Menú
Es gratis
registro
casa  /  Internet/ Análisis heurístico. ¿Qué es un analizador heurístico? ¿Qué es el análisis heurístico?

Análisis heurístico. ¿Qué es un analizador heurístico? ¿Qué es el análisis heurístico?

Este artículo se refiere a Kaspersky Endpoint Security 10 para Windows:

  • Service Pack 2 Maintenance Release 4 (versión 10.3.3.304);
  • Service Pack 2 Maintenance Release 3 (versión 10.3.3.275);
  • Service Pack 2 Maintenance Release 2 (versión 10.3.0.6294);
  • Service Pack 2 Maintenance Release 1 (versión 10.3.0.6294);
  • Service Pack 2 (versión 10.3.0.6294).

¿Qué es el análisis heurístico?

El análisis heurístico es una tecnología para detectar amenazas que no se pueden detectar con la versión actual de las bases de datos de Kaspersky Lab. Le permite buscar archivos que pueden contener un virus desconocido o una nueva modificación de un virus conocido.

El analizador heurístico es un módulo que funciona sobre la base de la tecnología de análisis heurístico.

Análisis estático y dinámico

Análisis estático. El analizador heurístico escanea el código en busca de comandos sospechosos, como buscar y modificar archivos ejecutables. En presencia de comandos o fragmentos sospechosos, el analizador heurístico aumenta el "contador de sospechas" del programa. Si, después de escanear todo el código del programa, el valor del contador excede el valor de umbral especificado, entonces el objeto se considera sospechoso.

Análisis dinámico. El analizador heurístico emula el lanzamiento de un programa en un espacio de direcciones virtual. Si el analizador heurístico detecta acciones sospechosas durante la emulación, el objeto se reconoce como malicioso y se bloquea su ejecución en la computadora del usuario.

Kaspersky Endpoint Security 10 para Windows utiliza análisis estático en combinación con análisis dinámico.

Qué componentes de protección utilizan el analizador heurístico

  • Antivirus de archivos. Más detalles en la ayuda.
  • Antivirus del correo. Más detalles en la ayuda.
  • Antivirus Internet. Más detalles en la ayuda.
  • Control de actividad de aplicaciones. Más detalles en la ayuda.
  • Tareas de verificación. Más detalles en la ayuda.

Apoyo total

Lanzamiento de base
Apoyo
Liberación de parches

Ultima versión:

Fecha de lanzamiento comercial:

Lanzamiento de la última versión:

¿Qué significa estado?

  • Lanzamiento de base

    Publicación de las actualizaciones de la base de datos necesarias para garantizar la protección de su computadora / servidor / dispositivo móvil.

  • Apoyo

    Brindar soporte técnico telefónico y vía formulario web.

  • Liberación de parches

    Lanzamiento de service packs para el programa (para eliminar los errores detectados).

Kaspersky Endpoint Security 10 para Windows (para estaciones de trabajo y servidores de archivos)

  • Microsoft Windows Server 2012 R2 Foundation / Essentials / Standard / Datacenter х64.
  • Microsoft Windows Server 2012 Foundation / Essentials / Standard / Datacenter х64.
  • Microsoft Small Business Server 2011 Essentials / Standard х64.
  • Windows MultiPoint Server 2011 x64.
  • Microsoft Windows Server 2008 R2 Foundation / Standard / Enterprise / Datacenter х64 SP1.
  • Microsoft Windows Server 2008 Standard / Enterprise / Datacenter х64 SP2.
  • Microsoft Small Business Server 2008 Standard / Premium х64.

Para conocer el resto de las limitaciones de la compatibilidad con la plataforma del servidor, consulte el artículo.

  • VMWare ESXi 6.0.0 3620759.
  • Microsoft Hyper-V 3.0.
  • Citrix XenServer 7.0.
  • Citrix XenDesktop 7.13.

artículo.

  • Microsoft Windows Server 2008 R2 Standard / Enterprise х64 SP1.
  • Microsoft Windows Server 2008 Standard / Enterprise х64 SP2.

Limitaciones de la compatibilidad con la plataforma del servidor

  • El sistema de archivos ReFS es compatible con restricciones.
  • Las configuraciones de Server Core y Cluster Mode no son compatibles.
  • El cifrado de disco (Kaspersky FDE) y el cifrado de archivos no son compatibles con las plataformas de servidor.

Plataformas virtuales compatibles

  • VMWare ESXi 6.0.0 3620759.
  • Microsoft Hyper-V 3.0.
  • Citrix XenServer 7.0.
  • Citrix XenDesktop 7.13.
  • Servicios de aprovisionamiento Citrix 7.13.

Características y limitaciones del soporte de plataforma virtual

  • El cifrado de disco completo (FDE) no es compatible con las máquinas virtuales Hyper-V.
  • El cifrado de disco completo (FDE) y el cifrado de archivos y carpetas (FLE) no son compatibles con las plataformas virtuales Citrix.
  • Para mantener la compatibilidad de Kaspersky Endpoint Security para Windows con Citrix PVS, debe realizar la instalación con la opción habilitada Garantice la compatibilidad con Citrix PVS... Puede habilitar la opción en el asistente de instalación o mediante el parámetro de línea de comando / pCITRIXCOMPATIBILITY = 1. En caso de instalación remota, debe editar el archivo KUD agregando el parámetro / pCITRIXCOMPATIBILITY = 1.

Para conocer otras características de soporte para plataformas virtuales, consulte el artículo.

Versión 10.2.6.3733: Requisitos de hardware y software

Requerimientos generales

  • 1 GB de RAM.

SO

  • Microsoft Windows 10 Pro / Enterprise x86 / x64.
    Microsoft Windows 8.1 Pro / Enterprise x86 / x64.
  • Microsoft Windows 8 Pro / Enterprise x86 / x64.
  • Microsoft Windows 7 Professional / Enterprise / Ultimate x86 / x64 SP1 o superior.
  • Microsoft Windows 7 Professional / Enterprise / Ultimate x86 / x64.
  • Microsoft Windows Server 2016 Standard / Essentials x64.
  • Microsoft Small Business Server 2011 estándar x64.

Plataformas virtuales compatibles

  • VMWare ESXi 5.5.0 2718055 Actualización 2.
  • Citrix XenServer 6.5.
  • Citrix XenDesktop 7.8.

Limitaciones de la compatibilidad con la plataforma del servidor

  • El sistema de archivos ReFS es compatible con restricciones.
  • Las configuraciones de Server Core y Cluster Mode no son compatibles.
  • El cifrado de disco (Kaspersky FDE) y el cifrado de archivos no son compatibles con las plataformas de servidor.

Plataformas virtuales compatibles

  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.

Características y limitaciones del soporte de plataforma virtual

Versión 10.2.5.3201: Requisitos de hardware y software

Para el funcionamiento normal de Kaspersky Endpoint Security 10 para Windows, el equipo debe cumplir con los siguientes requisitos:

Requerimientos generales

  • Procesador Intel Pentium de 1 GHz o superior.
  • 1 GB de RAM.
  • 2 GB de espacio libre en el disco duro.

Requisitos de hardware y software para estaciones de trabajo

  • Microsoft Windows 10 Pro x86 / x64.
  • Microsoft Windows 10 Enterprise x86 / x64.
  • Microsoft Windows Vista x86 / x64 SP2 o superior.
  • Microsoft Windows XP Professional x86 SP3 o superior.
  • Microsoft Windows Server 2019 х64.
  • Microsoft Windows Server 2016 Standard / Essentials x64.
  • Microsoft Windows Server 2012 R2 Foundation / Standard / Essentials х64.
  • Microsoft Windows Server 2012 Foundation / Standard / Essentials х64.
  • Microsoft Small Business Server 2011 estándar x64.
  • Microsoft Windows MultiPoint Server 2011 х64.
  • Microsoft Small Business Server 2008 Standard / Premium x64.
  • Microsoft Windows Server 2008 R2 Foundation / Standard / Enterprise х64 SP1 y superior.
  • Microsoft Windows Server 2008 Foundation / Standard / Enterprise х86 / х64 SP2 y superior.
  • Microsoft Windows Server 2003 R2 Standard / Enterprise x86 / x64 SP2 o posterior.
  • Microsoft Windows Server 2003 Standard / Enterprise x86 / x64 SP2.
  • Microsoft
  • Microsoft
  • Microsoft Windows Embedded Standard 7 * x86 / x64 SP1.
  • Microsoft Windows Embedded POSReady 7 * x86 / x64.

