Wat is een heuristische analyse?

Heuristische analyses worden gebruikt om virussen te detecteren door naar verdachte onderdelen te zoeken in de code.

Traditionele methoden van virusdetectie identificeren malware door de code in het programma te vergelijken met de code van bekende virussen die al eerder zijn gevonden en geanalyseerd en die zijn opgenomen in een database. Dit staat bekend als definitiedetectie.

Hoewel het erg nuttig is en nog steeds wordt gebruikt, is de methode voor definitiedetectie ook wat beperkt dankzij de ontwikkeling van nieuwe dreigingen die sinds de eeuwwisseling constant verschijnen.

Om dit probleem tegen te gaan is het heuristische model specifiek ontworpen om verdachte karakteristieken in onbekende en nieuwe virussen en aangepaste versies van bestaande dreigingen en bekende malware te herkennen.

Cybercriminelen ontwikkelen constant nieuwe dreigingen en een heuristische analyse is een van de enige methoden die geschikt is om deze nieuwe dreigingen tegen te gaan.

Een heuristische analyse is daarnaast een van de weinige methoden die polymorfische virussen — de term voor een kwaadaardige code die constant verandert en zich aanpast — kan bestrijden. Heuristische analyses worden opgenomen in geavanceerde beveiligingsoplossingen die door bedrijven zoals Kaspersky Lab worden aangeboden zodat ze nieuwe dreigingen kunnen detecteren voordat deze schade kunnen aanrichten. Hier is geen specifieke handtekening voor nodig.

Hoe werken heuristische analyses?

Bij een heuristische analyse kan er een aantal verschillende technieken worden gebruikt. Bij één heuristische methode, die bekend staat als statische heuristische analyse, wordt een verdacht programma gedecompileerd en wordt de broncode onderzocht. Deze code wordt vervolgens vergeleken met bekende virussen in de heuristische database. De code wordt gemarkeerd als mogelijke dreiging als een bepaald percentage van de broncode overeenkomt met codes in de heuristische database.

Een andere methode staat bekend als dynamische heuristiek. Als wetenschappers iets verdachts willen onderzoeken zonder mensen in gevaar te brengen, nemen ze de substantie mee naar een gecontroleerde omgeving om tests uit te voeren, zoals een veilig lab. Er is een gelijksoortig proces voor heuristische analyses - maar dan in de virtuele wereld.

Het verdachte programma of het stukje code wordt in een speciale virtuele machine - of zandbak - geïsoleerd en geeft het antivirusprogramma de kans om de code te testen en te simuleren wat er zou gebeuren als het verdachte bestand wordt uitgevoerd. Het programma onderzoekt elke opdracht als die wordt geactiveerd en zoekt naar verdacht gedrag zoals zelfreplicatie, overschrijven van bestanden en andere acties die vaak in virussen voorkomen.

Mogelijke problemen

Heuristische analyse is een ideale manier om nieuwe dreigingen te identificeren, maar de heuristieken moeten voorzichtig worden afgestemd om nieuwe dreigingen te detecteren zonder valse positieven te genereren in een onschuldige code.

Heuristische hulpmiddelen zijn daarom slechts een onderdeel van het geavanceerde antivirusarsenaal. Ze worden meestal gebruikt in combinatie met andere soorten virusdetectie zoals handtekeninganalyses en andere proactieve technologieën.

Gerelateerde artikelen:

• Wat is adware?
• Wat is een trojan?
• Feiten en veelgestelde vragen over computervirussen en malware
• Spam en phishing

Gerelateerde producten:

• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Anti-Virus
• Kaspersky Internet Security for Mac
• Kaspersky Internet Security for Android