В данной статье рассматривается возможность реализации антивирусного ПО с использованием интеллектуальных технологий, их потенциальные возможности, преимущества перед аналогами, использующими традиционные методы выявления угроз и недостатки данных систем.
Ключевые слова: антивирус, интеллектуальные технологии, нейронные сети, экспертные системы, байесовские сети
В настоящее время антивирусы плотно вошли в состав «базового» программного обеспечения необходимого для нормального функционирования, как домашних персональных компьютеров, так и информационных систем правительственных или крупных производственных организаций. Но, если для домашних ПК хватает базовых алгоритмов выявления вредоносных программ, то для крупных распределённых систем могут потребоваться более продуктивные и совершенные методы поиска вирусов на всех стадиях их «жизни». Это является перспективным направлением для изучения и применения интеллектуальных технологий.
Антивирусом является специализированное программное обеспечение, предназначенное для обнаружения и блокирования вредоносного кода, предотвращения попыток заражения и восстановления файлов и системы после реализации угрозы. Наиболее распространенными способами поиска вирусов являются эвристический и сигнатурный анализ. Первый метод состоит в выявление типовых действий свойственных большинству вирусов, такие как создание файлов, их изменение и т. д. Суть второго метода заключается в сравнении кода программы с эталоном, определённым набором строк кода, занесённым в вирусную базу.
Применение интеллектуальных технологий позволяет значительно повысить уровень антивирусной защиты. В статье рассматриваются использование экспертных систем (ЭС), нейронных (НС) и байесовских (БС) сетей в качестве блока-анализатора антивирусной программы.
Экспертные системы предназначены для решения задач, которые не могут быть сформулированы в виде конкретного алгоритма. Главной частью анализирующего механизма является база знаний. В ней хранятся данные, заносимые высококвалифицированными экспертами, о проблемной области. В процессе работы экспертной системы происходит постоянное сравнение информации, поступающей с датчиков, с хранимой в базе знаний. Вследствие чего ЭС отлично зарекомендовали себя в поиске уже каталогизированных угроз. Но прирост эффективности выявления угроз не столь значителен, как затраты на создание подобной системы, по сравнению со стандартными методами. Также базы знаний требуют регулярного обновления, как и вирусные базы обычных антивирусов.
Нейронные сети представляют собой математическую модель, реализуемую программно или аппаратно, строения и функционирования биологических нейронных сетей (нервных клеток нашего организма). В общем случае её можно рассматривать как набор взаимосвязанных друг с другом процессоров (искусственных нейронов), обрабатывающих элементарные электрические сигналы. Так, информация, поступающая с датчиков на первый каскад процессоров, передаётся на следующий и так далее до выходного каскада. Каждому сигналу соответствует свой «маршрут» прохождения этой сети, который запоминается и заносится базу данных. НС не программируются в традиционном понимании. Процесс занесения «маршрутов» в базу называют обучением нейронной сети. Отличительной чертой нейросетей является способность к самообучению, это позволяет им эффективно обнаруживать угрозы «нулевого дня». Но для правильной работы НС требуется множество примеров на этапе обучения системы, что является основным недостатком для применения их в антивирусах. Это связано с большой изменчивостью вирусов и невозможностью сбора достаточного количества входной информации.
Лучшим образом в роли анализатора антивируса себя зарекомендовали байесовские сети доверия. Они являются моделью действий и отдельных событий, происходящих в системе, и строятся на основе теории вероятности и теории графов. Так любая сложная система разбивается на более простые, являющиеся вершинами графа. А переход между этими вершинами задаётся заранее определёнными вероятностями. Таким образом, байесовские сети позволяют смоделировать поведение злоумышленника при его обнаружении. Далее происходит сопоставление всех происходящих в системе процессов с полученной моделью и обнаружение идентичных видов угроз. Так же как и у нейронных сетей, имеет место самообучение системы новым видам угроз и атак, что значительно повышает эффективность системы защиты, позволяет ей противостоять атакам «нулевого дня» и лишает обслуживающий персонал необходимости регулярного обновления вирусных баз.
Таким образом, применение интеллектуальных технологий способно значительно повысить результативность антивирусного программного обеспечения и защищенность системы. Большую роль в этом играет выбор основного анализирующего элемента.
Литература:
- Москаленко Ю. С. Организация систем, основанных на знаниях — Владивосток: Издательский дом Дальневосточного федерального университета, 2013. — 242 с.
- Джарратано Дж., Райли Г. Экспертные системы. Принципы разработки и программирование — Москва: Издательский дом «Вильямс», 2007–1152 с.
- Тулупьев А. Л., Николенко С. И., Сироткин А. В. Байесовские сети: Логико-вероятностный подход — Москва: Издательский дом «Наука», 2006–608с.
- Ясницкий Л. Н. Введение в искусственный интеллект. — Москва: Издательский центр «Академия», 2005. — 176 с.
