Рынок антивирусной индустрии Исторические факты Корпорация Symantec была основана в 1982 году Гари Хендриксом за счет средств, выделенных по гранту Национального научного.
Download ReportTranscript Рынок антивирусной индустрии Исторические факты Корпорация Symantec была основана в 1982 году Гари Хендриксом за счет средств, выделенных по гранту Национального научного.
Slide 1
Slide 2
Рынок антивирусной
индустрии
2
Slide 3
Исторические факты
Корпорация Symantec была основана в 1982 году Гари Хендриксом за счет
средств, выделенных по гранту Национального научного фонда США. Чистая
прибыль Компании по данным Bloomberg в апреле 2010 года достигла 714
миллионов долларов США.
Компания ESET — международный разработчик антивирусного программного
обеспечения и решений в области компьютерной безопасности для корпоративных
и домашних пользователей — была основана в 1992 году. Штаб-квартиры ESET
находятся в г. Братислава, Словакия и в г.Сан-Диего, США. Компания представлена
более чем в 180 странах мира. Доход компании в 2010 году составил 80
миллионов евро.
«Лаборатория Касперского» — международная группа компаний с
центральным офисом в Москве, специализирующаяся на разработке систем
защиты от компьютерных вирусов, спама и хакерских атак. Компания входит в
пятерку ведущих мировых разработчиков программного обеспечения для защиты
информации от интернет-угроз. Оборот компании в 2009 году 480 миллионов
долларов США.
3
Slide 4
Исторические факты
Trend Micro — американо-японская компания по разработке антивирусного
программного обеспечения. Имеет подразделения во многих странах мира. Штабквартира — в Токио. Оборот компании за 2007 год составил 810 миллионов
долларов США.
Panda Antivirus — антивирусное программное обеспечение, разрабатываемое
Panda Security. Предоставляет пользователю защиту от вирусов, троянских
программ, шпионских программ, червей, adware и дозвонщиков.
McAfee — компания-разработчик антивирусного программного обеспечения
со штаб-квартирой в Санта-Кларе, штат Калифорния, США. Она производит
вирусный сканер McAfee и сопутствующие продукты и услуги. 19 августа 2010 года
была приобретена компанией Intel за 7,68 млрд. долларов. Чистая прибыль
компании в 2008 году достигла 1,6 миллиарда долларов США.
4
Slide 5
Проблемы современной
антивирусной индустрии
5
Slide 6
Сигнатурный анализ
Антивирусная база
.
.
.
6
Slide 7
7
Slide 8
Процесс создания сигнатур
Шаг 1
Нахождение вируса
Шаг 2
Анализ вируса и
извлечение сигнатуры
Step 3
Тестирование сигнатуры
Step 4
Обновление базы
Прежде всего, эксперты должны
найти новый вирус. Существует
несколько путей: Интернет,
ловушки, пользователи…
1
Далее эксперты должны
проанализировать несколько
копий найденного вируса и
извлечь сигнатуру вируса, которая
должна быть уникальна.
2
После извлечения, новая
сигнатура должна быть
протестирована. Только после
этого она добавляется в
антивирусную базу.
3
Пользователи должны обновить
свои антивирусные базы, скачивая
их с сайта разработчика. И только
после этого , антивирус сможет
обнаруживать новый вирус.
4
8
Slide 9
9
Slide 10
Недостатки сигнатурного анализа
неспособность обнаружения новых ранее неизвестных вредоносных программ
и компьютерных вирусов;
трудоемкий процесс ручного анализа вредоносных программ и извлечения
сигнатуры, что приводит к значительным временным затратам выпуска обновлений
для новых угроз.
10
Slide 11
Эвристический анализ
Существует несколько алгоритмов эвристического анализа программ с целью
выявления их вредоносности:
поведенческий блокиратор. Анализирует поведение подозрительных
программ, и на основе списка запрещенных действий принимает решение о запрете
или разрешении выполнения анализируемой программы;
эвристический анализ кода. Анализирует код программы, и на основе списка
запрещенных инструкций принимает решение о запрете или разрешении
выполнения анализируемой программы;
другие алгоритмы.
11
Slide 12
12
Slide 13
Proactive detection. Test of antivirus software
13
Slide 14
Недостатки эвристического анализа
высокая степень возникновения ложных обнаружений;
недостаточный уровень предлагаемой защиты.
14
Slide 15
Методы искусственного
интеллекта
15
Slide 16
Искусственные нейронные сети
Искусственный нейрон – узел
искусственной нейронной сети,
являющийся
упрощенной
моделью
биологического
нейрона.
Искусственная нейронная сеть
Биологическая нейронная сеть
16
Slide 17
Искусственные иммунные системы
От биологического иммунитета к искусственному
Генерация
детекторов
1-3. Бактерия проникает в тело и обнаруживается
макрофагами.