Características y limitaciones de la compatibilidad con sistemas operativos integrados

  • Se recomienda el uso de sistemas operativos Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) o Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) en dispositivos con 2 GB o más de RAM.
  • El cifrado de archivos (FLE) y el cifrado de disco duro (FDE) no son compatibles con los sistemas operativos integrados.

Plataformas virtuales compatibles

  • VMWare ESXi 5.5.0 2718055 Actualización 2.
  • VMWare ESXi 5.5.0 3568722 Actualización 3b.
  • VMWare ESXi 5.5.0 2718055 Actualización 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012 R2)
  • Citrix XenServer 6.5.
  • Citrix XenDesktop 7.8.
  • Servidor de aprovisionamiento Citrix 7.8.

Limitaciones de la compatibilidad con la plataforma del servidor

  • El sistema de archivos ReFS es compatible con restricciones.
  • Las configuraciones de Server Core y Cluster Mode no son compatibles.
  • El cifrado de disco (Kaspersky FDE) y el cifrado de archivos no son compatibles con las plataformas de servidor.

Limitaciones de soporte de Microsoft Windows 8.1

  • No se admite la actualización de Windows 8 a 8.1.
  • Soporte limitado para el sistema de archivos ReFS para la tecnología iSwift / iChecker.
  • No se admite la función de ocultar Kaspersky Endpoint Security 10 en el menú de inicio.

Plataformas virtuales compatibles

  • VMWare ESXi 5.5.0 1623387 Actualización 1.
  • VMWare ESXi 5.5.0 2068190 Actualización 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012)
  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.
  • Servidor de aprovisionamiento Citrix 7.1.

Características y limitaciones del soporte de plataforma virtual

  • Para mantener la compatibilidad de Kaspersky Endpoint Security con Citrix PVS, debe realizar la instalación con la opción "Garantizar la compatibilidad con Citrix PVS" habilitada. La opción se puede habilitar en el asistente de instalación o mediante el parámetro de línea de comando / pCITRIXCOMPATIBILITY = 1. En caso de instalación remota, necesita editar el archivo kud agregando el parámetro / pCITRIXCOMPATIBILITY = 1.
  • No se admite la instalación en una computadora con Microsoft Windows XP que se ejecute en Citrix XenDesktop.
  • No se admite la creación de imágenes mediante el dispositivo de destino desde equipos que ejecutan Microsoft Windows XP y Microsoft Windows Vista con Kaspersky Endpoint Security 10 Service Pack 1 instalado.

Versión 10.2.4.674: Requisitos de hardware y software

Para el funcionamiento normal de Kaspersky Endpoint Security 10 para Windows, el equipo debe cumplir con los siguientes requisitos:

Requerimientos generales

  • Procesador Intel Pentium de 1 GHz o superior.
  • 2 GB de espacio libre en el disco duro.
  • Microsoft Internet Explorer 7.0 o posterior.
  • Microsoft Windows Installer 3.0 o posterior.
  • Conexión a Internet para activar la aplicación, actualizar bases de datos y módulos de software.

Requisitos de hardware y software

  • Microsoft Windows 10 TH2 Pro versión 1511 x86 / x64.
  • Microsoft Windows 10 TH2 Enterprise versión 1511 x86 / x64.
  • Microsoft Windows 8.1 Pro x86 / x64.
  • Microsoft Windows 8.1 Enterprise x86 / x64.
  • Microsoft Windows 8 Pro x86 / x64.
  • Microsoft Windows 8 Enterprise x86 / x64.
  • Microsoft Windows 7 Professional x86 / x64 SP1 o superior.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / x64 SP1 o superior.
  • Microsoft Windows 7 Professional x86 / x64.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / x64.
  • Microsoft Windows Vista x86 / x64 SP2 o superior.
  • Microsoft Windows XP Professional x86 SP3 o superior.
  • Microsoft Windows Server 2012 R2 Standard / Essentials / Enterprise х64.
  • Microsoft Windows Server 2012 Foundation / Standard / Essentials х64.
  • Microsoft Small Business Server 2011 Standard / Essentials x64.
  • Microsoft Windows MultiPoint Server 2011 х64.
  • Microsoft Windows Server 2008 R2 Standard / Enterprise / Foundation х64 SP1 o superior.
  • Microsoft Windows Server 2008 R2 Standard / Enterprise / Foundation х64.
  • Microsoft Windows Server 2008 Standard / Enterprise х86 / х64 SP2 y superior.
  • Microsoft Small Business Server 2008 Standard / Premium x64.
  • Microsoft Windows Server 2003 R2 Standard / Enterprise x86 / x64 SP2 o posterior.
  • Microsoft Windows Server 2003 Standard / Enterprise x86 / x64 SP2 o posterior.
  • Microsoft Windows Embedded 8.0 estándar x64.
  • Microsoft Windows Embedded 8.1 Industry Pro x64.
  • Microsoft Windows Embedded Standard 7 x86 / x64 SP1.
  • Microsoft Windows Embedded POSReady 7 x86 / x64.

Características y limitaciones de la compatibilidad con sistemas operativos integrados

  • Se recomienda el uso de sistemas operativos Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) o Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) en dispositivos con 2 GB o más de RAM.
  • El cifrado de archivos (FLE) y el cifrado de disco duro (FDE) no son compatibles con los sistemas operativos integrados.

Limitaciones de la compatibilidad con la plataforma del servidor

  • El sistema de archivos ReFS es compatible con restricciones.
  • Las configuraciones de Server Core y Cluster Mode no son compatibles.
  • El cifrado de disco (Kaspersky FDE) y el cifrado de archivos no son compatibles con las plataformas de servidor.

Limitaciones de soporte de Microsoft Windows 8.1

  • No se admite la actualización de Windows 8 a 8.1.
  • Soporte limitado para el sistema de archivos ReFS para la tecnología iSwift / iChecker.
  • No se admite la función de ocultar Kaspersky Endpoint Security 10 en el menú de inicio.

Plataformas virtuales compatibles

  • VMWare ESXi 5.5.0 1623387 Actualización 1.
  • VMWare ESXi 5.5.0 2068190 Actualización 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012)
  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.
  • Servidor de aprovisionamiento Citrix 7.1.

Características y limitaciones del soporte de plataforma virtual

  • Para mantener la compatibilidad de Kaspersky Endpoint Security con Citrix PVS, debe realizar la instalación con la opción "Garantizar la compatibilidad con Citrix PVS" habilitada. La opción se puede habilitar en el asistente de instalación o mediante el parámetro de línea de comando / pCITRIXCOMPATIBILITY = 1. En caso de instalación remota, necesita editar el archivo kud agregando el parámetro / pCITRIXCOMPATIBILITY = 1.
  • No se admite la instalación en una computadora con Microsoft Windows XP que se ejecute en Citrix XenDesktop.
  • No se admite la creación de imágenes mediante el dispositivo de destino desde equipos que ejecutan Microsoft Windows XP y Microsoft Windows Vista con Kaspersky Endpoint Security 10 Service Pack 1 instalado.

Versión 10.2.2.10535MR1: Requisitos de hardware y software

Para el funcionamiento normal de Kaspersky Endpoint Security 10 para Windows, el equipo debe cumplir con los siguientes requisitos:

Requerimientos generales

  • Procesador Intel Pentium de 1 GHz o superior.
  • 1 GB de RAM libre.
  • 2 GB de espacio libre en el disco duro.
  • Microsoft Internet Explorer 7.0 o posterior.
  • Microsoft Windows Installer 3.0 o posterior.
  • Conexión a Internet para activar la aplicación, actualizar bases de datos y módulos de software.

SO

  • Microsoft Windows 8.1 Pro x86 / x64.
  • Microsoft Windows 8.1 Enterprise x86 / x64.
  • Microsoft Windows 8 Pro x86 / x64.
  • Microsoft Windows 8 Enterprise x86 / x64.
  • Microsoft Windows 7 Professional x86 / x64 SP1 o superior.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / x64 SP1 o superior.
  • Microsoft Windows 7 Professional x86 / x64.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / x64.
  • Microsoft Windows Vista x86 / x64 SP2 o superior.
  • Microsoft Small Business Server 2011 estándar x64.
  • Microsoft Windows Server 2012 R2 estándar x64.
  • Microsoft Windows Server 2012 Foundation / Standard х64.
  • Windows Embedded 8.0 estándar x64.
  • Windows Embedded 8.1 Industry Pro x64.

