Поддержка

Поддержка приложений для бизнеса

Kaspersky Scan Engine

О Kaspersky Scan Engine

Технологии обнаружения Kaspersky Scan Engine

Kaspersky Scan Engine
Нет результатов
База знаний Онлайн-справка
FAQ Скачать Форум Запрос в поддержку Утилиты для лечения

Технологии обнаружения Kaspersky Scan Engine

05 марта 2024

ID 192970

В этом разделе описаны технологии обнаружения, реализованные в Kaspersky Scan Engine.

Анализ сигнатур

Этот метод обнаружения основывается на поиске определенной строки в сканируемых файлах. Сигнатурный анализ также включает обнаружение, основанное на хеше всего вредоносного файла. Традиционные сигнатуры позволяют обнаруживать определенные объекты с высокой точностью. Другие технологии, основанные на использовании сигнатур, такие как структурные эвристические сигнатуры и SmartHash, могут обнаруживать неизвестное и полиморфное вредоносное ПО.

Сигнатурный анализ позволяет обнаруживать определенные атаки с высокой точностью и малой вероятностью ложного срабатывания. Однако этот метод обнаружения неэффективен против полиморфных вредоносных программ и различных версий одного и того же вредоносного ПО. Для высокой эффективности сигнатурного анализа также требуется частое обновление сигнатур.

Часто обновляемая обширная антивирусная база данных Kaspersky Scan Engine обеспечивает высочайший уровень защиты от известного вредоносного ПО, троянцев, червей, руткитов, шпионского и рекламного ПО.

Расширенная эвристика

При сканировании скрипта или исполняемого файла ядро Kaspersky Anti-Virus Engine эмулирует его запуск в безопасной искусственной среде. Если во время анализа поведения эмулируемого объекта обнаруживается подозрительное поведение, он считается вредоносным. Этот метод позволяет обнаруживать новое и неизвестное вредоносное ПО.

Компонент Kaspersky Scan Engine, представляющий собой эмулятор, эмулирует функциональную среду запуска для объекта, в том числе функции и различные подсистемы целевой операционной системы. Реальные функции и подсистемы во время эмуляции не используются.

Технологии машинного обучения

SmartHash – это запатентованный алгоритм "Лаборатории Касперского" для построения интеллектуальных хешей, учитывающих локализацию. Хеши, учитывающие локализацию, – это статические характеристики файлов, которые могут быть извлечены и разбиты на группы. Значения SmartHash можно вычислить для каждого файла, при этом различные файлы могут иметь одинаковое значение SmartHash, когда они функционируют подобным образом. Поэтому конкретное значение SmartHash идентифицирует целый кластер подобных файлов и позволяет эффективно обнаруживать неизвестные вредоносные программы на основе уже известных семейств. Технология SmartHash использует несколько уровней точности, что позволяет обнаруживать даже сильно полиморфные вредоносные программы. Вместе с этим она позволяет снизить вероятность ложного срабатывания.

Преимущества технологии SmartHash:

  • Хорошо справляется с новыми, избегающими обнаружение и полиморфными вредоносными программами.
  • Обнаружение в течение нескольких минут.
  • Работа без подключения и с подключением к интернету.
  • Гибкая модель с несколькими уровнями схожести, что позволяет обнаруживать чистые и вредоносные файлы.
  • Устойчивая технология: математическая модель обновляется с помощью машинного обучения и постоянно пересматривается экспертами. Использование технологии SmartHash приводит к минимуму ложных срабатываний и высокому уровню обнаружения.

SmartHash онлайн также помогает свести к минимуму ложные срабатывания. Значение SmartHash, вычисленное на стороне клиента, можно сравнить с миллиардами известных чистых файлов в базе данных "Лаборатории Касперского" посредством глобальной сети Kaspersky Security Network.

"Лаборатория Касперского" использует машинное обучение для повышения качества обнаружения существующих технологий сканирования. Машинное обучение развертывается для автоматического анализа журналов запуска во внутренних песочницах. Во внутренних поведенческих системах-песочницах запускаются как известные вредоносные файлы, так и неизвестные файлы. Некоторые из этих песочниц имитируют пользовательские системы, на которых запущены стандартные продукты. Наиболее мощные песочницы используют возможности выборочного протоколирования, позволяя очень тонко настраивать обнаружение.

Роботы обрабатывают журналы песочниц по одной строке. Журналы выполнения с записями от новых вредоносных образцов изучаются с помощью машинного обучения, чтобы найти новые индикаторы обнаружения. Эти новые индикаторы обогащают математические модели методов обнаружения, не основанных на сигнатурах, равно как и эвристические поведенческие записи, создаваемые экспертами "Лаборатории Касперского".

Обработка сжатых исполняемых файлов и архивов

Kaspersky Scan Engine включает в себя технологию, позволяющую обнаруживать вирусы и другие объекты внутри сжатых исполняемых файлов и архивов. С помощью этой технологии можно безопасно вылечить или удалить инфицированные архивы и сжатые исполняемые файлы.

Kaspersky Scan Engine поддерживает примерно 4000 различных форматов сжатых исполняемых файлов и архивов.

Лечение архивов

Эта технология предназначена для лечения архивов. С помощью этой технологии успешно вылечиваются или удаляются инфицированные объекты внутри архивов (в зависимости от пользовательских настроек). Вам не нужно использовать другие архиваторы.

В настоящее время Kaspersky Anti-Virus Engine удаляет вирусы из архивов следующих форматов: ARJ, CAB, RAR и ZIP.

Kaspersky Security Network

Kaspersky Security Network (KSN) – это инфраструктура облачных служб, которая обеспечивает доступ к онлайновой базе знаний "Лаборатории Касперского", содержащей информацию о репутации файлов, веб-ресурсов и программ. Использование данных из Kaspersky Security Network обеспечивает более быстрое реагирование на угрозы, улучшает производительность некоторых компонентов защиты и уменьшает вероятность ложных срабатываний.

"Лаборатория Касперского" располагает серверы KSN в вычислительных центрах по всему миру, тем самым обеспечивая минимальное время отклика для облачных проверок. База данных KSN содержит терабайты информации; она постоянно обновляется аналитиками по безопасности, а также автоматическими методами.

При использовании KSN вы передаете в "Лабораторию Касперского" информацию об установленной копии Kaspersky Scan Engine и обнаруженных объектах. Эта информация не содержит персональной или конфиденциальной информации пользователя. "Лаборатория Касперского" защищает полученную информацию в соответствии с требованиями законодательства. Смотрите также полный список данных, которые передаются в "Лабораторию Касперского" при проверке репутации файлов и URL-адресов.

Kaspersky Scan Engine соответствует требованиям Общего регламента по защите данных (GDPR).

Обнаружение вредоносных и фишинговых URL-адресов

В Kaspersky Scan Engine входит автономная база данных вредоносных и фишинговых URL-адресов. Кроме того, вы можете проверять репутации сканируемых URL-адресов в Kaspersky Security Network.

Профессиональные услуги «Лаборатории Касперского»
Внедрение продуктов. Аудит и конфигурирование системы защиты. Свяжитесь с нами и получите помощь экспертов.
Расширенная техническая поддержка (MSA) — приоритетная обработка инцидентов
Поддержка по телефону или через веб‑портал. Быстрое реагирование, мониторинг и проверка. Подайте заявку и активируйте контракт.
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!