Komputery ze współczesnym światem

Podpis zawiera analizator heurystyczny li. Uwaga: wirusy komputerowe

Program antywirusowy wyszukuje wirusy i szkodliwe obiekty na podstawie porównania badanego programu z bazą danych zawierającą opisy wirusów. Po wykryciu dopasowania program antywirusowy może wyleczyć znalezionego wirusa, a zasady i metody leczenia są zwykle przechowywane w tej samej bazie danych.

Jednak ta baza danych staje się luką w zabezpieczeniach programu antywirusowego - może on wykrywać tylko wirusy opisane w jego bazie danych. Problem ten można częściowo wyeliminować analizatorem heurystycznym – specjalnym podsystemem antywirusowym, który próbuje wykryć nowe typy wirusów, które nie są opisane w bazie danych. Oprócz wirusów analizator heurystyczny AVZ próbuje wykryć oprogramowanie szpiegujące, porywacze i trojany.

Praca analizatora heurystycznego opiera się na wyszukiwaniu wirusów i programy szpiegujące funkcje (fragmenty kodu programu, niektóre klucze rejestru, pliki i procesy). Dodatkowo analizator heurystyczny stara się ocenić stopień podobieństwa badanego obiektu do znanych wirusów.

Do wyszukiwania programów szpiegujących, RootKit i Hijacker najskuteczniejszą analizą heurystyczną nie są pojedyncze pliki na dysku, ale cały system jako całość. Analizuje całość danych w rejestrze, pliki na dysku, procesy i biblioteki w pamięci, nasłuchujące porty TCP i UDP, aktywne usługi i załadowane sterowniki.

Cechą analizy heurystycznej jest dość wysoki odsetek błędów - heurystyka może zgłosić wykrycie podejrzanych obiektów, ale informacja ta musi zostać zweryfikowana przez specjalistów wirusologów. W wyniku skanowania obiekt zostaje rozpoznany jako szkodliwy i umieszczony w bazie danych lub zostaje odnotowany wynik fałszywie pozytywny i wprowadzona zostaje poprawka do algorytmów analizatora heurystycznego.

Większość programów antywirusowych (w tym AVZ) ma możliwość dostosowania czułości analizatora heurystycznego. W tym przypadku zawsze pojawia się sprzeczność – im wyższa czułość, tym większe prawdopodobieństwo, że heurystyka wykryje nieznany szkodliwy obiekt. Ale wraz ze wzrostem czułości wzrasta prawdopodobieństwo fałszywych alarmów, dlatego trzeba szukać jakiegoś „złotego środka”.

Analizator heurystyczny ma kilka poziomów czułości i dwa specjalne tryby:

blokowanie analizatora heurystycznego. W takim przypadku analizator jest całkowicie wyłączony. W AVZ oprócz regulacji poziomu czułości analizatora heurystycznego możliwe jest włączanie i wyłączanie analizy heurystycznej systemu;

tryb „paranoiczny” – w tym trybie włączana jest maksymalna możliwa czułość i przy najmniejszym podejrzeniu wyświetlane są ostrzeżenia. Tryb ten jest oczywiście niedopuszczalny ze względu na bardzo dużą liczbę fałszywych alarmów, ale czasami jest przydatny.

Główne komunikaty analizatora heurystycznego AVZ przedstawiono na poniższej liście:

"Nazwa pliku >>> podejrzenie nazwa_wirusa (krótkie dane o obiekcie)" Podobny komunikat jest wyświetlany w przypadku wykrycia obiektu, który według AVZ jest podobny do znanego szkodliwego obiektu. Dane w nawiasach pozwalają programiście znaleźć wpis w antywirusowej bazie danych, który doprowadził do wygenerowania tego komunikatu;

"Nazwa pliku >>> Plik PE z niestandardowym rozszerzeniem" - oznacza to, że wykryto plik programu, ale zamiast typowego Rozszerzenia EXE, DLL, SYS ma inne, niestandardowe rozszerzenie. Nie jest to niebezpieczne, ale wiele wirusów maskuje swoje pliki PE, nadając im rozszerzenia PIF, COM. Komunikat ten jest wyświetlany na dowolnym poziomie heurystyki dla plików PE z rozszerzeniem PIF, COM, dla pozostałych - tylko na maksymalnym poziomie heurystyki;