Características y limitaciones de la compatibilidad con sistemas operativos integrados

  • Se recomienda el uso de sistemas operativos Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) o Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) en dispositivos con 2 GB o más de RAM.
  • El cifrado de archivos (FLE) y el cifrado de disco duro (FDE) no son compatibles con los sistemas operativos integrados.

Limitaciones de la compatibilidad con la plataforma del servidor

  • El sistema de archivos ReFS es compatible con restricciones.
  • Las configuraciones de Server Core y Cluster Mode no son compatibles.

Limitaciones de soporte de Microsoft Windows 8.1

  • No se admite la actualización de Windows 8 a 8.1.
  • Soporte limitado para el sistema de archivos ReFS para la tecnología iSwift / iChecker.
  • No se admite la función de ocultar Kaspersky Endpoint Security 10 en el menú de inicio.

Plataformas virtuales compatibles

  • VMWare ESXi 5.5.0 1623387 Actualización 1.
  • VMWare ESXi 5.5.0 2068190 Actualización 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012)
  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.
  • Servidor de aprovisionamiento Citrix 7.1.

Características y limitaciones del soporte de plataforma virtual

  • Para mantener la compatibilidad de Kaspersky Endpoint Security con Citrix PVS, debe realizar la instalación con la opción "Garantizar la compatibilidad con Citrix PVS" habilitada. La opción se puede habilitar en el asistente de instalación o mediante el parámetro de línea de comando / pCITRIXCOMPATIBILITY = 1. En caso de instalación remota, necesita editar el archivo kud agregando el parámetro / pCITRIXCOMPATIBILITY = 1.
  • No se admite la instalación en una computadora con Microsoft Windows XP que se ejecute en Citrix XenDesktop.
  • No se admite la creación de imágenes mediante el dispositivo de destino desde equipos que ejecutan Microsoft Windows XP y Microsoft Windows Vista con Kaspersky Endpoint Security 10 Service Pack 1 instalado.

Versión 10.2.2.10535: Requisitos de hardware y software

Para el funcionamiento normal de Kaspersky Endpoint Security 10 para Windows, el equipo debe cumplir con los siguientes requisitos:

Requerimientos generales

  • Procesador Intel Pentium de 1 GHz o superior.
  • 1 GB de RAM libre.
  • 2 GB de espacio libre en el disco duro.
  • Microsoft Internet Explorer 7.0 o posterior.
  • Microsoft Windows Installer 3.0 o posterior.
  • Conexión a Internet para activar la aplicación, actualizar bases de datos y módulos de software.

SO

  • Actualización de Microsoft Windows 8.1 Pro x86 / x64.
  • Actualización de Microsoft Windows 8.1 Enterprise x86 / x64.
  • Microsoft Windows 8.1 Pro x86 / x64.
  • Microsoft Windows 8.1 Enterprise x86 / x64.
  • Microsoft Windows 8 Pro x86 / x64.
  • Microsoft Windows 8 Enterprise x86 / x64.
  • Microsoft Windows 7 Professional x86 / x64 SP1 o superior.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / x64 SP1 o superior.
  • Microsoft Windows 7 Professional x86 / x64.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / x64.
  • Microsoft Windows Vista x86 / x64 SP2 o superior.
  • Microsoft Small Business Server 2011 Essentials x64.
  • Microsoft Small Business Server 2011 estándar x64.
  • Microsoft Small Business Server 2008 estándar x64.
  • Microsoft Small Business Server 2008 Premium x64.
  • Microsoft Windows Server 2012 R2 estándar x64.
  • Microsoft Windows Server 2012 Foundation / Standard х64.
  • Microsoft Windows MultiPoint Server 2011 x64.
  • Microsoft Windows Server 2008 R2 Standard х64 SP1 o superior.
  • Microsoft Windows Server 2008 R2 estándar x64.
  • Microsoft Windows Server 2008 R2 Enterprise х64 SP1 o superior.
  • Microsoft Windows Server 2008 R2 Enterprise х64.
  • Microsoft Windows Server 2008 R2 Foundation x64 SP1 o posterior.
  • Microsoft Windows Server 2008 R2 Foundation x64.
  • Microsoft Windows Server 2008 Standard x86 / x64 SP2 o superior.
  • Microsoft Windows Server 2008 Enterprise х86 / х64 SP2 y superior.
  • Microsoft Windows Server 2003 R2 Standard x86 / x64 SP2 o posterior.
  • Microsoft Windows Server 2003 R2 Enterprise x86 / x64 SP2 o posterior.
  • Microsoft Windows Server 2003 estándar x86 / x64 SP2.
  • Microsoft Windows Server 2003 Enterprise x86 / x64 SP2 o posterior.
  • Windows Embedded 8.0 estándar x64.
  • Windows Embedded 8.1 Industry Pro x64.
  • Windows Embedded Standard 7 con SP1 x86 / x64.
  • Windows Embedded POSReady 7 x86 / x64.

Características y limitaciones de la compatibilidad con sistemas operativos integrados

  • Se recomienda el uso de sistemas operativos Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) o Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) en dispositivos con 2 GB o más de RAM.
  • El cifrado de archivos (FLE) y el cifrado de disco duro (FDE) no son compatibles con los sistemas operativos integrados.

Limitaciones de la compatibilidad con la plataforma del servidor

  • El sistema de archivos ReFS es compatible con restricciones.
  • Las configuraciones de Server Core y Cluster Mode no son compatibles.

Limitaciones de soporte de Microsoft Windows 8.1

  • No se admite la actualización de Windows 8 a 8.1.
  • Soporte limitado para el sistema de archivos ReFS para la tecnología iSwift / iChecker.
  • No se admite la función de ocultar Kaspersky Endpoint Security 10 en el menú de inicio.

Plataformas virtuales compatibles

  • VMWare ESXi 5.5.0 1623387 Actualización 1.
  • VMWare ESXi 5.5.0 2068190 Actualización 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012)
  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.
  • Servidor de aprovisionamiento Citrix 7.1.

Características y limitaciones del soporte de plataforma virtual

  • Para mantener la compatibilidad de Kaspersky Endpoint Security con Citrix PVS, debe realizar la instalación con la opción "Garantizar la compatibilidad con Citrix PVS" habilitada. La opción se puede habilitar en el asistente de instalación o mediante el parámetro de línea de comando / pCITRIXCOMPATIBILITY = 1. En caso de instalación remota, necesita editar el archivo kud agregando el parámetro / pCITRIXCOMPATIBILITY = 1.
  • No se admite la instalación en una computadora con Microsoft Windows XP que se ejecute en Citrix XenDesktop.
  • No se admite la creación de imágenes mediante el dispositivo de destino desde equipos que ejecutan Microsoft Windows XP y Microsoft Windows Vista con Kaspersky Endpoint Security 10 Service Pack 1 instalado.

Análisis heurístico (escaneo heurístico)- un conjunto de funciones antivirus destinadas a detectar programas maliciosos desconocidos para las bases de datos de virus. Al mismo tiempo, este término también denota uno de los métodos específicos.

Casi todas las herramientas antivirus modernas utilizan la tecnología análisis heurístico código de programa. El análisis heurístico se usa a menudo junto con el escaneo de firmas para encontrar encriptación compleja y virus polimórficos. La técnica de análisis heurístico permite detectar infecciones previamente desconocidas, sin embargo, el tratamiento en estos casos es casi siempre imposible. En este caso, como regla general, se requiere una actualización adicional de las bases de datos antivirus para obtener las últimas firmas y algoritmos de tratamiento, que pueden contener información sobre un virus previamente desconocido. De lo contrario, el archivo se envía para que lo analicen los analistas antivirus o los autores de los programas antivirus.

Tecnología de análisis heurístico

Los métodos de escaneo heurístico no brindan protección garantizada contra nuevos virus que están ausentes en el conjunto de firmas de virus informáticos, lo cual se debe al uso de virus previamente conocidos como objeto para el análisis de firmas y al conocimiento del mecanismo del polimorfismo de firmas como las reglas de verificación heurística. Al mismo tiempo, dado que este método de búsqueda se basa en supuestos empíricos, no se pueden descartar por completo los falsos positivos.

