Большая энциклопедия нефти и газа. Защита, встроенная в BIOS компьютера. Можно ли предотвратить проникновение вирусов

Эвристические методы анализа

Для эвристических методов анализа характерны особые приемы сбора и обработки информации, опирающиеся на профессиональное суждение группы специалистов. Эвристические методы можно также назвать креативными, так как они основываются на творческом мышлении людей. Залогом надежности и обоснованности выводов анализа при эвристических методах исследования является правильный подбор экспертов. В зависимости от целей и направленности анализов группа экспертов может быть однородной или включать представителей разной профессии, а иногда и просто заинтересованных лиц. Например, при формировании группы экспертов для анализа технологических разработок в нее включаются технологи, которые профессионально могут оценить техническую новизну решения, экономисты, оценивающие его эффективность, механики, которые могут дать оценку возможности реализации новой технологии на имеющейся производственной базе, рабочие – исполнители новой технологии. При оценке качества продукции и спроса на нее в состав группы экспертов включаются не только товароведы, но и производители и потребители продукции. В то же время при разработке какого-то технического решения на первой стадии в состав группы экспертов включаются только специалисты соответствующего профиля.

На практике сложились достаточно сложные методы формирования группы экспертов:

· по формальным критериям, когда учитываются специальность, стаж работы, длительность пребывания в одном коллективе; сюда же относятся психологические оценки личности по данным социологической службы организации (если таковые имеются), например, способность к творческому мышлению, конструктивность мышления и т.п.;

· на основе самооценки личности, полученной при анкетировании; в этом случае сам будущий эксперт оценивает свои возможности, включая квалификацию, аналитичность и конструктивность решения, способность адаптироваться к определенным ситуациям и т.д.; такой отбор экспертов дополняется определением уровня самооценки будущего эксперта - заниженная, завышенная или адекватная, что проводится при специальном психологическом отборе экспертов;

· на основе оценки лиц, связанных с претендентом, когда его профессиональные и личностные качества оцениваются специалистами аналогичного профиля, потребителями услуг, работниками, реализующими решения эксперта;

· методом служебного отбора (выборки), если в качестве экспертов может выступать множество лиц (например потребителей продукции и услуг).

При анализе деятельности хозяйствующего субъекта в состав группы экспертов часто входят руководители разных уровней и работники. Например, так формируется группа экспертов при выборе стратегии развития производства, изменении системы стимулирования, реформировании систем учета и отчетности, перестройке организационных структур. Достаточно часто в состав группы экспертов включают профессиональных консультантов, которые являются специалистами в анализируемой области.

Таким образом, при отборе экспертов широко используются как формальные, так и психологические методы отбора. В этой связи эвристические методы часто называются психологическими.

При проведении анкетирования или систематизации формальных данных об эксперте ответы или характеристики оцениваются специально разработанными весовыми коэффициентами компетенции (Кк), которые рассчитываются на основе максимальной самооценки или оценки экспертов.

Например:

где К i – балльная оценка или самооценка знаний; i – проблемы; n – число поставленных вопросов; К max – максимальная оценка компетенции по каждой проблеме.

Выводы анализа, полученные на основе эвристических методов, имеют логическое обоснование и могут иметь форму прямой оценки (полезно, вредно; приемлемо, неприемлемо); определения предположений, т.е. выбор первоочередных или наиболее удачных решений (это может быть определено через ранжирование предположений; их балльную оценку и т. д.); отбора конкретных мероприятий для конкурентной проработки.

Одним из решающих условий успешной работы группы экспертов является

правильная ее организация, что может быть обеспечено приглашением специалиста-консультанта по групповым методам работы. На нем, как правило, лежат следующие задачи:

· оценка полноты, качественного состава, психологической совместимости экспертов;

· распределение ролевых функций экспертов;

· организация совместной работы;

· систематизация материалов и формулировка выводов из проведенного анализа.

Одним из наиболее распространенных эвристических методов является метод аналогий, когда группа экспертов рассматривает возможный вариант разрешения проблемы или поиск причины сложившейся ситуации, опираясь на прошлый опыт своих или аналогичных субъектов хозяйствования. В этом случае эксперты практически продумывают свой опыт и те ситуации, с которыми им приходилось сталкиваться и, основываясь на них, предлагают способы решения поставленной задачи, выясняя причины сложившейся ситуации и пути их устранения. Естественно, что в этом случае большим подспорьем может быть использование материалов с описанием аналогичных ситуаций в разные периоды и на разные объектах. Эти материалы можно получить из периодических изданий, научной литературы, а также из протоколов собраний учредителей, совета директоров, заседаний отделов и специализированных групп, работающих на предприятии. Значительный интерес представляет знакомство с банком ситуаций, которые проанализированы и обобщены специализированными консультационными фирмами. Такие банки данных созданы во многих консультационных фирмах мира. Следует отметить, что первые шаги создания аналогичных материалов были сделаны в 80-е годы ХХ столетия на консультационных фирмах СССР. Эта работа продолжается и в настоящее время в Ассоциации научных консультантов России и консультационных фирмах.

Если эксперты получают такие материалы ситуаций, то в их задачу входит отбор тех, которые по принципиальным положениям сходны с решаемой ситуацией, т.е. оценивается сходство объекта, ситуации и целей, которые преследует анализ. После проведенного отбора определяется готовность объекта использовать опыт по разрешению проблемы: позволяет ли состояние производственно-технической базы, квалификация кадров, наличие финансовых ресурсов и возможность их привлечения, период разрешения задачи и т.п. перейти к реализации конкретных мер. Конечно, метод аналогий только определяет основные направления экономического анализа и на следующих этапах нуждается в более глубоком анализе, задействую количественные методы. Однако предварительное использование такого метода предупреждает неоправданно детальный анализ в направлении, не раскрывающем основные причины сложившейся ситуации. Поэтому, метод аналогий часто называют синектическим.



