В прошлом году мы опубликовали серию статей, в которых объясняли, как определить есть ли вирусы на сайте, а также как защитить свой сайт. Область, о которой мы не часто говорим в общедоступных каналах, но которая сыграла ключевую роль в том, как компании становятся мировым лидером в области решений для безопасности веб-сайтов, — это исследования и разработки в области новых технологий безопасности.

В дополнение к более традиционным подходам к обнаружению вредоносных программ, компании продолжают исследовать новые горизонты технологических усовершенствований, чтобы расширять область исследований в области безопасности. Это привело к тому, что уже в течение длительного времени компании занимаются разработкой машинного обучения, используя механизмы в рамках процесса автоматического обнаружения новых вариантов вредоносного ПО.

Исследования в этой области показали, что машинное обучение обещает стать важной частью раннего обнаружения и предварительной идентификации вредоносных программ. Один из самых значительных прорывов в области машинного обучения, связанный с обнаружением вредоносных программ и сигнатурами, связан с анализом сигнатур на основе признаков.

Что такого особенного в анализе сигнатур на основе признаков?

Сигнатуры на основе признаков отличаются от традиционных сигнатур тем, что цель сигнатуры состоит не в том, чтобы найти известное вредоносное ПО, а в том, чтобы найти вредоносное ПО, которое никогда раньше не встречалось. Одно из ограничений традиционного сигнатурного подхода к обнаружению вредоносных программ заключается в том, что он не может обнаруживать никогда ранее не встречавшиеся вредоносные программы.

Скорее всего, вы сможете обнаруживать только те вредоносные программы, которые уже были ранее идентифицированы и классифицированы в базе данных сигнатур. С традиционными сигнатурами вы выполняете поиск вредоносных программ, задавая вопрос «да» или «нет»: «соответствует ли этот код тому, что мы знаем как вредоносное ПО?» В то время как в анализе сигнатур на основе признаков мы отказываемся от строго определенных программных инструкций в пользу того, что эффективно побуждает машину формировать вопросы, которые мы еще не умеем задавать.

Термин Feature-Based относится к методу анализа кода на основе его функций, то есть его действий, механизмов и поведения. Генерация новых традиционных сигнатур обычно зависит от большого штата аналитиков, которые анализируют код веб-сайта, чтобы точно определить, что является вредоносным ПО, а что нет, а затем разрабатывают безопасный способ хирургического удаления проблемного кода. Это работает исключительно хорошо при поиске и документировании новых вредоносных программ, при условии, что ваш персонал может масштабироваться в соответствии с объемом анализируемого кода.

Однако масштабируемость этой схемы может оказаться под вопросом, если вы являетесь одним из крупнейших в мире поставщиков услуг по обеспечению безопасности веб-сайтов. Решение есть - введите сигнатурный анализ на основе функций, который, как и человек-аудитор, фокусируется на поведении проверяемого приложения. Основываясь на поведении, обнаружение вредоносных программ на основе функций (анализ сигнатур на основе функций) может определить с некоторой долей уверенности, что приложение не работает.

Обнаружение вредоносных программ на основе функций (анализ сигнатур на основе признаков) — это масштабируемое решение для анализа данных, но на самом деле оно осуществимо только в массовом масштабе, потому что для выполнения анализа, который создает шаблоны ощутимой ценности, требуется огромный набор данных. Поэтому в крупных компаниях ежедневно проверяют наличие вредоносных программ в более чем миллиарде файлов, что позволяет формировать значительный набор данных для анализа с помощью машинного обучения.

Несмотря на то, что компании могут анализировать огромное количество вариантов, большинство новых вредоносных программ, которые обнаружили на сегодняшний день, находятся в сравнительно узком коридоре из примерно 80000 возможных комбинаций. Благодаря использованию передовых технологий машинного обучения продолжается борьба в гонке вооружений за безопасность приложений. Компании стремятся защитить Интернет от злоумышленников, продолжая использовать новейшие технологии в арсенале защиты.

Важно отметить, что не только вирусы оказывают влияние на работоспособность сайта. Вы можете иметь самое прогрессивное антивирусное ПО, но сайт может быть все равно недоступен для пользователей. Все дело в том, что на работу вашего сайта влияют многие факторы.

Но, какова бы ни была причина, по которой страница сайта не открывается, например DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.

Компания Mainton - разработка программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.