En algunos casos, los métodos heurísticos resultan ser extremadamente exitosos, por ejemplo, en el caso de partes de programa muy cortas en el sector de arranque: si el programa escribe en el sector 1, pista 0, lado 0, entonces esto conduce a un cambio en la partición de la unidad. Pero aparte del programa auxiliar fdisk, este comando no se usa en ningún otro lugar, y por lo tanto, en caso de su aparición inesperada, estamos hablando de un virus de arranque.

En el proceso de análisis heurístico, el analizador de código verifica el programa emulado. Por ejemplo, un programa está infectado con un virus polimórfico que consta de un cuerpo cifrado y un descifrador. El emulador de código lee las instrucciones en el búfer del antivirus, las analiza en instrucciones y las ejecuta una instrucción a la vez, después de lo cual el analizador de código calcula la suma de comprobación y la compara con la almacenada en la base de datos. La emulación continuará hasta que se descifre la parte del virus necesaria para calcular la suma de comprobación. Si la firma coincide, el programa está definido.

Desventajas del escaneo heurístico

  • La sospecha excesiva del analizador heurístico puede generar falsos positivos si existen fragmentos de código en el programa que realizan acciones y / o secuencias, incluidas las propias de algunos virus. En particular, el desempaquetador en archivos empaquetados con PE-empaquetador (Win) Upack provoca falsos positivos por una serie de herramientas antivirus que no reconocen tal problema.
  • Disponibilidad de técnicas sencillas para engañar al analizador heurístico. Como regla general, antes de propagar un programa malicioso (virus), sus desarrolladores examinan los productos antivirus generalizados existentes, evitando la detección por varios métodos durante el análisis heurístico. Por ejemplo, modificar el código, utilizar elementos cuya ejecución no es compatible con el emulador del código de datos antivirus, utilizar el cifrado de una parte del código, etc.
  • A pesar de las afirmaciones y anuncios de los desarrolladores de antivirus sobre la mejora de los mecanismos heurísticos, la eficacia del análisis heurístico está lejos de lo esperado.
  • Incluso con una detección exitosa, el tratamiento de un virus desconocido es casi siempre imposible. Como excepción, algunos productos pueden tratar virus encriptados similares y polimórficos que no tienen un cuerpo viral permanente, pero utilizan una técnica de inyección única. En este caso, para el tratamiento de decenas y cientos de virus, puede haber una entrada en la base de datos de virus.

Exploración

Protección antivirus.

Los programas antivirus han sido y siguen siendo el principal medio de lucha contra los virus. Puede utilizar programas antivirus (antivirus) sin saber cómo funcionan. Sin embargo, sin comprender los principios de los dispositivos antivirus, el conocimiento de los tipos de virus y los métodos de distribución, es imposible organizar una protección informática confiable. Como resultado, la computadora puede infectarse incluso si tiene instalado un software antivirus.

En la actualidad, se utilizan varios métodos fundamentales de detección y protección de virus:

· Escaneo;

· Análisis heurístico;

· Uso de monitores antivirus;

· Detección de cambios;

· Uso de antivirus integrados en el BIOS de la computadora.

Además, casi todos los programas antivirus proporcionan recuperación automática de programas infectados y sectores de arranque. Por supuesto, si es posible.

La técnica más sencilla para escanear virus es que el programa antivirus escanea secuencialmente los archivos escaneados en busca de firmas de virus conocidos. Se entiende por firma una secuencia única de bytes pertenecientes a un virus y que no se encuentran en otros programas.

Los escáneres antivirus solo pueden encontrar virus ya conocidos y estudiados para los que se ha definido una firma. El uso de escáneres simples no protege su computadora de la penetración de nuevos virus.

En el caso de virus encriptados y polimórficos que pueden cambiar completamente su código al infectar un nuevo programa o sector de arranque, es imposible extraer una firma. Por lo tanto, los escáneres antivirus simples no pueden detectar virus polimórficos.

El análisis heurístico permite detectar virus previamente desconocidos sin recopilar primero datos sobre el sistema de archivos, como lo requiere, por ejemplo, el método de detección de cambios que se describe a continuación.

Los programas antivirus que implementan el método de análisis heurístico escanean programas y sectores de arranque de discos y disquetes, tratando de detectar en ellos códigos típicos de virus. El analizador heurístico puede detectar, por ejemplo, que el programa que se está escaneando instala un módulo residente en la memoria o escribe datos en el archivo ejecutable del programa.

Casi todos los programas antivirus modernos implementan sus propios métodos de análisis heurístico. En la Fig. 1 mostramos uno de estos programas: el escáner McAffee VirusScan, iniciado manualmente para escanear el disco en busca de virus.

Cuando el antivirus detecta un archivo infectado, generalmente muestra un mensaje en la pantalla del monitor y realiza una entrada en su propio registro o en el del sistema. Dependiendo de la configuración, el antivirus también puede enviar un mensaje sobre el virus detectado al administrador de la red.

Si es posible, el antivirus desinfecta el archivo, restaurando su contenido. De lo contrario, solo se ofrece una opción: eliminar el archivo infectado y luego restaurarlo desde una copia de seguridad (si, por supuesto, tiene una).

Página 1


El análisis heurístico le permite identificar virus desconocidos, pero no requiere la recopilación, el procesamiento y el almacenamiento preliminares de información sobre el sistema de archivos. Su esencia consiste en comprobar los posibles hábitats de los virus e identificar en ellos comandos (grupos de comandos) típicos de los virus. Si se encuentran comandos sospechosos en archivos o sectores de arranque, se muestra un mensaje sobre una posible infección.

El análisis heurístico, al igual que los métodos de pronóstico discutidos anteriormente, se basa en los principios de la lógica inductiva, ya que su concepto central es la confiabilidad de una hipótesis, el grado de validez. Evidentemente, es posible incrementar el grado de validez de la hipótesis heurística en relación a la previsión del desarrollo del progreso científico y tecnológico en cualquiera de sus direcciones, teniendo en cuenta las dinámicas y tendencias en el desarrollo de la investigación científica en estas áreas. de la ciencia en el análisis.

Con la ayuda del análisis heurístico, es posible que el algoritmo de proceso tecnológico seleccionado establezca las combinaciones más convenientes de subgrupos funcionales que forman parte de los grupos funcionales correspondientes: por ejemplo, rotores tecnológicos y de transporte que no requieren placa superior para instalar. ellos en la cama.

Esto completa nuestro análisis heurístico de interferometría moteada estelar.

El programa prevé la posibilidad de realizar análisis heurísticos en tres niveles. Al mismo tiempo, se examinan los archivos y las áreas del sistema de los discos para detectar virus desconocidos mediante secuencias de códigos características.

El segundo principio consiste en un análisis heurístico del significado de los factores tomados en cuenta, basado en la experiencia práctica y la intuición.

En 1998, se creó un sistema de análisis heurístico visual de matrices numéricas Visual HCA bajo el liderazgo del prof. Informes publicados repetidamente en congresos en México (China, Bélgica) y artículos en revistas extranjeras y nacionales. En 2000, se desarrolló un sistema aplicado para el monitoreo visual de los datos de medición de la contaminación de la Ciudad de México utilizando un sistema de análisis heurístico visual.

El algoritmo de análisis heurístico especial implementado en este programa antivirus también permite detectar archivos infectados con nuevos tipos de virus.

En varios casos, dicho esquema de cálculos deterministas ordenados, acompañado de un análisis heurístico profundo, permite obtener soluciones suficientemente fundamentadas y, por lo tanto, completar la optimización de la planta de adsorción con información incompleta. Pero a veces las soluciones obtenidas pueden diferir significativamente en sus componentes. Entonces se recomienda continuar con el cálculo de optimización de acuerdo con el esquema que se describe a continuación.

Dado que ya tenemos una teoría exacta de las soluciones de los juegos, estamos obligados, después de este análisis heurístico preliminar, a dar un análisis preciso, estrictamente basado en la teoría matemática.

Cabe destacar que un grupo de investigación formado para resolver un problema particular de gestión organizacional debe poder utilizar un aparato matemático formal y ser capaz de realizar análisis puramente heurísticos de situaciones reales.