К эвристическим методам относятся методы опроса или контрольных вопросов. В этом случае заранее отобранной группе экспертов передается вопросник или анкета, которую эксперт заполняет, высказывая свое мнение или давая определенные оценки. Вопросник (анкета) может быть свободным или формализованным (тестовая форма). Свободный вопросник, предполагающий свободные ответы эксперта, может быть достаточно полезным, если речь идет о поиске причин негативных ситуаций или выявляется отношение коллектива к определенным ситуациям, предложениям руководства. Обработка материалов таких вопросников очень сложна, а выводы, полученные на их основе, могут носить субъективный характер. Формализованный опросник (тест) предполагает, что эксперт выбирает один из предложенных ответов на поставленный вопрос. Ответ может иметь форму «да/нет», выбор силы влияния (слабо/сильно; показатели коэффициента эластичности), периодичность использования (всегда, эпизодически; редко и т.д.). Составление такого вопросника весьма трудоемко и, как правило, требует предварительной проверки в малой группе экспертов. При обработке вопросников необходимо проводить оценку надежности и объективности ответов. Для этого в вопросник часто вводятся взаимозаменяемые и взаимоисключающие варианты вопросов, сопоставление ответов на которые позволяет оценить надежность и искренность ответов.

Наиболее известным методом этого класса является метод «Дельфи», предполагающий анонимный опрос специально отобранной группы экспертов с последующей аналитической обработкой материалов опроса. «Дельфи» -метод рассчитан на многошаговый опрос экспертов. По тем вопросам, которые получают однозначную оценку экспертов, ответ воспринимается сразу. Вопросы, ответы на которые противоречивы, подвергаются дополнительной обработке - детализируются, изменяются формулировки и т.п. и используются для повторного опроса. В итоге выделяется группа особо дискуссионных вопросов, которые разрешаются другими методами.

Большой эффект для анализа особо сложных ситуаций может дать метод «мозгового штурма». В этом случае экспертами, как привило, являются сотрудники организации, заинтересованные в решении конкретной проблемы и хорошо знающие сложившуюся ситуацию или условия решения поставленной задачи. «Мозговой штурм» - это свободное генерирование идей, высказываемых в группе заинтересованных экспертов. Как правило, по продолжительности эффективный «мозговой штурм» достаточно короток (не более часа). В нем могут участвовать не только высококвалифицированные специалисты, но и молодежь, способная внести неожиданные неординарные предложения. Однако, чтобы результаты «мозгового штурма» были реально использованы, важно участие лица, принимающего решение. В этом случае, систематизировав все предложения участников, можно часть из них сразу отбросить как нереальные, а остальные обсудить более подробно со специалистами соответствующего профиля. Особо следует отметить, что отбор идей проводится постепенно, на первом этапе ни одна из них не игнорируется и, как правило, вообще никакие оценки не высказываются, затем идеи оцениваются по уровню проработанности, срокам и стоимости реализации, эффективности и т.п. «Мозговой штурм» может являться составной частью аналитической работы, особенно при перспективном анализе.

Эвристические методы могут быть использованы как комплексные, т.е. в определенной взаимосвязи и последовательности, одновременно задействуя все эвристические приемы в форме организационно-деятельностной игры. В этом случае участие в игре принимают менеджеры организации. Объектом такой игры могут быть только серьезные изменения, намеченные в производстве, или сложная ситуация, которая является системным кризисом организации. Для проведения такой игры необходимо соблюдение ряда условий.

Несомненно, успех игры определяется степенью погружения участников в проблему. Как известно, на первых стадиях проведения игры высказываемые идеи не получают быстрого восприятия партнерами, основная часть участников ведет себя осторожно, опасаясь критики. Постепенно атмосфера становится более творческой и свободной. Для этого необходимо полное внимание (полное погружение) к обсуждаемой проблеме. Поэтому обычно такие игры проводят в течение нескольких дней и вне рабочего места, где участники не отвлекаются на текущие дела.

При проведении игры часто формируются команды, представляющие интересы различных групп – участников бизнеса (руководство субъекта хозяйствования, поставщики, потребители, организации, связанные с процессом кооперации), отдельных подразделений управления и производства, учредителей, управляющих и работников. При этом в состав экспертов, как правило, включаются реальные представители этих групп, в том числе высококвалифицированные ведущие специалисты и молодые начинающие работники. В состав экспертов можно также включить представителей других подразделений, консультантов.

Как уже было сказано, при проведении деловой игры используют сразу несколько методов: «мозговой штурм», аналогии, опрос, свободное обсуждение проблемы и т.п. Бесспорно, что такой комплексный метод подходит только для проработки серьезных долгосрочных проблем, т.е. в стратегическом анализе. Он может дать очень эффективные результаты, поскольку обеспечивает комплексность, системность анализа, его демократичность и конкретность. При этом каждый участник игры должен понять свои задачи, обязательства и свои права и возможности. Кроме того, такой подход к анализу обеспечивает общее понимание задач и путей их решения, психологическое единство коллектива, занятого общим делом.

В России в годы экономических реформ консультативные организации разработали ряд организационно-деятельностных игр, позволяющих провести прогнозный анализ при выборе сферы приложения капитала (направления бизнеса), стратегии развития организации (направление реструктуризации производства), установления хозяйственных связей (поиск партнеров по бизнесу) и ряд других. Такие игры успешно проводились на крупных предприятиях и в финансово-кредитных учреждениях. Несмотря на сложность их организации и значительные затраты на проведение, они оправдывают себя эффективностью, которую могут обеспечить принимаемые на их основе решения.

