Поведенческий анализ (HIPS – англ. система предотвращения вторжения) – разновидность проактивной защиты от вирусов и вредоносных программ, который изучается поведение работающих служб для обнаружения вирусной активности.
Каждый день появляются новые компьютерные вирусы и их видоизмененные версии. Когда сигнатурный метод не может обеспечить безопасность на высоком уровне, применяются косвенные методы блокирования вредоносной деятельности. Главная задача поведенческого анализа — обнаружить новые, неизвестные вирусы, чтобы вовремя их блокировать.
Принцип работы HIPS
Классический поведенческий анализ антивирусов не останавливает вредоносные действия, а только сообщает пользователю для принятия решения об изолировании программы.
Технология HIPS предусматривает сложные методы перехвата системной активности и микрофильтров для обнаружения потенциально опасных действий. Внутренний набор правил определяет критерии, по которым деятельность квалифицируется как небезопасная. У пользователя должны быть знания для правильной оценки ситуации и грамотного управления защитой.
Современные антивирусы используют поведенческий блокиратор — модификацию HIPS, которая самостоятельно блокирует процессы по собственным алгоритмам анализа поведения. Несовершенство этой технологии вызывает ложные срабатывания на чистые приложения.
В свою очередь создатели вирусов тестируют свой код на популярных антивирусах, чтобы обмануть поведенческие фильтры.
Разработчики антивирусов встраивают проактивную защиту в свои программные продукты, в частности, поведенческий анализатор с песочницей. Безопасная среда песочницы изолирует опасные и подозрительные приложения, защищая файлы компьютера от их воздействия.
Антивирусный сканер HitmanPro обладает развитой системой поведенческого обнаружения вредоносного ПО, позволяющей блокировать угрозы до того, как они будут идентифицированы.
Основной недостаток поведенческого анализа – вероятность ложных срабатываний, когда действия характерные для вирусной активности, что выполняются обычными приложениями, воспринимаются как вредоносные.
В своей практике не встречал, чтобы поведенческий анализ обнаруживал вирусное заражение. Его эффективность преувеличена, но его наличие не помешает. Один раз в год и палка стреляет.