logo
Классификация вирусов

3.3.3 Цифровая иммунная система

Цифровая иммунная система представляет собой сложную технологию ан­тивирусной защиты, разработанную компанией IBM. Причиной разработки послужила возрастающая угроза распространения вирусов через Internet. Сначала мы скажем несколько слов о самой угрозе, а затем перейдем к описанию подхода, предложенного IBM .

В ответ на угрозу распространения вирусов, которую потенциально несут эти возможности Internet, IBM разработала прототип цифровой иммунной системы. Целью цифровой иммунной системы является создание схемы быстрого реагирования, позволяющей регистрировать вирусы практически в момент их появления. Когда новый вирус появляется в вычислительной сети организации, иммунная система находит его, анализирует, добавляет необходимые средства обнаружения этого вируса и защиты от него, удаляет вирус и передает информацию о попытке проникновения вируса системам AntiVirus компании IBM, чтобы вирус и в других местах мог быть выявлен до того, как начнет выполняться. На рис.3.4 показана схема основных действий цифровой иммунной системы, расшифруем эти действия:

  1. Специальная программа, работающая на каждом персональном компьютере, выполняет мониторинг, используя различные методы эвристического анализа поведения системы и выявления подозрительных изменений в программах, а также информацию о сигнатурах известных вирусов. Обнаружив подозрительные действия, программа мониторинга отправляет копию по­дозрительной на предмет заражения программы в систему администратора сети организации.

  2. Машина-администратор шифрует полученный образец и отправляет его центральной машине-анализатору, выполняющей анализ вирусов.

  3. Машина-анализатор создает виртуальную среду, в которой можно выполнить безопасный запуск инфицированной программы для анализа. Для этого может применяться технология программной эмуляции или создание какой-то иной защищенной среды, в которой подозреваемая программа может быть выполнена и изучена. Обнаружив вирус, машина-анализатор генерирует рекомендации, касающиеся вопросов идентификации и удаления вируса.

  4. Созданные рекомендации передаются обратно машине-администратору.

  5. Машина-администратор пересылает рекомендации инфицированной машине-клиенту.

  6. Рекомендации рассылаются также всем другим машинам-клиентам организации.

  7. Все другие подписчики системы также получают регулярные обновления антивирусных пакетов, что позволяет защититься от новых вирусов.

Успех цифровой иммунной системы зависит от способности машины-анализатора выявлять новые вирусы и их модифицированные штаммы. С помощью постоянного анализа и мониторинга всех появляющихся вирусов можно обеспечить постоянное обновление программного обеспечения цифровой иммунной системы с целью организации надежной защиты от угрозы вирусной инфекции.

Рис. 3.4 Цифровая иммунная система