Вопросы для самопроверки

  1. Что является предметом изучения в экономическом анализе?
  2. Какова общая цель экономического анализа?
  3. Назовите частные задачи экономического анализа?
  4. Перечислите основные этапы экономического анализа.
  5. Охарактеризуйте основные принципы экономического анализа.
  6. Дайте общую характеристику метода экономического анализа.
  7. Как применяются индукция и дедукция в экономическом анализе?
  8. Определите роль абстракции в экономическом анализе.
  9. Охарактеризуйте основные стадии экономического анализа.
  10. Назовите качественные и количественные методы экономического анализа.
  11. В каких случаях в экономическом анализе применяется метод сравнений?
  12. Когда в экономическом анализе применяется метод детализации?
  13. В чем суть метода группировки и как он используется в экономическом анализе?
  14. В чем смысл метода цепных подстановок и как он используется в экономическом анализе?
  15. В каких случаях в экономическом анализе используется балансовый метод?
  16. Что представляют собой экономико-математические модели и как они используются в экономическом анализе?
  17. Какие существуют разновидности экономико-математических моделей, применяемых в экономическом анализе?
  18. Назовите этапы экономико-математического моделирования.
  19. Какова сущность эвристических методов экономического анализа?
  20. Перечислите методы экспертных оценок и их разновидности?
  21. Какие организационно-деятельностные методы экономического анализа вам известны?

Тестовое задание

1. Назовите этапы аналитического исследования:

а) изучение деятельности предприятия, измерение влияния факторов на результативные показатели;

б) сбор аналитической информации, расчет экономических показателей, изучение взаимосвязи факторных и результативных показателей;

в) подготовка программы исследования, сбор аналитической информации, обобщение влияния факторов;

г) изучение деятельности предприятия, измерение влияния факторов на результат, обобщение влияния факторов.

2. Установите правильную последовательность этапов аналитического

исследования: 1 – измерение, 2 – обобщение, 3 – изучение:

3. Способ познания предметов и явлений, основанный на разложении целого на составные части и изучение их во взаимосвязи, взаимозависимости и взаимообусловленности, называется:

а) синтез;

б) дедукция;

в) логика;

г) анализ.

4. Способ исследования причинно-следственных связей, заключающийся в изучении явлений от частного к общему, называется:

а) логической индукцией;

б) логической дедукцией;

в) систематизацией.

5. Завершающей стадией изучения хозяйственной деятельности является:

а) обобщение результатов анализа;

б) разработка организационно-технических рекомендаций;

в) составление отчета;

г) информирование трудового коллектива о результатах анализа;

д) оценка финансового состояния предприятия.

6. Причинно-следственные связи экономических явлений и процессов являются:

б) объектом экономического анализа;

в) субъектом экономического анализа.

7. Результаты хозяйственной деятельности предприятия: производство и реализация продукции, ее себестоимость, использование производственных и финансовых ресурсов, финансовые результаты производства - являются:

а) предметом экономического анализа;

б) объектами экономического анализа;

в) субъектами экономического анализа.

8. Под предметом экономического анализа понимается:

а) хозяйственная деятельность предприятия в целом;

б) система экономических показателей деятельности предприятия;

в) хозяйственные процессы предприятий и конечные производственно-финансовые результаты их деятельности;

г) производственные отношения.

9. В случае внедрения новой технологической линии для модификации изделия предприятие осуществляет:

а) корреляционно-регрессионный анализ;

б) факторный анализ;

в) инновационный анализ;

г) инвестиционный анализ.

10. Какие из перечисленных ниже факторов, влияющих на результаты деятельности предприятия, являются внутренними?

а) цены, уровень дохода населения;

б) спрос на продукцию;

в) сырье и материалы, технология производства;

г) управление предприятием, технология производства.

11. На какие группы делятся показатели по признаку причинно-следственной связи?

а) количественные, структурные и качественные;

б) результативные и факторные;

в) частные и общие;

г) интенсивные и экстенсивные.

12. Какие показатели используются для общей характеристики выпускаемой и реализуемой продукции?

а) стоимостные;

б) натуральные;

в) условно-натуральные;

г) относительные.

13. Относительные показатели отражают:

а) структуру явления;

б) динамику явления;

в) интенсивность явления.

14. По способу формирования показатели экономического анализа могут быть классифицированы на:

а) факторные и результативные;

б) абсолютные и относительные;

в) нормативные, плановые, учетные, отчетные и аналитические.

15. Кратная форма связи между результативным и факторным показателем относится к:

а) аддитивной;

б) смешанной (комбинированной);

в) мультипликативной.

16. Зависимость, выраженная формулой f(x) = сумма xi – это:

а) мультипликативная зависимость;

б) комбинированная зависимость;

в) аддитивная зависимость;

г) стохастическая зависимость.

17. Элиминирование применяется при методическом приеме:

а) долевого участия

б) балансовом;

в) сравнения;

г) цепных подстановок.

18. Балансовый прием основан на форме зависимости:

а) мультипликативной;

б) аддитивной;

в) стохастической;

г) комбинированной.

19. Эвристические методы включают:

а) метод цепных подстановок и его разновидности;

б) балансовый метод и метод сравнения;

в) методы экспертных оценок и психологические методы;

г) интегральный прием и прием долевого участия.

20. Какой метод анализа используется для исчисления влияния отдельных факторов на совокупный показатель?

