16.3.2.2 Цифровая иммунная система

Цифровая иммунная система представляет собой комплексный подход к защите от вирусов, разработанный компанией. Эта разработка появилась в связи с постоянно возрастающей угрозой распространения вирусов через Internet. Сначала скажем несколько слов об этой угрозе, а затем кратко изложим подход компании IВМ.

В настоящее время вирусная угроза характеризуется сравнительно небольшими скоростями распространения новых вирусов и их новых разновидностей. Антивирусные программы обычно ежемесячно обновляются, что позволяет обеспечить достаточный контроль над ситуацией. Кроме того, в наши дни Internet играет сравнительно малую роль в распространении вирусов. Однако две приведенные ниже основные тенденции развития технологии сети Internet будут оказывать все более возрастающее влияние на скорость распространения вирусов в будущем.

• Интегрированные почтовые системы. Такие системы, как LotusNotes и Microsoft Outlook, существенно упрощают процедуру пересылки чего угодно кому угодно, а также работу с полученными объектами.

• Системы мобильных программ. Возможности Java и АсtiveХ позволяют программам самостоятельно переходить из одной системы в другую.

В связи с угрозой, связанной с возможностями Internet, фирма IВМ разработала прообраз цифровой иммунной системы. Она основана на использовании эмуляции программ, которая обсуждалась в предыдущем подразделе, и предоставляет возможность общей эмуляции и систему обнаружения вирусов. Цель этой системы — обеспечить малое время отклика, чтобы можно было удалить вирусы вскоре после их появления. При появлении в организации нового вируса иммунная система автоматически захватывает его, анализирует, пополняется соответствующими средствами обнаружения и противодействия, удаляет этот вирус и передает информацию о нем в системы, на которых работает программа IBM AntiVirus. После этого данный вирус, где бы он ни появился, будет выявлен еще до того, как он сможет активизироваться.

На рис. 16.3 проиллюстрированы типичные действия, выполняемые в ходе работы цифровой иммунной системы.

1. Управляющая программа на каждом персональном компьютере использует разнообразные эвристические методы, основанные на наблюдении за поведением системы, подозрительными изменениями программ или сигнатур, свидетельствующими о возможном присутствии вируса. Копию любой программы, которую она сочтет зараженной, управляющая программа пересылает на административную машину организации.

2. Административная машина шифрует полученный образец и отправляет его на центральную машину, где проводится анализ на наличие вирусов.

3. При анализе используются такие методы, как эмуляция или создание защищенной среды, в которой можно запустить и проконтролировать подозрительную программу. Затем машина, на которой анализируется вирус, создает рекомендации по идентификации и удалению данного вируса.

4. Результирующее предписание отправляется обратно на административную машину.

5. Административная машина пересылает это предписание инфицированному клиенту.

6. Кроме того, предписание пересылается другим клиентам организации.

7. Подписчики, разбросанные по всему миру, получают очередное антивирусное обновление, защищающее их от нового вируса.

Рис. 16.3. Цифровая иммунная система

Успешность работы цифровой иммунной системы зависит от возможностей анализирующей машины, выявляющей черты новых и модифицированных вирусов. Постоянно анализируя и отслеживая вирусы, найденные в их естественной среде обитания, машина должна быть в состоянии постоянно обновлять цифровые иммунные программы, чтобы сдержать угрозу.