Maclaurin y esa fisión tendrá lugar cuando la proporción de crecimiento m alcance el valor crítico m 0 14 (ver Sección. De este análisis heurístico se siguen dos resultados interesantes. Primero, las estrellas con M 0 8 MQ alcanzan la secuencia principal y dejan de contraerse antes que su núcleo. puede sufrir división causada por rotación.


La solución al problema de construir un conjunto de opciones conflictivas se lleva a cabo con la ayuda de los PPP de diseño óptimo, que se incluyen en el software del sistema de diseño automatizado. Además, aplicando los algoritmos de análisis heurístico, la computadora primero hace una clasificación y selección de un número finito de las mejores opciones para el proyecto AL, luego su diagnóstico o, por el contrario, primero diagnóstico, luego selección. Los resultados obtenidos se presentan a los dispositivos terminales para que el diseñador pueda realizar una valoración final.

Al resolver un problema de dos criterios, uno debe esforzarse por asegurar el extremo de una combinación lineal de criterios o encontrar conjuntos de Pareto y tomar la decisión final basada en el análisis heurístico de estos conjuntos. A veces hacen lo siguiente. Se impone una limitación a uno de los criterios y se hace que el segundo criterio tome un valor extremo.

El nombre de este grupo de métodos proviene de la famosa palabra griega "¡eureka!" Atribuida a Arquímedes. - "¡encontrado!", expresando alegría por el descubrimiento que hizo. Los métodos heurísticos se basan en el pensamiento creativo y el conocimiento de especialistas: expertos, la experiencia práctica de los líderes empresariales, su intuición, en juicios individuales y colectivos. Dichos métodos se consideran cualitativamente lógicos y complementan los métodos de análisis cuantitativos formalizados. La necesidad de su aplicación se debe a la complejidad e imposibilidad de un modelo matemático claro de muchos procesos socioeconómicos (aunque muchos de estos métodos prevén el uso de procedimientos matemáticos para procesar la información inicial y los resultados del análisis lógico experto).

Todos los métodos heurísticos se pueden dividir condicionalmente en métodos expertos y métodos para activar el pensamiento creativo (a veces se les llama psicológicos).

Métodos expertos, apoyándose en los conocimientos, juicios y experiencia de especialistas, nos permiten resolver dos grupos de problemas analíticos:

  • 1) obtener información sobre fenómenos económicos específicos y sus causas, sobre los requisitos de los principales interesados ​​del negocio;
  • 2) evaluar las manifestaciones características de las relaciones estables de causa y efecto, pronosticar el posible desarrollo de los procesos socioeconómicos y fundamentar las decisiones de gestión más racionales para una situación determinada.

El primer grupo de tareas se resuelve mediante cuestionarios, encuestas y entrevistas con empleados de empresas y representantes de otros grupos de partes interesadas de estas empresas. Expertos profesionales altamente calificados participan en la resolución del segundo grupo de problemas. En este caso, se pueden utilizar métodos de evaluación de expertos tanto individuales como colectivos.

Métodos individuales presuponen el uso de las opiniones de expertos seleccionados, formuladas por cada uno de ellos de forma independiente y recogidas a través de entrevistas o cuestionarios. La desventaja de este enfoque radica en el cierto conocimiento limitado de los especialistas individuales sobre todos los aspectos del problema en estudio, en el compromiso de cada uno de ellos con un puesto o escuela científica particular.

Aplicación más eficaz métodos colectivos, basado en la participación de grupos de diversos expertos - teóricos y profesionales que conocen bien la esencia del problema, las particularidades de las ramas del conocimiento relacionadas y los tipos de actividades con diferentes puntos de vista. La interacción de los especialistas involucrados permite investigar el problema planteado desde varios ángulos. Entre estos métodos, el más popular método de comisiones(reuniones de producción, conferencias, seminarios y "mesas redondas"), permitiendo desarrollar una posición común de los participantes, teniendo en cuenta todas las circunstancias en discusión. La desventaja de este método es que las decisiones tomadas, debido al deseo de compromisos y la presión psicológica de los expertos más autorizados, no necesariamente reflejan sus mejores opciones propuestas por los miembros individuales de las comisiones. Esta desventaja se supera en parte dividiendo el trabajo de la comisión en dos etapas:

  • ? discusión general del problema y libre expresión de las opiniones de los participantes;
  • ? análisis crítico de todas las propuestas realizadas y desarrollo de soluciones.

Aún más evita el conformismo de los expertos Método Delphy, basado en una encuesta por correspondencia anónima de expertos independientes (a menudo ni siquiera conscientes de la existencia de los demás) realizada en varias rondas, seguida del procesamiento estadístico de los resultados y el desarrollo de una decisión final por parte de un grupo de analistas, los organizadores de la encuesta.

Ampliamente conocida métodos de un cuaderno colectivo y un banco de ideas, permitiendo acumular paulatinamente ideas y propuestas de expertos independientes, soluciones estándar exitosas, ejemplos prácticos con posibilidad de su sistematización y evaluación.

Métodos para mejorar el pensamiento creativo. tienen como objetivo crear condiciones psicológicas que permitan a una persona generar nuevas ideas y buscar formas de resolver diversos problemas. Entre estos métodos de organizar el proceso creativo para resolver los problemas del análisis económico, el método de "lluvia de ideas" es el más extendido.

"Idea genial" es un método eficaz de organización grupal de actividades analíticas para resolver cualquier problema, basado en la liberación de la actividad creativa de sus participantes. Suele tener tres etapas. La primera etapa es una formulación clara del problema a resolver y la selección de los miembros del grupo creativo. La composición de los participantes no debe ser grande, pero debe incluir no solo a especialistas en este tema, sino también a otras personas interesadas que no estén conectadas por relaciones de subordinación. La segunda etapa es la generación de ideas para la solución del problema planteado. Una característica de esta etapa es la creación de condiciones para la máxima creatividad libre en ausencia total de valoraciones y críticas a las propuestas expresadas. Al mismo tiempo, ni siquiera se establecen las direcciones de la búsqueda de ideas y los criterios para su evaluación. El objetivo principal es el número máximo de propuestas presentadas y sus posibles combinaciones, todas ellas deben quedar registradas. Incluso las ideas fantásticas y aparentemente absurdas son bienvenidas. La duración de esta etapa no debe exceder una hora y media, ya que después de esto, la actividad creativa, por regla general, comienza a disminuir. La tercera etapa es la clasificación de las propuestas, selección, evaluación y desarrollo de varias combinaciones de las ideas más prometedoras realizadas por los analistas - los organizadores de la "tormenta".

Una modificación del método de lluvia de ideas es método de sincronización. El término "sinéctica" en sí mismo significa el uso de varios elementos, a menudo diferentes, que parecen incompatibles para resolver problemas creativos. La sinéctica se diferencia del "brainstorming" clásico al organizar la influencia de un grupo en la actividad creativa de sus miembros, definir métodos específicos para desarrollar ideas, permitir la discusión crítica y filtrar las ideas presentadas directamente en la etapa de su generación. Al mismo tiempo, el grupo debe incluir no solo profesionales, sino personas creativas que luchan por la competencia y están listas para defender sus posiciones, que poseen diversas características psicoemocionales (entusiastas, conservadores, optimistas, escépticos, etc.). Una característica de la sinéctica es el uso de diversas técnicas verbales para activar el pensamiento: analogías (encontrar soluciones basadas en el análisis de problemas similares ya resueltos en otras áreas, encontrar soluciones en la fantasía, mitos, cuentos de hadas), inversión (encontrar soluciones "desde el opuesto "), empatía (identificarse con el objeto analizado y comprender el problema a partir de los propios sentimientos), idealización (investigar desde el punto de vista de la obtención de un resultado ideal). Cabe señalar que la preparación preliminar, el entendimiento mutuo y la cohesión son muy importantes para un grupo sinéctico de expertos; de lo contrario, la creciente criticidad de las discusiones puede simplemente bloquear la generación de nuevas ideas.

Método morfológico. Este método se basa en una evaluación de la estructura interna del objeto en estudio y la correspondiente descomposición del problema en consideración en problemas separados, la selección de posibles soluciones para cada uno de estos problemas, su sistematización y síntesis de una solución general al problema. problema combinando soluciones particulares.