а) индексный;

б) функционально-стоимостной;

в) цепных подстановок;

г) комплексный;

д) балансовый.

21. Форма связи между факторными показателями в индексном методе:

а) аддитивная;

б) мультипликативная;

22. Форма связи между факторными показателями в интегральном методе:

а) аддитивная;

б) мультипликативная;

в) смешанная (комбинированная).

Антивирусные программы - это программы, основной задачей которых является защита именно от вирусов, или точнее, от вредоносных программ.

Методы и принципы защиты теоретически не имеют особого значения, главное чтобы они были направлены на борьбу с вредоносными программами. Но на практике дело обстоит несколько иначе: практически любая антивирусная программа объединяет в разных пропорциях все технологии и методы защиты от вирусов, созданные к сегодняшнему дню.

Из всех методов антивирусной защиты можно выделить две основные группы:

  • Сигнатурные методы - точные методы обнаружения вирусов, основанные на сравнении файла с известными образцами вирусов
  • Эвристические методы - приблизительные методы обнаружения, которые позволяют с определенной вероятностью предположить, что файл заражен

Сигнатурный анализ

Слово сигнатура в данном случае является калькой на английское signature , означающее "подпись" или же в переносном смысле "характерная черта, нечто идентифицирующее". Собственно, этим все сказано. Сигнатурный анализ заключается в выявлении характерных идентифицирующих черт каждого вируса и поиска вирусов путем сравнения файлов с выявленными чертами.

Сигнатурой вируса будет считаться совокупность черт, позволяющих однозначно идентифицировать наличие вируса в файле (включая случаи, когда файл целиком является вирусом). Все вместе сигнатуры известных вирусов составляют антивирусную базу.

Задачу выделения сигнатур, как правило, решают люди - эксперты в области компьютерной вирусологии, способные выделить код вируса из кода программы и сформулировать его характерные черты в форме, наиболее удобной для поиска. Как правило - потому что в наиболее простых случаях могут применяться специальные автоматизированные средства выделения сигнатур. Например, в случае несложных по структуре троянов или червей, которые не заражают другие программы, а целиком являются вредоносными программами.

Практически в каждой компании, выпускающей антивирусы, есть своя группа экспертов, выполняющая анализ новых вирусов и пополняющая антивирусную базу новыми сигнатурами. По этой причине антивирусные базы в разных антивирусах отличаются. Тем не менее, между антивирусными компаниями существует договоренность об обмене образцами вирусов, а значит рано или поздно сигнатура нового вируса попадает в антивирусные базы практически всех антивирусов. Лучшим же антивирусом будет тот, для которого сигнатура нового вируса была выпущена раньше всех.

Одно из распространенных заблуждений насчет сигнатур заключается в том, каждая сигнатура соответствует ровно одному вирусу или вредоносной программе. И как следствие, антивирусная база с большим количеством сигнатур позволяет обнаруживать больше вирусов. На самом деле это не так. Очень часто для обнаружения семейства похожих вирусов используется одна сигнатура , и поэтому считать, что количество сигнатур равно количеству обнаруживаемых вирусов, уже нельзя.

Соотношение количества сигнатур и количества известных вирусов для каждой антивирусной базы свое и вполне может оказаться, что база с меньшим количеством сигнатур в действительности содержит информацию о большем количестве вирусов. Если же вспомнить, что антивирусные компании обмениваются образцами вирусов, можно с высокой долей уверенности считать, что антивирусные базы наиболее известных антивирусов эквивалентны.

Важное дополнительное свойство сигнатур - точное и гарантированное определение типа вируса. Это свойство позволяет занести в базу не только сами сигнатуры, но и способы лечения вируса. Если бы сигнатурный анализ давал только ответ на вопрос, есть вирус или нет, но не давал ответа, что это за вирус , очевидно, лечение было бы не возможно - слишком большим был бы риск совершить не те действия и вместо лечения получить дополнительные потери информации.

Другое важное, но уже отрицательное свойство - для получения сигнатуры необходимо иметь образец вируса. Следовательно, сигнатурный метод непригоден для защиты от новых вирусов, т. к. до тех пор, пока вирус не попал на анализ к экспертам, создать его сигнатуру невозможно. Именно поэтому все наиболее крупные эпидемии вызываются новыми вирусами. С момента появления вируса в сети Интернет до выпуска первых сигнатур обычно проходит несколько часов, и все это время вирус способен заражать компьютеры почти беспрепятственно. Почти - потому что в защите от новых вирусов помогают дополнительные средства защиты, рассмотренные ранее, а также эвристические методы, используемые в антивирусных программах.

Эвристический анализ

Слово " эвристика " происходит от греческого глагола "находить". Суть эвристических методов состоит в том, что решение проблемы основывается на некоторых правдоподобных предположениях, а не на строгих выводах из имеющихся фактов и предпосылок. Поскольку такое определение звучит достаточно сложно и непонятно, проще объяснить на примерах различных эвристических методов

Если сигнатурный метод основан на выделении характерных признаков вируса и поиске этих признаков в проверяемых файлах, то эвристический анализ основывается на (весьма правдоподобном) предположении, что новые вирусы часто оказываются похожи на какие-либо из уже известных. Постфактум такое предположение оправдывается наличием в антивирусных базах сигнатур для определения не одного, а сразу нескольких вирусов. Основанный на таком предположении эвристический метод заключается в поиске файлов, которые не полностью, но очень близко соответствуют сигнатурам известных вирусов.

