатурном обнаружении.

Это поколение технологий заняло боьлшую часть 90-х годов прошлого века и содержало полиморфические движки,а также простые основанные на правила эвристики для MS-DOS, Win32, Macro и, позже, скриптов. Этот период также ознаменова появлением первых массово используемых троянцев для win32, таких как NetBus и BackOrifice.

Второе поколение: Antimalware 

С 2000 года стали появляться новые типы вредоносных программ (malware): сетевые черви и шпионы, которые приковали к себе внимание в результате массовых и весьма заметных эпидемий.

Простые антивирусные движки выросли до интегрированных персональных файерволов, способных идентифицировать и останавливать сетевых червей, основанных на пакетах сигнатур, и очистителей систем для восстановления модифицированных установок операционной системы, таких как регистр, файлы HOST, Browser Helper Objects, и т.д. Они стали представлять собой второе поколение технологий, которые Panda Software интегрировало в виде технологий SmartClean в антивирусный движок, разработанный для дезинфекции и восстановления операционной системы от шпионов и троянцев.

Третье поколение: Проактивные технологии 

TruPrevent

Panda выпустила поведенческие технологии TruPrevent® в 2004 после 3-летних интенсивных исследований и разработок.

После этого технологии TruPrevent® превратились в набор поведенческих технологий, которые существенно более эффективны в блокировке вредоносных программ "нулевого дня" проактивным способом без какой-либо зависимости от вирусных сигнатур чем любые другие предыдущие технологии, разрабатываемые в этом направлении. TruPrevent® постоянно адаптируется к новым техникам вредоносных программ и эксплойтам. Технологии TruPrevent® были построены над антивирусным движком. В настоящее время более чем 5 миллионов компьютеров работают с технологиями TruPrevent®. Все эти компьютеры также выступают в качестве высокоинтерактивных узлов, которые отправляют в PandaLab примеры любых новых вредоносных программ, которые TruPrevent® помечают в качестве подозрительных и которые не обнаруживаются регулярными антивирусными сигнатурами.

Технически TruPrevent® состоит из 2 основных технологий: поведенческий анализ и поведенческая блокировка.

    Поведенческий анализ

    Поведенческий анализ выступает в качества действтиельно последней линии защиты от новых вредоносных программ, исполняемых на машине, которые ведут к обходу сигнатур, эвристик и поведенческой блокировки. Proteus перехватывает во время выполнения операции и вызовы API, осуществляемые каждой программой, и устанавливаем связи с ними до того, как полностью разрешить процесс. В результате этого в режиме реального времени осуществляется разрешение или запрет на выполнение процессов, основываясь на их поведении.

    В отличии от других поведенческих технологий, данная технология автономна и не задачет технических вопросов конечному пользователю (например, "Хотите ли Вы разрешить процесс xyz, чтобы ввести поток в explorer.exe или ячейку памяти abc?"). Эта технология не требует обновлений сигнатуры, т.к. она основана только на поведении приложений. Бот не будет ботом, если он не ведет себя как таковой, но если он является таковым, то он будет обнаружен этой технологией вне зависимости от его формы или названия.

    Поведенческая блокировка

    Поведенческая блокировка TruPrevent® является вторым основным компонентом. Хакеры и вредоносные программы испоьлзуют права легитимных приложений для атаки систем инфицированным кодом. Чтобы в целом предотвратить подобные типы атак, очень эффективно с точки зрения цены использовать основанную на правилах технологию блокировки, способную ограничить действия, которые могут осуществляться авторизованными приложениями в системе.

    KRE составляют из набора политик, которые определены набором правил, описывающих разрешенные или запрещенные действия для специфического приложения из этой группы. Правила могут быть установлены для контроля доступа приложения к файлам, пользовательским аккаунтам, COM-объектам, службам Windows и сеетвым ресурсам.

Генетический эвристический движок (Genetic Heuristic Engine)

“Генетические” технологии вдохновлены разделом генетики в биологии и ее полезностью при понимании того, как организмы индивидуально идентифицируются и соотносятся с другими организмами. Эти технологии основаны на обработку и интерпретации "цифровых генов", которые представлены в нашем случае многими сотнями характеристик каждого сканируемого файла.

Генетический эвристический движок был выпущен 2005 году. Его целью является корреляция генетических особенностей файлов путем использования определенного алгоритма. Генетические особенности определяют потенциал программного обеспечения выполнять вредоносные действия после своего запуска на компьютере. Движок способен определять, является ли файл безвредным, или наоборот червем, шпионом, троянцем, вирусом...

Колективный разум. Следующее поколение

Сегодня существует в 10 раз больше вредоносных программ, чем два года назад. Напрашивается очевидный вывод, что решение безопасности должно обнаруживать в 10 раз больше вредоносных программ, чтобы предоставить пользователям адекватную защиту. Пока поумневшие решения HIPS способны блокировать большинство из них с помощью проактивных технологий, это все еще остается возможным для блокировки неизвестных вредоносных программ, прошедших незамеченными через их защиты.

Подход "Коллективный разум" был реализован в конце 2006 года в некоторых пилотных проектах, чтобы определить его способность надежно обнаруживать “в 10 раз больше, чем мы сейчас обнаруживаем, с усилиями в 10 раз меньше”.

Основы этой новой системы следующие:

  • Сбор данных от сообщества пользователей. Система централизованно собирает и хранит образцы поведения программ, следы файлов, примеры нового вредоносного ПО и т.д. Эти данные поступают от пользователей Panda, из других компаний и партнеров. Эта способность сбора информации предоставляет более высокую видимость угроз, которые активны в Интернете.

  • Автоматизированная обработка данных. Система автоматически анализирует и классифицирует тысячи новых образцов, поступающих каждый день. Для этого экспертная система устанавливает связь между полученными от сообщества данными и базой знаний PandaLab. Система автоматически выставляет новым файлам, полученным от сообщества, вердикт (вредоносная программа или нет), что позволяет довести круг вручную выполняемых в PandaLabs задач к минимуму.

  • Выпуск новых знаний. Эти знания поставляются пользователям в виде веб-сервисов или через обновления сигнатурного файла.

    Мы уже разработали и внедрили несколько сервисов, которые функционирует полностью основываясь на платформе коллективного разума. Эти онлайн-сервисы разработаны для проведения тщательных аудитов машин и обнаружения вредоносных программ, необнаруженных установленным на них решением безопасности.

    Для домашних пользователей ПК мы разработали NanoScan, который сканирует ПК на поиск активных вредоносных программ, и TotalScan, который выполняет полное сканирование всей системы ПК, включая жесткий диск, память, почту и пр.

    На корпоративной фронте требования для производительности и тщательного аудита информационной безопасности более жесткие. В результате мы создали специальный управляемый сервис под названием Malware Radar. Благодаря этому сервису компании могут быстро провести полный аудит всех компьютеров в их сетях, чтобы определить их уровень безопасности, определить необнаруженные источники инфекции или определить машины, которые стали объектами нацеленных атак.