"Nazwa pliku >>> Nazwa pliku zawiera więcej niż 5 spacji" - wiele spacji w nazwie pliku jest rzadkich, ale wiele wirusów używa spacji, aby ukryć prawdziwe rozszerzenie, tworząc pliki o nazwach takich jak „photo.jpeg .exe”;

"Nazwa pliku >>> Wykryto maskowanie rozszerzenia" - podobny do poprzedniego komunikatu, ale wydawany w przypadku wykrycia w nazwie więcej niż 15 spacji;

"Nazwa pliku >>> plik nie ma widocznej nazwy" - wydawany dla plików, które nie mają nazwy (tj. nazwa pliku to „.exe” lub „.pif”);

"Process Filename może współpracować z siecią" - wyświetla się dla procesów korzystających z bibliotek typu wininet.dll, rasapi32.dll, ws2_32.dll - czyli bibliotek systemowych zawierających funkcje umożliwiające pracę z siecią lub sterowanie procesem wybierania numeru i nawiązywania połączenia. Ta kontrola odbywa się tylko na maksymalnym poziomie heurystyki. Fakt wykorzystania bibliotek sieciowych nie jest oczywiście oznaką, że program jest złośliwy, jednak warto zwrócić uwagę na niezrozumiałe procesy znajdujące się na tej liście;

Po komunikacie może zostać wyświetlona liczba określająca stopień zagrożenia w procentach. Szczególną uwagę należy zwrócić na pliki, dla których wydano stopień zagrożenia większy niż 30.

Zmiany warunków i celów rozwoju podmiotów gospodarczych, zdeterminowane współczesną sytuacją gospodarczą i wyzwaniami czasu, mają zasadniczy wpływ na sposoby uzasadniania decyzji zarządczych, organizację procesów zarządczych oraz metody oceny efektywności decyzji .

Biorąc pod uwagę, że „metoda analizy ekonomicznej jest rozumiana jako dialektyczny sposób podejścia do badania procesów gospodarczych w ich powstawaniu i rozwoju”, zmiany w cyklach życia produktów, strukturach technologicznych, rodzajach działalności gospodarczej oraz głębokość zachodzących przemian wymagają znaczących reform metod analizy ekonomicznej.

Mając na uwadze potrzebę jasnego określenia swoich przewag konkurencyjnych i utrwalenia ich na długi okres, organizacje zwracają szczególną uwagę na strategie rozwoju, formułując wytyczne strategiczne (np.: budowanie pozycji lidera na rynku, zapewnienie lojalności klientów, zwiększanie społecznego znaczenia firmy). organizacja), które mają wyraźne cechy jakościowe. Ich parametry ilościowe są często bardzo arbitralne i nie można ich bezpośrednio ocenić.

Analiza i uzasadnienie tendencji zmian tych grup wskaźników wymaga istotnej zmiany nawet w tak tradycyjnych metodach analizy, jak porównanie, uszczegółowienie, grupowanie itp., jednak coraz częściej wiąże się z zastosowaniem innych metod analizy, często czysto logicznych.

Na rozwój metod analizy ekonomicznej szczególny wpływ miała możliwość wielu rozwiązań, z których każde jest irracjonalne, a czasem niemożliwe do szczegółowego obliczenia. To zdeterminowało przyspieszone stosowanie nowych metod rachunkowości. Zatem np. do długoterminowej analizy strategicznej znacznie skuteczniejsze jest zastosowanie marginalnej metody kalkulacji kosztów, która pomimo wszystkich swoich konwencji pozwala na stworzenie optymalnego asortymentu produktów. Rozliczanie i analiza kosztów pełnych poszczególnych rodzajów produktów przeprowadzana jest wyłącznie dla pozycji asortymentowych ujętych w planie produkcji.

Ponieważ w warunkach innowacyjnego rozwoju wszystkie etapy cyklu reprodukcyjnego ulegają znacznej intensyfikacji, często pojawia się potrzeba zapewnienia równoległej realizacji poszczególnych jego etapów. Wielu autorów skupia się na ocenie zachowania poszczególnych wskaźników na różnych etapach cyklu reprodukcyjnego, podkreślając wskaźniki wyprzedzające. Jest to typowe przede wszystkim dla pracy zorientowanej na zarządzanie przy tworzeniu paneli wskaźników rozwoju. Jednak takie podejście do klasyfikacji wskaźników staje się coraz bardziej powszechne.