4. Бактерия изучается макрофагами. Макрофаги
представляют антигены бактерии Т- и В-лимфоцитам.
5. Т-хелперы посылают сигнал на активацию другим
Т- и В-лимфоцитам.
6. Т-киллеры уничтожают зараженные вирусом
клетки. В-лимфоциты производят антитела.
7. Антитела связывают бактерии и продолжают
активировать иммунные клетки, в итоге полностью
уничтожая инфекцию.
Обучение и отбор
детекторов
Уничтожение плохих
детекторов
Сканирование
файлового
пространства
Уничтожение
детекторов по
истечению времени
Создание детекторов
иммунной памяти
Обнаружение
вредоносного кода
Клонирование и
17
мутация детекторов
Slide 18
Нейросетевой иммунный детектор
1
ωci
Yi
1
ωij
Ф
А
Й
Л
2
Yj
2
1
3
.
.
.
n
Легитимный
p
2
Вредоносный
m-1
m
Слой Кохонена
18
Slide 19
1
Алгоритм функционирования
ωci
Yi
1
ωij
2
2
3
p
Yj
1
X
Искусственная иммунная система
.
.
.
n
2
m-1
m
INN
Нейронная сеть
Эволюция иммунных нейросетевых детекторов
Сгенерированный
детектор
Обученный
детектор
Отобранный
детектор
Клонированный
детектор
Дететктор
иммунной памяти
C
G
L
S
Neural Network
Neural Network
Neural Network
Neural Network
C
Neural Network
IM
Neural Network
19
Slide 20
Алгоритм функционирования
1
ωci
Yi
1
ωij
Генерация
детекторов
NN Detector 1
NN Detector 2
NN Detector 3
2
2
3
p
1
X
.
.
.
n
Обучение и отбор
детекторов
Yj
2
m-1
m
NN Detector 1
NN Detector 2
NN Detector 3
NN Detector 1
Сканирование
файлового
пространства
Уничтожение плохих
детекторов
NN Detector 2
NN Detector 3
NN Detector 2
Уничтожение
детекторов по
истечению времени
Обнаружение
вредоносной
программы
NN Detector 3
NN Detector 32
Создание детекторов
иммунной памяти
Клонирование и
мутация детекторов
NN Detector 31
NN Detector 32
NN Detector 33
20
NN Detector 34
Slide 21
Модульная структура системы обнаружения вирусов
Модуль генерации
детекторов
Детекторы
Модуль обучения
детекторов
Обученные
детекторы
Модуль отбора
детекторов
Тестовые данные
Модуль
классификации
вредоносных
программ
Вирус
Отобранные
детекторы
Модуль обнаружения
вредоносных программ
Предобработанные
данные
Модуль предобработки
данных из файла
Список файлов
Данные для обучения
Набор однотипных
детекторов
Детектор,
обнаруживший
вирус
Модуль клонирования и
мутации детекторов
Лучший детектор
Модуль формирования
детекторов иммунной
памяти
Проверяемый файл
21
Slide 22
Сравнительный анализ обнаружения
Вредоносная прогр.
Worm.Brontok.q
Worm.NetSky.q
Worm.Rays
Worm.Zafi.d
Worm.Zafi.f
Worm.Bozori.a
Worm.Bozori.k
Worm.Lovesan.a
Worm.Maslan.a
Worm.Mytob.a
Worm.Sasser.a
Trojan.Agent.y
Trojan.Dialer.eb
Trojan.Small.kj
Trojan.Psyme.y
Trojan.Adload.a
Trojan.Bagle.f
Trojan.INS.bl
Trojan.INS.gi
Trojan.Ladder.a
Trojan.Small.da
Trojan.Small.dde
Trojan.Small.dg
Kaspersky antivirus
Worm
Worm
Worm
Clear
Clear
Clear
Clear
Worm
Worm
Clear
Worm
Trojan
Trojan
Trojan
Clear
Trojan
Clear
Trojan
Trojan
Trojan
Trojan
Trojan
Trojan
ESET NOD32
Win32/Brontok
Win32/NetSky
Clear
NewHeur_PE
NewHeur_PE
Win32/Bozori
Win32/Bozori
Win32/Lovesan
Win32/Maslan
Win32/Mytob
Clear
Clear
Clear
Clear
Clear
Clear
Win32/Bagle
Win32/Trojan
Win32/Trojan
Win32/Trojan
Win32/Trojan
Win32/Trojan
Win32/Trojan
Dr.WEB
Worm
Worm
Clear
Clear
Clear
Clear
Clear
Worm
Worm
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Trojan
Trojan
Trojan
Trojan
Trojan
Trojan
ISS (10 детекторов)
Malware
Malware
Malware
Malware
Malware
Malware
Malware
Malware
Malware
Malware
Malware
Clear
Malware
Malware
Malware
Malware
Malware
Malware
Malware
Malware
Malware
Malware
22
Malware
Slide 23
Спасибо за внимание
23
Slide 2
Рынок антивирусной
индустрии
2
Slide 3
Исторические факты
Корпорация Symantec была основана в 1982 году Гари Хендриксом за счет
средств, выделенных по гранту Национального научного фонда США. Чистая
прибыль Компании по данным Bloomberg в апреле 2010 года достигла 714
миллионов долларов США.
