Új fegyver a gyorsan szaporodó vírusok ellen

A G DATA által kifejlesztett DeepRay technológia célja, hogy felismerje azokat a rosszindulatú kódokat, amelyeket a bűnözők különböző álcákkal próbálnak átjuttatni a védelmi vonalakon.
 

Manapság egy tipikus kártevő olyan komplex kódokból áll, amelyeket évekig fejlesztenek a bűnözők. Mivel a vírusvédelmi szoftverek az új kártékony kódokat általában gyorsan detektálják, a fejlesztés a bűnözők számára csak akkor kifizetődő, ha a már ismertté vált vírusokat gyorsan és egyszerűen újra tudják "csomagolni", majd az ilyen módon álcázott kártevőt új verzióként tudják terjeszteni.
 
A G Data szerint olyan ez, mintha egy terrorista újra és újra megpróbálna felcsempészni egy lőfegyvert egy repülőgépre. Ha egy pisztolyt tesz a zsebébe, akkor egyből lebukik. Ezért különböző technikákat vet be: a fegyvert elkészíti műanyagból, majd részekre szedi, és az egyes részeket külön-külön próbálja meg feljuttatni a gépre. A kártevők fejlesztése is így működik: a bűnözők ugyanazt a kódot különböző technikákkal álcázva újra és újra elrejtik különféle csomagokban, és egy kártevőből akár több száz változatot készítenek.
 
A hagyományos vírusvédelem általában minden egyes újracsomagolt kártevőt új változatként értelmez, majd minden új variánst egyesével blokkol. A vírusirtó cégek ezért folyamatosan fejlesztik azokat a technológiákat, amelyek segítségével szélesebb körben ismerik fel a kártevőket, jellemzően azok viselkedése alapján. A viselkedés alapú vírusvédelem a rendszerre letöltött kódok szimulált viselkedése alapján ismeri fel az új kártevőket, és azt a kódot tekinti ártalmasnak, amely úgy viselkedik a gépen, ahogyan a kártevők szoktak (például kinyit egy portot, és egy távoli szerverről további fájlokat tölt le). Az ilyen védelem ma már fontos részét képezi minden vírusirtónak.
 
Ennél több kell
 
A kockázatok pontosabb felméréséhez kifejlesztett G Data DeepRay technológia 150 különböző jellemzőt vesz figyelembe, beleértve például a fájl méretét, a benne foglalt programkódot vagy a programozási környezetet, amelyet a fájl létrehozásához használtak. Az adatokat egy neurális hálózat elemzi, amely képes tanulásra, így folyamatosan elraktározza az előző vizsgálatok eredményét, majd az új kódok elemzésében ezeket az eredményeket felhasználja. Mindehhez a DeepRay 20 különböző gépi tanulási modellt alkalmaz, és ha az egyik modell kártevőnek jelöl meg egy fájlt, akkor azt mélyebb elemzésnek veti alá. Minderre az adott számítógép memóriájában kerül sor azért, hogy a kártevő ne tudja egykönnyen érzékelni az elemzői környezetet.
 

"A DeepRay segítségével megváltoztatjuk a játékszabályokat, és a bűnözők gazdasági modelljére mérünk válaszcsapást. Azt tesszük lehetetlenné, hogy egyszerűen és költséghatékonyan készíthessenek egy meglévő kártevőből új variánsokat"

- nyilatkozta Andreas Lünig, a G DATA ügyvezetője.
 
Az új technológia már bekerült a G DATA lakossági szoftvereibe (a 25.5.1.25-ös verziótól), míg a vállalati termékekben a következő hónapokban fog debütálni.