Teoría de la resolución de problemas inventiva(TRIZ). Inicialmente, el propósito de TRIZ era estudiar los principios de desarrollo de sistemas técnicos y crear métodos prácticos para resolver problemas inventivos basados ​​en identificar y eliminar contradicciones en dichos sistemas para lograr un resultado final ideal. Hoy TRIZ se ha convertido en una metodología universal para analizar varios problemas en muchas áreas, incluida la economía. En este caso, la activación del pensamiento creativo se logra estructurando las tareas de análisis y una determinada secuencia de su solución:

  • 1) para qué está destinado el sistema, en qué elementos se compone, cuáles son sus funciones y cómo interactúan;
  • 2) qué conexiones de los elementos del sistema y sus funciones son útiles, cuáles son inútiles y cuáles son dañinas;
  • 3) qué elementos, funciones y conexiones se pueden cambiar y cuáles no;
  • 4) cuáles son las posibles opciones para cambiar los elementos del sistema, sus funciones y conexiones;
  • 5) qué cambios aseguran la mejora del funcionamiento del sistema en su conjunto, y cuáles provocan contradicciones en el sistema y lo debilitan;
  • 6) cómo implementar cambios de mejora mientras se eliminan o minimizan las contradicciones emergentes.

Para estimular la creatividad y organizar el trabajo independiente sistemático de los analistas expertos, a menudo recurren a la implementación de reglas peculiares. Regla 24 prescribe que el analista debe pensar en el problema en estudio las 24 horas del día. Regla 25 - para una solución exitosa de la tarea, es necesario presentar al menos 25 ideas. Regla 26 - hay 26 letras en el alfabeto inglés, y como una pista para ti, debes pensar con qué letra comenzará la palabra clave para resolver el problema.

Métodos de análisis heurístico

Probablemente hayas conocido a una persona en tu vida que, en primer lugar, te asombró el hecho de que tenía una imaginación extremadamente desarrollada, juicios originales e inesperados, ideas que son características del pensamiento intuitivo altamente desarrollado. Como regla general, llamamos a esa persona una persona creativa. Y la capacidad de generar nuevas ideas tiene toda la razón para atribuirse a uno de los signos más importantes de una personalidad creativa.

Lamentablemente, no se presta suficiente atención al desarrollo de la intuición y la capacidad de generar nuevas ideas tanto en la escuela como en las instituciones de educación superior y secundaria especializadas. Los maestros prestan atención principalmente a los métodos lógicos para resolver problemas, incluso en el proceso de resolución de problemas creativos.

Los métodos de cálculo operan solo con información definida cuantitativamente, cuyo uso en el análisis de los sistemas de control es muy limitado. Para el análisis de la actividad económica es de gran importancia el uso de métodos heurísticos dirigidos a obtener las características cualitativas de una entidad empresarial. Los métodos heurísticos se basan principalmente en la experiencia y la intuición de los especialistas, sus juicios individuales o colectivos. Entre los métodos heurísticos, se pueden destacar los métodos de análisis evaluativo y de búsqueda evaluativa.

Los métodos heurísticos se describen ampliamente en trabajos sobre gestión de personal, organización de gestión y comportamiento organizacional.

Las condiciones que predeterminan la necesidad de utilizar métodos heurísticos se pueden caracterizar de la siguiente manera:

El carácter cualitativo de la información inicial, descrita utilizando parámetros económicos y sociales, la falta de información suficientemente representativa y confiable sobre las características del objeto de investigación;

Gran incertidumbre de los datos iniciales para el análisis;

Falta de una descripción clara de la asignatura y de una formalización matemática de la asignatura de evaluación;

Falta de tiempo y dinero para investigar utilizando modelos formales;

Falta de medios técnicos con características adecuadas para la modelización analítica;

Extremidad de la situación analizada.

Los métodos heurísticos de análisis representan un grupo especial de métodos para recopilar y procesar información basados ​​en el juicio profesional de un grupo de especialistas.

Clasificación de métodos de análisis heurístico

Métodos de evaluación heurística

MÉTODOS DE EVALUACIÓN Y BÚSQUEDA

Comisiones y conferencias

Idea genial

Cuaderno colectivo

Banco de ideas

Método de análisis y control activo sociológico probado

Juegos de negocios

Análisis de costes funcionales.

Los métodos heurísticos a menudo se denominan métodos creativos porque se basan en el pensamiento creativo de un grupo de personas. La clave para la confiabilidad y validez de las conclusiones del análisis con métodos heurísticos es la correcta selección de expertos. Dependiendo de los objetivos y el enfoque, el grupo de expertos puede ser homogéneo o incluir representantes de diferentes grupos de especialistas relacionados y, a veces, solo partes interesadas. Por ejemplo, al formar un grupo de expertos para analizar desarrollos tecnológicos, se incluyen tecnólogos que pueden evaluar profesionalmente la novedad técnica de una solución, economistas que evalúan su efectividad, mecánicos que pueden evaluar la posibilidad de implementar una nueva tecnología sobre una base de producción existente. , trabajadores que están ejecutando una nueva tecnología. Al evaluar la calidad de los productos y la demanda de los mismos, el grupo de expertos incluye no solo a expertos en productos básicos, sino también a fabricantes y consumidores de productos. Al mismo tiempo, al desarrollar una solución técnica en la primera etapa, solo los especialistas del perfil correspondiente se incluyen en el grupo de expertos.

En la práctica, se han desarrollado métodos bastante complejos para formar un grupo de expertos:

Según criterios formales, cuando se tiene en cuenta la especialidad, la experiencia laboral, la duración de la estancia en un equipo; esto también incluye valoraciones psicológicas del individuo según los datos del servicio sociológico de la organización (si lo hubiera), por ejemplo, la capacidad de pensar creativamente, pensamiento constructivo, etc.;

A partir de la autoestima del individuo obtenida durante el interrogatorio, en este caso el futuro experto evalúa sus capacidades, incluyendo calificaciones, pensamiento analítico y constructivo, capacidad de adaptación a determinadas situaciones, etc .; Tal selección de expertos se complementa con la definición del nivel de autoestima del futuro experto: subestimado, sobreestimado o adecuado, que se lleva a cabo con una especial atención.

selección psicológica de expertos;

Con base en la valoración de personas asociadas al solicitante, cuando las cualidades profesionales y personales de un especialista son evaluadas por especialistas de perfil similar, consumidores de servicios, empleados que implementan las decisiones del experto;

Por el método de selección aleatoria (muestreo), si muchas personas (por ejemplo, consumidores de productos y servicios) pueden actuar como expertos.

Muy a menudo, al analizar las actividades de una entidad económica, el grupo de expertos incluye gerentes de diferentes niveles y empleados. Así, por ejemplo, se forma un grupo de expertos a la hora de elegir una estrategia de desarrollo productivo, cambiar el sistema de incentivos, reformar los sistemas de contabilidad y reporting y reestructurar las estructuras organizativas.

Así, en la selección de expertos, se utilizan ampliamente métodos de selección tanto formales como psicológicos. En este sentido, los métodos heurísticos a menudo se denominan psicológicos.

(Melyukhova Yana) 1) Método de tipología se basa en la popular teoría del posicionamiento. La idea principal de esta teoría es la existencia de una imagen uniforme y lista para usar de situaciones y soluciones estándar. La tarea del analista es seleccionar un puesto correspondiente al objeto de análisis de acuerdo con ciertos parámetros y obtener una solución estándar propuesta por los desarrolladores del método. Las aplicaciones prácticas de esta teoría son matrices de ZKG, McKenzie, etc. La tecnología de implementación del método incluye etapas tales como:

Evaluación del objeto analizado según algunos parámetros especificados;

Posicionamiento del objeto en el esquema tipológico de acuerdo con los valores de los parámetros;

esquema por el tipo de objeto analizado.

Al construir un esquema tipológico, puede usar dos o más parámetros. Los parámetros pueden reflejar tanto propiedades simples como complejas. Un ejemplo de una propiedad compleja son las perspectivas de mercado, caracterizadas por el tamaño, la tasa de crecimiento, el nivel de satisfacción del usuario, la competencia, el nivel de precios, la rentabilidad y

etc. Como puede verse en el ejemplo dado, los parámetros pueden ser tanto cuantitativos como cualitativos. El posicionamiento del objeto analizado (objetos) en la cuadrícula tipológica es posible en forma de una marca particular (puntos, círculos, etc.).