Компания ESET — международный разработчик антивирусного программного
обеспечения и решений в области компьютерной безопасности для корпоративных
и домашних пользователей — была основана в 1992 году. Штаб-квартиры ESET
находятся в г. Братислава, Словакия и в г.Сан-Диего, США. Компания представлена
более чем в 180 странах мира. Доход компании в 2010 году составил 80
миллионов евро.
«Лаборатория Касперского» — международная группа компаний с
центральным офисом в Москве, специализирующаяся на разработке систем
защиты от компьютерных вирусов, спама и хакерских атак. Компания входит в
пятерку ведущих мировых разработчиков программного обеспечения для защиты
информации от интернет-угроз. Оборот компании в 2009 году 480 миллионов
долларов США.
3
Slide 4
Исторические факты
Trend Micro — американо-японская компания по разработке антивирусного
программного обеспечения. Имеет подразделения во многих странах мира. Штабквартира — в Токио. Оборот компании за 2007 год составил 810 миллионов
долларов США.
Panda Antivirus — антивирусное программное обеспечение, разрабатываемое
Panda Security. Предоставляет пользователю защиту от вирусов, троянских
программ, шпионских программ, червей, adware и дозвонщиков.
McAfee — компания-разработчик антивирусного программного обеспечения
со штаб-квартирой в Санта-Кларе, штат Калифорния, США. Она производит
вирусный сканер McAfee и сопутствующие продукты и услуги. 19 августа 2010 года
была приобретена компанией Intel за 7,68 млрд. долларов. Чистая прибыль
компании в 2008 году достигла 1,6 миллиарда долларов США.
4
Slide 5
Проблемы современной
антивирусной индустрии
5
Slide 6
Сигнатурный анализ
Антивирусная база
.
.
.
6
Slide 7
7
Slide 8
Процесс создания сигнатур
Шаг 1
Нахождение вируса
Шаг 2
Анализ вируса и
извлечение сигнатуры
Step 3
Тестирование сигнатуры
Step 4
Обновление базы
Прежде всего, эксперты должны
найти новый вирус. Существует
несколько путей: Интернет,
ловушки, пользователи…
1
Далее эксперты должны
проанализировать несколько
копий найденного вируса и
извлечь сигнатуру вируса, которая
должна быть уникальна.
2
После извлечения, новая
сигнатура должна быть
протестирована. Только после
этого она добавляется в
антивирусную базу.
3
Пользователи должны обновить
свои антивирусные базы, скачивая
их с сайта разработчика. И только
после этого , антивирус сможет
обнаруживать новый вирус.
4
8
Slide 9
9
Slide 10
Недостатки сигнатурного анализа
неспособность обнаружения новых ранее неизвестных вредоносных программ
и компьютерных вирусов;
трудоемкий процесс ручного анализа вредоносных программ и извлечения
сигнатуры, что приводит к значительным временным затратам выпуска обновлений
для новых угроз.
10
Slide 11
Эвристический анализ
Существует несколько алгоритмов эвристического анализа программ с целью
выявления их вредоносности:
поведенческий блокиратор. Анализирует поведение подозрительных
программ, и на основе списка запрещенных действий принимает решение о запрете
или разрешении выполнения анализируемой программы;
эвристический анализ кода. Анализирует код программы, и на основе списка
запрещенных инструкций принимает решение о запрете или разрешении
выполнения анализируемой программы;
другие алгоритмы.
11
Slide 12
12
Slide 13
Proactive detection. Test of antivirus software
13
Slide 14
Недостатки эвристического анализа
высокая степень возникновения ложных обнаружений;
недостаточный уровень предлагаемой защиты.
14
Slide 15
Методы искусственного
интеллекта
15
Slide 16
Искусственные нейронные сети
Искусственный нейрон – узел
искусственной нейронной сети,
являющийся
упрощенной
моделью
биологического
нейрона.
Искусственная нейронная сеть
Биологическая нейронная сеть
16
Slide 17
Искусственные иммунные системы
От биологического иммунитета к искусственному
Генерация
детекторов
1-3. Бактерия проникает в тело и обнаруживается
макрофагами.
4. Бактерия изучается макрофагами. Макрофаги
представляют антигены бактерии Т- и В-лимфоцитам.