Положительным эффектом от использования этого метода является возможность обнаружить новые вирусы еще до того, как для них будут выделены сигнатуры. Отрицательные стороны:

  • Вероятность ошибочно определить наличие в файле вируса, когда на самом деле файл чист - такие события называются ложными срабатываниями
  • Невозможность лечения - и в силу возможных ложных срабатываний, и в силу возможного неточного определения типа вируса, попытка лечения может привести к большим потерям информации, чем сам вирус, а это недопустимо
  • Низкая эффективность - против действительно новаторских вирусов, вызывающих наиболее масштабные эпидемии, этот вид эвристического анализа малопригоден

Поиск вирусов, выполняющих подозрительные действия

Другой метод, основанный на эвристике, исходит из предположения, что вредоносные программы так или иначе стремятся нанести вред компьютеру. Метод основан на выделении основных вредоносных действий, таких как, например:

  • Удаление файла
  • Запись в файл
  • Запись в определенные области системного реестра
  • Открытие порта на прослушивание
  • Перехват данных вводимых с клавиатуры
  • Рассылка писем
  • И др.

Понятно, что выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Но если программа последовательно выполняет несколько таких действий, например, записывает запуск себя же в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа по меньшей мере подозрительна. Основанный на этом принципе эвристический анализатор должен постоянно следить за действиями, которые выполняют программы.

Преимуществом описанного метода является возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные. Например, новая вредоносная программа может использовать для проникновения на компьютер новую уязвимость, но после этого начинает выполнять уже привычные вредоносные действия. Такую программу может пропустить эвристический анализатор первого типа, но вполне может обнаружить анализатор второго типа.

Отрицательные черты те же, что и раньше:

  • Ложные срабатывания
  • Невозможность лечения
  • Невысокая эффективность

Что такое эвристический анализатор?

  1. Эвристический метод, в отличие от сигнатурного метода, нацелен на обнаружение не сигнатур вредоносного кода, а типичных последовательностей операций, позволяющих сделать вывод о природе файла с достаточной долей вероятности. Преимуществом эвристического анализа является то, что для его работы не требуется наличие предварительно составленных баз. За счет этого новые угрозы распознаются до того, как их активность становится известна вирусным аналитикам.
  2. просьба если узнаешь напиши мне
  3. Эвристическое сканирование метод работы антивирусной программы, основанный на сигнатурах и эвристике, призван улучшить способность сканеров применять сигнатуры и распознавать модифицированные версии вирусов в тех случаях, когда сигнатура совпадает с телом неизвестной программы не на 100 %, но в подозрительной программе налицо более общие признаки вируса. Данная технология, однако, применяется в современных программах очень осторожно, так как может повысить количество ложных срабатываний.
  4. Эвристический анализатор (эвристик) это антивирусный модуль, который анализирует код исполняемого файла и определяет, инфицирован ли проверяемый объект.
    Во время эвристического анализа не используются стандартные сигнатуры. Напротив, эвристик принимает решение на основе заранее в него заложенных, иногда не совсем четких правил.

    Для большей наглядности такой подход можно сравнить с искусственным интеллектом, самостоятельно проводящим анализ и принимающим решения. Тем не менее такая аналогия отражает суть лишь отчасти, поскольку эвристик не умеет учиться и, к сожалению, обладает низкой эффективностью. По оценкам антивирусных экспертов, даже самые современные анализаторы не способны остановить более 30% вредоносных кодов. Еще одна проблема ложные срабатывания, когда легитимная программа определяется как инфицированная.

    Однако, несмотря на все недостатки, эвристические методы по-прежнему используются в антивирусных продуктах. Дело в том, что комбинация различных подходов позволяет повысить итоговую эффективность сканера. Сегодня эвристиками снабжены продукты всех основных игроков на рынке: Symantec, Лаборатории Касперского, Panda, Trend Micro и McAfee.
    В процессе эвристического анализа проверяется структура файла, его соответствие вирусным шаблонам. Наиболее популярной эвристической технологией является проверка содержимого файла на предмет наличия модификаций уже известных сигнатур вирусов и их комбинаций. Это помогает определять гибриды и новые версии ранее известных вирусов без дополнительного обновления антивирусной базы.
    Эвристический анализ применяется для обнаружения неизвестных вирусов, и, как следствие, не предполагает лечения.
    Данная технология не способна на 100% определить вирус перед ней или нет, и как любой вероятностный алгоритм грешит ложными срабатываниями.

    Любые вопросы - будут решены мной, обращайтесь, поможем, чем сможем

  5. Эвристический анализатор суммитует тенденции программного кода по обращениям к системным прерываниям, экстраполируя уровень возможной вредоносности. Тем самым осуществляется сбалансированная защита операционной системы.
    Ну все вроде объяснил, понятно?;))
  6. это типа искусственного интелекта. в реале эта технология недоступна, какие-то приблежения к ней имеются, как будто антивирус сам анализирует прогу и решает вирус она или нет
Главная > Решение

Эвристический анализ

Слово "эвристика" происходит от греческого глагола "находить". Суть эвристических методов состоит в том, что решение проблемы основывается на некоторых правдоподобных предположениях, а не на строгих выводах из имеющихся фактов и предпосылок. Поскольку такое определение звучит достаточно сложно и непонятно, проще объяснить на примерах различных эвристических методов

Поиск вирусов, похожих на известные

Если сигнатурный метод основан на выделении характерных признаков вируса и поиске этих признаков в проверяемых файлах, то эвристический анализ основывается на (весьма правдоподобном) предположении, что новые вирусы часто оказываются похожи на какие-либо из уже известных. Постфактум такое предположение оправдывается наличием в антивирусных базах сигнатур для определения не одного, а сразу нескольких вирусов. Основанный на таком предположении эвристический метод заключается в поиске файлов, которые не полностью, но очень близко соответствуют сигнатурам известных вирусов.