En presencia de desarrollos en áreas específicas, el uso de cuadrículas tipológicas le permite determinar el tipo de objeto analizado y utilizar recomendaciones preparadas para su mejora. Sin embargo, hay que tener mucho cuidado con el método de tipología. Hay que tener en cuenta que las "recetas" universales son bastante seductoras con su próstata, lo que contrasta con la solución de problemas creativos, pero los beneficios de utilizar las recomendaciones obtenidas son muy limitados. Es mejor saber cómo identificar y resolver problemas que creer en recetas preparadas para el éxito. Según el autor, solo en combinación con otros métodos de evaluación, el método de tipología permite caracterizar la situación y encontrar opciones aceptables para decisiones de manejo predictivo.

(Kiseleva Olya) 2) Método de evaluación experta se basa en la identificación de una evaluación generalizada por parte de un grupo de expertos mediante el procesamiento estadístico de evaluaciones individuales e independientes realizadas por expertos. En este caso, los miembros del grupo pueden ser iguales o tener un rango diferente, tomado en cuenta al derivar los resultados del examen.

Al contratar expertos, uno debe guiarse por requisitos tales como:

Alto nivel de erudición general, posesión de conocimientos especiales en el área analizada;

La presencia de cierta experiencia práctica y (o) investigadora sobre el problema en consideración;

La capacidad de evaluar adecuadamente las tendencias de desarrollo del objeto en estudio;

Falta de sesgo, interés por un resultado específico de la evaluación.

Se crean condiciones favorables para el trabajo de los expertos como resultado de instrucciones preliminares, capacitación en métodos de investigación y suministro de información adicional sobre el objeto de análisis.

(Olya Prilepa) 3) El método de la comisión pericial basado en la identificación de una opinión colectiva común por parte de expertos especialmente seleccionados al discutir el problema planteado y las alternativas a su solución como resultado de ciertos compromisos.

Cuando se utiliza el método de la comisión de expertos, no solo se lleva a cabo el procesamiento estadístico de los resultados de la puntuación individual de todos los expertos, sino también el intercambio de opiniones sobre los resultados del examen y el refinamiento de las estimaciones. La desventaja de este procedimiento es la fuerte influencia de las autoridades en la opinión de la mayoría de los participantes en el examen.

En contacto con

Análisis heurístico

Casi todas las herramientas antivirus modernas utilizan la tecnología de análisis heurístico del código del programa. El análisis heurístico se usa a menudo junto con el escaneo de firmas para encontrar encriptación compleja y virus polimórficos. La técnica de análisis heurístico permite detectar infecciones previamente desconocidas, sin embargo, el tratamiento en estos casos es casi siempre imposible. En este caso, como regla general, se requiere una actualización adicional de las bases de datos antivirus para obtener las últimas firmas y algoritmos de tratamiento, que pueden contener información sobre un virus previamente desconocido. De lo contrario, el archivo se envía para que lo analicen los analistas antivirus o los autores de los programas antivirus.

Tecnología de análisis heurístico

Los métodos de escaneo heurístico no brindan ninguna protección garantizada contra nuevos virus informáticos que están ausentes en el conjunto de firmas, lo cual se debe al uso de virus previamente conocidos como objeto para el análisis de firmas, y al conocimiento sobre el mecanismo del polimorfismo de firmas como el reglas de verificación heurística. Al mismo tiempo, este método de búsqueda se basa en supuestos empíricos, es imposible excluir por completo los falsos positivos.

En algunos casos, los métodos heurísticos resultan ser extremadamente exitosos, por ejemplo, en el caso de partes de programa muy cortas en el sector de arranque: si el programa escribe en el sector 1, pista 0, lado 0, entonces esto conduce a un cambio en la partición de la unidad. Pero aparte del programa auxiliar FDISK, este comando no se usa en ningún otro lugar y, por lo tanto, si aparece inesperadamente, es un virus de arranque.

En el proceso de análisis heurístico, el analizador de código verifica el programa emulado. Por ejemplo, un programa está infectado con un virus polimórfico que consta de un cuerpo cifrado y un descifrador. El emulador de código emula la operación de este virus una instrucción a la vez, luego de lo cual el analizador de código calcula la suma de control y la verifica con la almacenada en la base de datos. La emulación continuará hasta que se descifre la parte del virus necesaria para calcular la suma de comprobación. Si la firma coincide, se identifica el programa.

Otro método común de análisis heurístico utilizado por un gran grupo de antivirus es la descompilación de un programa sospechoso y el análisis de su código fuente. El código fuente de un archivo sospechoso se verifica y se compara con el código fuente de virus conocidos y patrones de actividad de virus. Si un cierto porcentaje del código fuente es idéntico al código de un virus conocido o actividad de virus, el archivo se marca como sospechoso y se notifica al usuario al respecto.

Desventajas del escaneo heurístico

  • La sospecha excesiva del analizador heurístico puede generar falsos positivos si existen fragmentos de código en el programa que realizan acciones y / o secuencias, incluidas las propias de algunos virus. En particular, el desempaquetador de archivos empaquetados con PE-packer (Win) Upack provoca falsos positivos de varias herramientas antivirus, que de facto no reconocen tal problema. Otro problema de los analizadores es el funcionamiento erróneo al comprobar un código completamente inofensivo.

Por ejemplo, el código compilado con Delphi 7 o Delphi 2007:

Programa XDC; ($ APPTYPE CONSOLE) usa SysUtils; begin if (paramstr (3) = "d") luego comienza FileSetReadOnly (paramstr (2), false); DeleteFile (paramstr (2)); fin; fin.

Provoca falsos positivos en antivirus como Panda (independientemente de la versión del compilador), Webwasher GateWay (al compilar Delphi 2007), F-Secure (al compilar Delphi 7). Como puede ver en el ejemplo, el programa es absolutamente seguro y no hay absolutamente ningún signo de código malicioso y funcionalidad de virus (toda la funcionalidad del ejemplo: si se especifica la clave "d" como tercer parámetro, el programa borra el archivo especificado en el segundo parámetro).

  • Disponibilidad de técnicas sencillas para engañar al analizador heurístico. Como regla general, antes de propagar un programa malicioso (virus), sus desarrolladores examinan los productos antivirus generalizados existentes, evitando su detección mediante análisis heurístico mediante varios métodos. Por ejemplo, modificar el código, utilizar elementos cuya ejecución no es compatible con el emulador del código de datos antivirus, utilizar el cifrado de una parte del código, etc.

A pesar de las afirmaciones y los folletos publicitarios de los desarrolladores de antivirus sobre la mejora de los mecanismos heurísticos, la eficacia del análisis heurístico está lejos de lo esperado en este momento. Las pruebas independientes de los componentes del análisis heurístico muestran que la tasa de detección de nuevos programas maliciosos no supera el 40-50% de su número. (Inglés)

  • Incluso con una detección exitosa, el tratamiento de un virus desconocido es casi siempre imposible. Como excepción, algunos productos pueden tratar virus encriptados similares y polimórficos que no tienen un cuerpo viral permanente, pero utilizan una técnica de inyección única. En este caso, para el tratamiento de decenas y cientos de virus, puede haber una entrada en la base de datos de virus, como se implementa, por ejemplo, en el antivirus de I. Danilov.

ver también

Enlaces

enlaces externos

Fundación Wikimedia. 2010.

Vea qué es "Análisis heurístico" en otros diccionarios:

    - (heurístico) un algoritmo para la resolución del problema, que no tiene una justificación rigurosa, pero que, sin embargo, da una solución aceptable al problema en la mayoría de los casos prácticamente significativos. Contenido 1 Definición 2 Aplicación ... Wikipedia

    Este término tiene otros significados, consulte Polimorfismo. El polimorfismo de un virus informático (griego πολυ mucho + griego forma μορφή, apariencia) es una técnica especial utilizada por los autores de software malicioso ... ... Wikipedia

    El estilo de este artículo no es enciclopédico ni viola las normas del idioma ruso. El artículo debe corregirse de acuerdo con las reglas estilísticas de Wikipedia ... Wikipedia

    Las tecnologías proactivas son un conjunto de tecnologías y métodos utilizados en el software antivirus, cuyo objetivo principal, a diferencia de las tecnologías reactivas (firmas), es prevenir la infección del sistema del usuario, y ... ... Wikipedia

    Este artículo o sección es una traducción aproximada del artículo en otro idioma (consulte Verificación de traducciones). Pudo haber sido generado por un programa por un traductor, o podría haber sido realizado por una persona con poco conocimiento del idioma original. ¿Puedes ayudar ... Wikipedia

    Sitio de licencias del sistema operativo Windows XP / Vista para desarrolladores ... Wikipedia

    Captura de pantalla del programa Tipo ... Wikipedia

    OllyDbg ... Wikipedia

    Este artículo debería estar wikificado. Rellénelo de acuerdo con las reglas de formato del artículo. Algunos modelos de comportamiento humano en las ciencias sociales sugieren que el comportamiento humano puede describirse adecuadamente ... Wikipedia

Este artículo trata sobre software antivirus. Para conocer la aplicación de la heurística en la evaluación de la usabilidad, consulte Evaluación heurística.