5. Т-хелперы посылают сигнал на активацию другим
Т- и В-лимфоцитам.
6. Т-киллеры уничтожают зараженные вирусом
клетки. В-лимфоциты производят антитела.
7. Антитела связывают бактерии и продолжают
активировать иммунные клетки, в итоге полностью
уничтожая инфекцию.
Обучение и отбор
детекторов
Уничтожение плохих
детекторов
Сканирование
файлового
пространства
Уничтожение
детекторов по
истечению времени
Создание детекторов
иммунной памяти
Обнаружение
вредоносного кода
Клонирование и
17
мутация детекторов
Slide 18
Нейросетевой иммунный детектор
1
ωci
Yi
1
ωij
Ф
А
Й
Л
2
Yj
2
1
3
.
.
.
n
Легитимный
p
2
Вредоносный
m-1
m
Слой Кохонена
18
Slide 19
1
Алгоритм функционирования
ωci
Yi
1
ωij
2
2
3
p
Yj
1
X
Искусственная иммунная система
.
.
.
n
2
m-1
m
INN
Нейронная сеть
Эволюция иммунных нейросетевых детекторов
Сгенерированный
детектор
Обученный
детектор
Отобранный
детектор
Клонированный
детектор
Дететктор
иммунной памяти
C
G
L
S
Neural Network
Neural Network
Neural Network
Neural Network
C
Neural Network
IM
Neural Network
19
Slide 20
Алгоритм функционирования
1
ωci
Yi
1
ωij
Генерация
детекторов
NN Detector 1
NN Detector 2
NN Detector 3
2
2
3
p
1
X
.
.
.
n
Обучение и отбор
детекторов
Yj
2
m-1
m
NN Detector 1
NN Detector 2
NN Detector 3
NN Detector 1
Сканирование
файлового
пространства
Уничтожение плохих
детекторов
NN Detector 2
NN Detector 3
NN Detector 2
Уничтожение
детекторов по
истечению времени
Обнаружение
вредоносной
программы
NN Detector 3
NN Detector 32
Создание детекторов
иммунной памяти
Клонирование и
мутация детекторов
NN Detector 31
NN Detector 32
NN Detector 33
20
NN Detector 34
Slide 21
Модульная структура системы обнаружения вирусов
Модуль генерации
детекторов
Детекторы
Модуль обучения
детекторов
Обученные
детекторы
Модуль отбора
детекторов
Тестовые данные
Модуль
классификации
вредоносных
программ
Вирус
Отобранные
детекторы
Модуль обнаружения
вредоносных программ
Предобработанные
данные
Модуль предобработки
данных из файла
Список файлов
Данные для обучения
Набор однотипных
детекторов
Детектор,
обнаруживший
вирус
Модуль клонирования и
мутации детекторов
Лучший детектор
Модуль формирования
детекторов иммунной
памяти
Проверяемый файл
21
Slide 22
Сравнительный анализ обнаружения
Вредоносная прогр.
Worm.Brontok.q
Worm.NetSky.q
Worm.Rays
Worm.Zafi.d
Worm.Zafi.f
Worm.Bozori.a
Worm.Bozori.k
Worm.Lovesan.a
Worm.Maslan.a
Worm.Mytob.a
Worm.Sasser.a
Trojan.Agent.y
Trojan.Dialer.eb
Trojan.Small.kj
Trojan.Psyme.y
Trojan.Adload.a
Trojan.Bagle.f
Trojan.INS.bl
Trojan.INS.gi
Trojan.Ladder.a
Trojan.Small.da
Trojan.Small.dde
Trojan.Small.dg
Kaspersky antivirus
Worm
Worm
Worm
Clear
Clear
Clear
Clear
Worm
Worm
Clear
Worm
Trojan
Trojan
Trojan
Clear
Trojan
Clear
Trojan
Trojan
Trojan
Trojan
Trojan
Trojan
ESET NOD32
Win32/Brontok
Win32/NetSky
Clear
NewHeur_PE
NewHeur_PE
Win32/Bozori
Win32/Bozori
Win32/Lovesan
Win32/Maslan
Win32/Mytob
Clear
Clear
Clear
Clear
Clear
Clear
Win32/Bagle
Win32/Trojan
Win32/Trojan
Win32/Trojan
Win32/Trojan
Win32/Trojan
Win32/Trojan
Dr.WEB
Worm
Worm
Clear
Clear
Clear
Clear
Clear
Worm
Worm
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Trojan
Trojan
Trojan
Trojan
Trojan
Trojan
ISS (10 детекторов)
Malware
Malware
Malware
Malware
Malware
Malware
Malware
Malware
Malware
Malware
Malware
Clear
Malware
Malware
Malware
Malware
Malware
Malware
Malware
Malware
Malware
Malware
22
Malware
Slide 23
Спасибо за внимание
23