Положительным эффектом от использования этого метода является возможность обнаружить новые вирусы еще до того, как для них будут выделены сигнатуры. Отрицательные стороны:

Вероятность ошибочно определить наличие в файле вируса, когда на самом деле файл чист - такие события называются ложными срабатываниями

Невозможность лечения - и в силу возможных ложных срабатываний, и в силу возможного неточного определения типа вируса, попытка лечения может привести к большим потерям информации, чем сам вирус, а это недопустимо

Низкая эффективность - против действительно новаторских вирусов, вызывающих наиболее масштабные эпидемии, этот вид эвристического анализа малопригоден

Поиск вирусов, выполняющих подозрительные действия

Другой метод, основанный на эвристике, исходит из предположения, что вредоносные программы так или иначе стремятся нанести вред компьютеру. Метод основан на выделении основных вредоносных действий, таких как, например:

    Удаление файла

    Запись в файл

    Запись в определенные области системного реестра

    Открытие порта на прослушивание

    Перехват данных вводимых с клавиатуры

Понятно, что выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Но если программа последовательно выполняет несколько таких действий, например, записывает запуск себя же в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа по меньшей мере подозрительна. Основанный на этом принципе эвристический анализатор должен постоянно следить за действиями, которые выполняют программы.

Преимуществом описанного метода является возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные. Например, новая вредоносная программа может использовать для проникновения на компьютер новую уязвимость, но после этого начинает выполнять уже привычные вредоносные действия. Такую программу может пропустить эвристический анализатор первого типа, но вполне может обнаружить анализатор второго типа.

Отрицательные черты те же, что и раньше:

    Ложные срабатывания

    Невозможность лечения

    Невысокая эффективность

Дополнительные средства

Практически любой антивирус сегодня использует все известные методы обнаружения вирусов. Но одних средств обнаружения мало для успешной работы антивируса, для того, чтобы чисто антивирусные средства были эффективными, нужны дополнительные модули, выполняющие вспомогательные функции.

Модуль обновления

В первую очередь, каждый антивирус должен содержать модуль обновления. Это связано с тем, что основным методом обнаружения вирусов сегодня является сигнатурный анализ, который полагается на использование антивирусной базы. Для того чтобы сигнатурный анализ эффективно справлялся с самыми последними вирусами, антивирусные эксперты постоянно анализируют образцы новых вирусов и выпускают для них сигнатуры. После этого главной проблемой становится доставка сигнатур на компьютеры всех пользователей, использующих соответствующую антивирусную программу.

Именно эту задачу и решает модуль обновления. После того, как эксперты создают новые сигнатуры, файлы с сигнатурами размещаются на серверах компании - производителя антивируса и становятся доступными для загрузки. Модуль обновления обращается к этим серверам, определяет наличие новых файлов, загружает их на компьютер пользователя и дает команду антивирусным модулям использовать новые файлы сигнатур.

Модули обновления разных антивирусов весьма похожи друг на друга и отличаются типами серверов, с которых они могут загружать файлы обновлений, а точнее, типами протоколов, которые они могут использовать при загрузке - HTTP, FTP, протоколы локальных Windows-сетей. Некоторые антивирусные компании создают специальные протоколы для загрузки своих обновлений антивирусной базы. В таком случае модуль обновления может использовать и этот специальный протокол.

Второе, в чем могут отличаться модули обновления - это настройка действий, на случай, если источник обновлений недоступен. Например, в некоторых модулях обновления можно указать не один адрес сервера с обновлениями, а адреса нескольких серверов, и модуль обновления будет обращаться к ним по очереди, пока не обнаружит работающий сервер. Или же в модуле обновления может быть настройка - повторять попытки обновления с заданным интервалом определенное количество раз или же до тех пор, пока сервер не станет доступным. Эти две настройки могут присутствовать и одновременно.

Модуль планирования

Второй важный вспомогательный модуль - это модуль планирования. Существует ряд действий, которые антивирус должен выполнять регулярно: в частности, проверять весь компьютер на наличие вирусов и обновлять антивирусную базу. Модуль обновления как раз и позволяет настроить периодичность выполнения этих действий.

Для обновления антивирусной базы рекомендуется использовать небольшой интервал - один час или три часа, в зависимости от возможностей канала доступа в Интернет. В настоящее время новые модификации вредоносных программ обнаруживаются постоянно, что вынуждает антивирусные компании выпускать новые файлы сигнатур буквально каждый час. Если пользователь компьютера много времени проводит в Интернете, он подвергает свой компьютер большому риску и поэтому должен обновлять антивирусную базу как можно чаще.

Полную проверку компьютера нужно проводить хотя бы потому, что сначала появляются новые вредоносные программы, а только потом сигнатуры к ним, а значит всегда есть возможность загрузить на компьютер вредоносную программу раньше, чем обновление антивирусных баз. Чтобы обнаружить эти вредоносные программы, компьютер нужно периодически перепроверять. Разумным расписанием для проверки компьютера можно считать раз в неделю.

Исходя из сказанного, основная задача модуля планирования - давать возможность выбрать для каждого действия расписание, которое больше всего подходит именно для этого типа действия. Следовательно модуль обновления должен поддерживать много различных вариантов расписания из которых можно было бы выбирать.