Análisis heurístico es un método utilizado por muchos programas antivirus diseñados para detectar virus informáticos previamente desconocidos, así como nuevas variantes de virus que ya están en la naturaleza.

El análisis heurístico es un análisis experto que determina la susceptibilidad de un sistema a una amenaza / riesgo particular utilizando diferentes reglas de decisión o métodos de ponderación. El análisis multicriterio (MCA) es una de las herramientas de pesaje. Este método difiere del análisis estadístico, que se basa en datos / estadísticas disponibles.

operación

La mayoría de los programas antivirus que utilizan el análisis heurístico para ejecutar esta función ejecutan comandos de programación desde un programa o script cuestionable en una máquina virtual especializada, lo que permite que el programa antivirus simule internamente lo que sucedería si el archivo sospechoso se ejecutara mientras se guarda el sospechoso. código extraído del mundo real de la máquina. Luego analiza los comandos a medida que se ejecutan, monitorea las actividades de virus comunes como la replicación, sobrescribe el archivo e intenta ocultar la existencia del archivo sospechoso. Si se detectan uno o más virus a medida que se detectan acciones, el archivo sospechoso se marca como un virus potencial y se alerta al usuario.

Otra técnica heurística común para un programa antivirus es descompilar un programa sospechoso y luego analizar el código de máquina que contiene. El código fuente del archivo sospechoso se compara con el código fuente de virus conocidos y actividades similares a virus. Si un cierto porcentaje del código fuente coincide con el código de un virus conocido o una actividad similar a un virus, el archivo se marca y se alerta al usuario.

eficiencia

El análisis heurístico puede detectar muchos virus previamente desconocidos y nuevas variantes de virus actuales. Sin embargo, el análisis heurístico se basa en la experiencia (comparando el archivo sospechoso con el código y la función de virus conocidos). Esto significa que es más probable que se pierda nuevos virus que contengan métodos de trabajo previamente desconocidos que no se encuentran en uno de los virus conocidos. En consecuencia, la eficiencia es bastante baja en términos de precisión y número de falsos positivos.

A medida que los investigadores humanos descubren nuevos virus, el análisis del motor heurístico agrega información sobre ellos, lo que proporciona al motor un medio para detectar nuevos virus.

¿Qué es el análisis heurístico?

El análisis heurístico es un método para detectar virus mediante el análisis del código de propiedades sospechosas.

Los métodos tradicionales de detección de virus implican detectar malware comparando el código del programa con el código de tipos conocidos de virus que ya se han encontrado, analizado y registrado en una base de datos, lo que se conoce como detección de firmas.

Si bien es útil y todavía está en uso, la detección basada en firmas también se ha vuelto más limitada, debido al desarrollo de nuevas amenazas que explotaron a principios de siglo y continúan apareciendo todo el tiempo.

Para resolver este problema, se diseñó un modelo heurístico especialmente para identificar signos sospechosos que se pueden encontrar en virus nuevos desconocidos y versiones modificadas de amenazas existentes, así como muestras de malware conocidas.

Los ciberdelincuentes desarrollan constantemente nuevas amenazas, y el análisis heurístico es una de las pocas técnicas que se utilizan para combatir el gran volumen de estas nuevas amenazas que se observan a diario.

El análisis heurístico es también uno de los pocos métodos capaces de combatir virus polimórficos, un término para el código malicioso que cambia y se adapta constantemente. El análisis heurístico incluyó soluciones de seguridad avanzadas ofrecidas por empresas como Kaspersky Labs para detectar nuevas amenazas antes de que dañen, sin necesidad de una firma específica.

¿Cómo funciona el análisis heurístico?

El análisis heurístico le permite utilizar muchas técnicas diferentes. Una técnica heurística, conocida como análisis heurístico estático, implica descompilar un programa sospechoso y mirar su código fuente. Este código se compara con virus que ya son conocidos y se encuentran en bases de datos heurísticas. Si algún porcentaje del código fuente coincide con una entrada en la base de datos heurística, el código se marca como una posible amenaza.

Otra técnica se conoce como heurística dinámica. Cuando los científicos quieren analizar algo sospechoso sin poner en peligro a las personas, contienen las sustancias en un entorno controlado como un laboratorio protegido y pruebas. Este proceso es similar para el análisis heurístico, pero también en el mundo virtual.

Aísla los programas sospechosos o un fragmento de código dentro de una máquina virtual especializada, o sandbox, y le da al software antivirus la oportunidad de verificar el código y simular lo que sucede si se permite que se ejecute el archivo sospechoso. Examina cada comando, cómo funciona y busca cualquier comportamiento sospechoso, como la autorreplicación, la sobrescritura de archivos y otras acciones que son comunes a los virus. Problemas potenciales

El análisis heurístico es ideal para detectar nuevas amenazas, pero para que sea eficaz, la heurística debe ajustarse cuidadosamente para proporcionar la mejor detección de nuevas amenazas sin generar falsos positivos en un código completamente inocente.

Exploración

Protección antivirus.

Los programas antivirus han sido y siguen siendo el principal medio de lucha contra los virus. Puede utilizar programas antivirus (antivirus) sin saber cómo funcionan. Sin embargo, sin comprender los principios de los dispositivos antivirus, el conocimiento de los tipos de virus y los métodos de distribución, es imposible organizar una protección informática confiable. Como resultado, la computadora puede infectarse incluso si tiene instalado un software antivirus.

En la actualidad, se utilizan varios métodos fundamentales de detección y protección de virus:

· Escaneo;

· Análisis heurístico;

· Uso de monitores antivirus;

· Detección de cambios;

· Uso de antivirus integrados en el BIOS de la computadora.

Además, casi todos los programas antivirus proporcionan recuperación automática de programas infectados y sectores de arranque. Por supuesto, si es posible.

La técnica más sencilla para escanear virus es que el programa antivirus escanea secuencialmente los archivos escaneados en busca de firmas de virus conocidos. Se entiende por firma una secuencia única de bytes pertenecientes a un virus y que no se encuentran en otros programas.

Los escáneres antivirus solo pueden encontrar virus ya conocidos y estudiados para los que se ha definido una firma. El uso de escáneres simples no protege su computadora de la penetración de nuevos virus.

En el caso de virus encriptados y polimórficos que pueden cambiar completamente su código al infectar un nuevo programa o sector de arranque, es imposible extraer una firma. Por lo tanto, los escáneres antivirus simples no pueden detectar virus polimórficos.

El análisis heurístico permite detectar virus previamente desconocidos sin recopilar primero datos sobre el sistema de archivos, como lo requiere, por ejemplo, el método de detección de cambios que se describe a continuación.

Los programas antivirus que implementan el método de análisis heurístico escanean programas y sectores de arranque de discos y disquetes, tratando de detectar en ellos códigos típicos de virus. El analizador heurístico puede detectar, por ejemplo, que el programa que se está escaneando instala un módulo residente en la memoria o escribe datos en el archivo ejecutable del programa.

Casi todos los programas antivirus modernos implementan sus propios métodos de análisis heurístico. En la Fig. 1 mostramos uno de estos programas: el escáner McAffee VirusScan, iniciado manualmente para escanear el disco en busca de virus.

Cuando el antivirus detecta un archivo infectado, generalmente muestra un mensaje en la pantalla del monitor y realiza una entrada en su propio registro o en el del sistema. Dependiendo de la configuración, el antivirus también puede enviar un mensaje sobre el virus detectado al administrador de la red.

Si es posible, el antivirus desinfecta el archivo, restaurando su contenido. De lo contrario, solo se ofrece una opción: eliminar el archivo infectado y luego restaurarlo desde una copia de seguridad (si, por supuesto, tiene una).