|
||||||||
|
|
Antivirus et Analyses HeuristiquesAntivirus et Analyses Heuristiques
Les analyses heuristiques appliquées aux antivirus sont... l'art de la divination, de la supposition, de l'hypothèse, de l'incertitude...
C'est assez étonnant dans un monde fait de certitudes, de zéros ou de uns, de portes ouvertes ou fermées mais jamais d'à-peu-près, de plus ou moins, d'approximations... L'hypothèse heuristique doit permettre de produire une idée directrice de recherches et, par mesure de prudence, une alarme, indépendamment de la vérité absolue. Les analyses heuristiques (ou algorithmes heuristiques, méthodes heuristiques etc. ...) d'un objet (un fichier, un flux...) servent à aider à la découverte de nouveaux parasites (virus...) par la recherches de "faits" (actions conduites par le code du programme analysé et, mieux encore, combinaisons d'actions) qui :
Par exemple, le cryptage du code peut être considéré comme un élément de suspicion. Les méthodes heuristiques utilisent un système de "poids" (de "notation") des suspicions et la somme de ces notes, pondérées par leurs interactions, fait basculer, en fin d'analyse, l'objet en suffisamment "suspicieux" pour alerter l'utilisateur ou "inoffensif". Les analyses heuristiques servent donc à écarter ou appuyer un doute. Tout le problème de ces outils d'intelligence artificielle qui intègrent sans arrêt les résultats précédents (ces outils sont en perpétuelles phases d'auto-apprentissage) et donc évoluent sans cesse, est le poids qu'ils accordent à leurs suspicions - à partir de quand leur susceptibilité leur fait déclarer suspicieux un objet complètement anodin (et donc leur fait produire une fausse alarme - un faux positif) ou l'inverse (absence de production d'une alarme sur un objet hostile - faux négatif). Les analyses heuristiques permettent, plus ou moins, de dire qu'un objet analysé embarque ou non les conditions de comportement pour qu'il soit un objet hostile mais ne permettent pas d'affirmer qu'il s'agit d'un objet hostile ou inoffensif. Les analyses heuristiques, très complexes, ont permis de détecter, dans le meilleur des cas, de 40 à 60% de parasites dans des lots de parasites totalement nouveaux (inconnus des bases de signatures). C'est peu et beaucoup à la fois. Une suspicion soulevée par une méthode heuristique doit être suivie d'une analyse approfondie de l'objet suspicieux par des méthodes produisant des certitudes et seul l'être humain est capable de le faire, même s'il s'appuie de plus en plus sur des outils plus avancés que les méthodes heuristiques, comme les sandbox et les machines virtuelles. |
|
|
||||
|
||||||||
|
||||||||
Rédigé en écoutant :
Music |
||||||||