Модуль управления

По мере увеличения количества модулей в антивирусе возникает необходимость в дополнительном модуле для управления и настройки. В простейшем случае - это общий интерфейсный модуль, при помощи которого можно в удобной форме получить доступ к наиболее важным функциям:

    Настройке параметров антивирусных модулей

    Настройке обновлений

    Настройке периодического запуска обновления и проверки

    Запуску модулей вручную, по требованию пользователя

    Отчетам о проверке

    Другим функциям, в зависимости от конкретного антивируса

Основные требования к такому модулю - удобный доступ к настройкам, интуитивная понятность, подробная справочная система, описывающая каждую настройку, возможность защитить настройки от изменений, если за компьютером работает несколько человек. Подобным модулем управления обладают все антивирусы для домашнего использования. Антивирусы для защиты компьютеров в крупных сетях должны обладать несколько иными свойствами.

Уже не раз говорилось, что в большой организации за настройку и правильное функционирование антивирусов отвечают не пользователи компьютеров, а специальные сотрудники. Если компьютеров в организации много, то каждому ответственному за безопасность сотруднику придется постоянно бегать от одного компьютера к другому, проверяя правильность настройки и просматривая историю обнаруженных заражений. Это очень неэффективный подход к обслуживанию системы безопасности.

Поэтому, чтобы упростить работу администраторов антивирусной безопасности, антивирусы, которые используются для защиты больших сетей, оборудованы специальным модулем управления. Основные свойства этого модуля управления:

Поддержка удаленного управления и настройки - администратор безопасности может запускать и останавливать антивирусные модули, а также менять их настройки по сети, не вставая со своего места

Защита настроек от изменений - модуль управления не позволяет локальному пользователю изменять настройки или останавливать антивирус, чтобы пользователь не мог ослабить антивирусную защиту организации

Это далеко не все требования к управлению антивирусной защитой в крупной организации, а только основные принципы. Подробнее об особенностях антивирусной защиты сетей и требованиях к модулям управления будет рассказано позже в соответствующем разделе.

Карантин

Среди прочих вспомогательных средств во многих антивирусах есть специальные технологии, которые защищают от возможной потери данных в результате действий антивируса.

Например, легко представить ситуацию, при которой файл детектируется как возможно зараженный эвристическим анализатором и удаляется согласно настройкам антивируса. Однако эвристический анализатор никогда не дает стопроцентной гарантии того, что файл действительно заражен, а значит с определенной вероятностью антивирус мог удалить незараженный файл.

Или же антивирус обнаруживает важный документ зараженный вирусом и пытается согласно настройкам выполнить лечение, но по каким-то причинам происходит сбой и вместе с вылеченным вирусом теряется важная информация.

Разумеется, от таких случаев желательно застраховаться. Проще всего это сделать, если перед лечением или удалением файлов сохранить их резервные копии, тогда если окажется, что файл был удален ошибочно или была потеряна важная информация, всегда можно будет выполнить восстановление из резервной копии.

  • Анализ работы школы за 2009/10 учебный год

    Анализ

    Качество образования в современной школе во многом определяется умелой организацией образовательного процесса в ней. Обществу предъявляется гуманистическая модель образования, реализация которой способна создать подобающие условия

  • Анализ итогов деятельности мбоу лит за 2010-2011 учебный год

    Анализ

    В 2010 – 2011 учебном году в педагогическом коллективе «Лицея Информационных Технологий» работали 64 человека, входящих в состав следующих предметных кафедр и методических объединений.

    • Название этой группы методов происходит от приписываемого Архимеду знаменитого греческого слова «эврика!» - «нашел!», выражающего радость по поводу сделанного им открытия. Эвристические методы основываются на творческом мышлении и знаниях специалистов - экспертов, практическом опыте хозяйственных руководителей, их интуиции, на индивидуальных и коллективных суждениях. Такие методы считаются качественно-логическими, дополняющими формализованные количественные методы анализа. Необходимость их применения обусловлена сложностью и невозможностью четкого математического моделирования многих социально-экономических процессов (хотя многие из таких методов и предусматривают использование математических процедур для обработки исходной информации и результатов логического экспертного анализа).

    Все эвристические методы условно можно разделить на экспертные методы и методы активизации творческого мышления (иногда их называют психологическими).

    Экспертные методы, опираясь на знания, суждения и опыт специалистов, позволяют решать две группы аналитических задач:

    • 1) получение информации о конкретных экономических явлениях и их причинах, о требованиях ключевых заинтересованных сторон бизнеса;
    • 2) оценки характерных проявлений устойчивых причинно-следственных связей, прогнозирование возможного развития социально- экономических процессов и обоснование наиболее рациональных для данной ситуации управленческих решений.

    Первая группа задач решается при помощи анкетирования, опросов и интервью работников предприятий и представителей других групп стейкхолдеров этих предприятий. Для решения второй группы задач привлекаются высококвалифицированные эксперты-профессионалы. При этом могут использоваться как индивидуальные, так и коллективные методы экспертных оценок.

    Индивидуальные методы предполагают использование мнений отобранных специалистов-экспертов, сформулированных каждым из них независимо друг от друга и собранных посредством интервью или анкетирования. Недостаток такого подхода состоит в известной ограниченности знаний отдельных специалистов обо всех аспектах исследуемой проблемы, в приверженности каждого из них какой-то конкретной позиции или научной школе.

    Более эффективно применение коллективных методов, основанных на привлечении групп различных экспертов - теоретиков и практиков, хорошо осведомленных о сути проблемы, о специфике смежных отраслей знаний и видов деятельности, имеющих различные точки зрения. Взаимодействие привлекаемых специалистов дает возможность исследовать поставленную проблему с различных сторон. Среди подобных методов наиболее популярен метод комиссий (производственных совещаний, конференций, семинаров и «круглых столов»), позволяющий выработать общую позицию участников с учетом всех обсуждаемых обстоятельств. Недостатком такого метода является то, что принимаемые решения, в силу стремления к компромиссам и психологического давления наиболее авторитетных экспертов, не обязательно отражают их лучшие варианты, предлагаемые отдельными участниками комиссий. Отчасти преодолевается этот недостаток при помощи разделения работы комиссии на два этапа:

    • ? общее обсуждение проблемы и свободное высказывание мнений участников;
    • ? критический анализ всех высказанных предложений и выработка решений.

