Antivirus et Analyses Heuristiques

Antivirus et Analyses Heuristiques

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows

Dossier "Virus"

S'équiper
Virus
Typologie des attaques virales
Typologie des charges actives
Typologie des auteurs de virus
A savoir - Quelques risques
Antivirus - Choisir un antivirus
Tests Antivirus et son installation
Les antivirus généraux
Les antivirus généraux
Régler les antivirus au maximum
Les antivirus gratuits spécifiques
Les antivirus gratuits en ligne
Les antivirus en ligne
Analyse d'un fichier
Analyse du PC
Envoyer échantillon
Sandbox
Rescue CDs - CD de secours
Tableaux comparatifs
Ressources
Pour une Informatique sécurisée
Anti Virus Asia Researchers
Techniques McAfee Avert Labs
IM et Pirates


Mots clé:
antivirus, analyses heuristiques
algorithmes heuristiques
méthodes heuristiques
 
 
Les analyses heuristiques appliquées aux antivirus sont... l'art de la divination, de la supposition, de l'hypothèse, de l'incertitude...

C'est assez étonnant dans un monde fait de certitudes, de zéros ou de uns, de portes ouvertes ou fermées mais jamais d'à-peu-près, de plus ou moins, d'approximations...

L'hypothèse heuristique doit permettre de produire une idée directrice de recherches et, par mesure de prudence, une alarme, indépendamment de la vérité absolue.

Les analyses heuristiques (ou algorithmes heuristiques, méthodes heuristiques etc. ...) d'un objet (un fichier, un flux...) servent à aider à la découverte de nouveaux parasites (virus...) par la recherches de "faits" (actions conduites par le code du programme analysé et, mieux encore, combinaisons d'actions) qui :
  • dans des cas qui se sont présentés antérieurement, ont généralement conduit à l'affirmation que l'objet était ou contenait un parasite
  • habituellement, ne se produisent pas

Les "faits" recherchés sont, par exemples, des bouts de code dont les actions trouvées simultanément dans un même objet le rende suspicieux, sans pouvoir affirmer qu'il s'agit réellement d'un parasite.

Par exemple, le cryptage du code peut être considéré comme un élément de suspicion. Les méthodes heuristiques utilisent un système de "poids" (de "notation") des suspicions et la somme de ces notes, pondérées par leurs interactions, fait basculer, en fin d'analyse, l'objet en suffisamment "suspicieux" pour alerter l'utilisateur ou "inoffensif".

Les analyses heuristiques servent donc à écarter ou appuyer un doute. Tout le problème de ces outils d'intelligence artificielle qui intègrent sans arrêt les résultats précédents (ces outils sont en perpétuelles phases d'auto-apprentissage) et donc évoluent sans cesse, est le poids qu'ils accordent à leurs suspicions - à partir de quand leur susceptibilité leur fait déclarer suspicieux un objet complètement anodin (et donc leur fait produire une fausse alarme - un faux positif) ou l'inverse (absence de production d'une alarme sur un objet hostile - faux négatif).

Les analyses heuristiques permettent, plus ou moins, de dire qu'un objet analysé embarque ou non les conditions de comportement pour qu'il soit un objet hostile mais ne permettent pas d'affirmer qu'il s'agit d'un objet hostile ou inoffensif.

Les analyses heuristiques, très complexes, ont permis de détecter, dans le meilleur des cas, de 40 à 60% de parasites dans des lots de parasites totalement nouveaux (inconnus des bases de signatures). C'est peu et beaucoup à la fois. Une suspicion soulevée par une méthode heuristique doit être suivie d'une analyse approfondie de l'objet suspicieux par des méthodes produisant des certitudes et seul l'être humain est capable de le faire, même s'il s'appuie de plus en plus sur des outils plus avancés que les méthodes heuristiques, comme les sandbox et les machines virtuelles.


Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com






Historique des révisions de ce document :

22.02.2008 Orthographe
 
   
Rédigé en écoutant :
Music