    В еще большей степени позволяет избегать конформизма экспертов метод Дэлъфи, основанный на проводимом в несколько туров заочном анонимном опросе независимых экспертов (часто даже не знающих о существовании друг друга) с последующей статистической обработкой результатов и выработкой окончательного решения группой аналитиков - организаторов опроса.

    Широко известны методы коллективного блокнота и банка идей, позволяющие постепенно накапливать выдвигаемые независимыми экспертами идеи и предложения, удачные типовые решения, практические примеры с возможностью их систематизации и оценки.

    Методы активизации творческого мышления направлены на создание психологических условий, позволяющих человеку генерировать новые идеи и искать пути решения различных проблем. Среди подобных способов организации творческого процесса при решении задач экономического анализа наибольшее распространение получил метод «мозгового штурма».

    «Мозговой штурм» представляет собой эффективный метод групповой организации аналитической деятельности по решению каких- либо проблем, основанный на раскрепощении творческой активности его участников. Обычно он предусматривает три этапа. Первый этап - четкая формулировка проблемы, требующей решения, и отбор участников творческой группы. Состав участников не должен быть большим, но он должен включать не только специалистов по данному вопросу, но и других заинтересованных лиц, не связанных отношениями подчиненности. Второй этап - генерация идей для решения поставленной проблемы. Особенностью этого этапа является создание условий для максимально свободного творчества при полном отсутствии оценок и какой-либо критики высказываемых предложений. При этом не задаются даже направления поиска идей и критерии их оценки. Главная цель - это максимальное количество выдвигаемых предложений и их возможных сочетаний, все они должны быть зафиксированы. Приветствуются даже фантастические и кажущиеся абсурдными идеи. Продолжительность этого этапа не должна превышать полутора часов, так как после этого творческая активность, как правило, начинает затихать. Третий этап - это выполняемые аналитиками - организаторами «штурма» классификация высказанных предложений, отбор, оценка и разработка различных комбинаций наиболее перспективных идей.

    Модификацией метода «мозгового штурма» является метод си- нектики. Сам термин «синектика» означает использование для решения творческих задач соединения в единое целое различных, зачастую разнородных элементов, кажущихся несовместимыми. От классического «мозгового штурма» синектика отличается организацией влияния группы на творческую активность ее членов, определением конкретных приемов выработки идей, допущением критического обсуждения и отсеивания выдвигаемых идей непосредственно на стадии их генерирования. При этом в состав группы должны входить не просто профессионалы, а творческие личности, стремящиеся к соревнованию и готовые отстаивать свои позиции, обладающие различными психоэмоциональными характеристиками (энтузиасты, консерваторы, оптимисты, скептики и т.п.). Характерным для синектики является использование различных вербальных приемов активизации мышления: аналогий (нахождение решений на основе анализа уже решенных аналогичных проблем в других областях, поиск решений в фантастике, мифах, сказках), инверсии (поиск решений «от обратного»), эмпатии (отождествление себя с анализируемым объектом и понимание проблемы на основе собственных ощущений), идеализации (исследование с позиций получения идеального результата). Следует отметить, что для синектической группы экспертов очень важны предварительная подготовка, взаимопонимание и сплоченность, иначе нарастающая критичность обсуждений может просто заблокировать генерацию новых идей.

    Морфологический метод. Этот метод основывается на оценке внутренней структуры исследуемого объекта и соответствующей декомпозиции рассматриваемой проблемы на отдельные задачи, подборе возможных решений для каждой из этих задач, их систематизации и синтезировании общего решения проблемы путем комбинирования частных решений.

    Теория решения изобретательских задач (ТРИЗ). Изначально целью ТРИЗ было исследование принципов развития технических систем и создание практических методов решения изобретательских задач на основе выявления и устранения противоречий в таких системах для достижения идеального конечного результата. Ныне ТРИЗ превратилась в универсальную методологию анализа разнообразных проблем во многих областях, в том числе и в экономике. Активизация творческого мышления при этом достигается структурированием задач анализа и определенной последовательностью их решения:

    • 1) для чего предназначена система, из каких элементов она состоит, каковы их функции и как они взаимодействуют;
    • 2) какие связи элементов системы и их функции являются полезными, какие бесполезными, а какие вредными;
    • 3) какие элементы, функции и связи можно изменять, а какие изменять невозможно;
    • 4) какие возможны варианты изменений элементов системы, их функций и связей;
    • 5) какие изменения обеспечивают улучшение функционирования системы в целом, а какие вызывают противоречия в системе и ослабляют ее;
    • 6) как осуществить улучшающие изменения при одновременном устранении или минимизации возникающих противоречий.

    Для стимулирования творческой активности и организации систематической самостоятельной работы экспертов-аналитиков часто прибегают к выполнению своеобразных правил. Правило 24 предписывает, что все 24 часа в сутки аналитик должен думать об исследуемой проблеме. Правило 25 - для успешного решения поставленной задачи необходимо выдвинуть не менее 25 идей. Правило 26 - в английском алфавите 26 букв, и в качестве подсказки самому себе надо думать, на какую букву будет начинаться ключевое для решения проблемы слово.



    СХОЖИЕ СТАТЬИ