Aby zobiektywizować ocenę możliwości rozwoju organizacji i określić jej potencjał produkcyjny, ekonomiczny i finansowy, ważne jest, aby dopasować zmiany wskaźników do etapów cyklu reprodukcyjnego: wzrost - w okresie rekonwalescencji; zmniejszyć lub zwiększyć - podczas recesji; stabilność - w okresach stagnacji itp. Pod tym względem wyróżnia się wskaźniki procykliczne, antycykliczne i acykliczne, których dynamika jest praktycznie niezwiązana z cyklem reprodukcyjnym.

Komplikacja klasyfikacji systemu wskaźników polega na logicznym rozwoju i wyjaśnieniu tradycyjnych metod analizy.

Tym samym, przy stosowaniu metody porównawczej, coraz ważniejsze staje się porównywanie podstawowych charakterystyk finansowych i ekonomicznych w długim okresie, gdyż pozwala to na identyfikację wahań cyklicznych charakterystycznych dla różnych typów procesów biznesowych. W analizie horyzontalnej wykorzystuje się jakościowe porównanie źródeł pozyskiwania środków finansowych oraz zmian w poszczególnych grupach aktywów organizacji, tj. połączenie analizy poziomej i pionowej.

Wraz z dalszym rozwojem analizy ekonomicznej istotna staje się klasyfikacja wskaźników ze względu na ich rolę w podejmowaniu i uzasadnianiu decyzji różnych klas i poziomów. W tym zakresie dla każdej decyzji identyfikowany jest wskaźnik docelowy, czynniki determinujące jej poziom oraz, co jest szczególnie istotne dla obiektywności podejmowanych decyzji, ograniczenia, w ramach których podejmowane są decyzje.

Nadal dominują deterministyczne metody analizy, w tym silniowe, ale jednocześnie są aktywnie uzupełniane metodami wydłużania i rozszerzania cech, co wiąże się z uszczegóławianiem wskaźników czynnikowych z uwzględnieniem ich istotności.

W analizie czynnikowej konieczne jest zidentyfikowanie powiązań pomiędzy zmianami wskaźników czynnikowych a potrzebą najlepiej wykorzystać istniejących zasobów lub wprowadzenia nowych, a to wymaga dodatkowego finansowania. W tym celu tę grupę wskaźników podzielono na czynniki ekstensywnego i intensywnego wzrostu, co jest szczególnie ważne przy ocenie siły finansowej organizacji i ocenie jej potencjału ekonomicznego.

Zatem w nowoczesne warunki Profesjonalny osąd analityka nabiera coraz większego znaczenia przy stawianiu problemów i wyborze metod analizy ekonomicznej.

Stopniowo coraz częściej stosowane są metody logicznej analizy heurystycznej, oparte na profesjonalnym osądzie, doświadczeniu i intuicji specjalistów, ich indywidualnych lub zbiorowych wnioskach. Wśród nich można wyróżnić metody analizy ewaluatywnej i ewaluacyjno-poszukiwawczej (ryc. 2.2)

Ryż. 2.2.

Metody heurystyczne znajdują szerokie zastosowanie w zarządzaniu personelem, zarządzaniu organizacją i selekcji zachowań organizacyjnych.

Warunki, które przesądzają o konieczności stosowania metod heurystycznych:

  • o jakościowy charakter informacji wyjściowych, opisywany za pomocą parametrów ekonomicznych i społecznych, brak wystarczająco reprezentatywnych i wiarygodnych informacji o charakterystyce obiektu badań;
  • o duża niepewność danych wyjściowych do analizy;
  • o brak jasnego opisu merytorycznego i sformalizowania matematycznego przedmiotu oceny;
  • o niewłaściwość i brak czasu i środków na badania wykorzystujące modele formalne na pierwszych etapach uzasadniania decyzji zarządczych;
  • o nieobecność środki techniczne z odpowiednimi charakterystykami do modelowania analitycznego;
  • o skrajność analizowanej sytuacji.

Heurystyczne metody analizy stanowią szczególną grupę technik gromadzenia i przetwarzania informacji, opierającą się na profesjonalnej ocenie grupy specjalistów. Często nazywa się je kreatywnymi.

Podstawą stosowania metod heurystycznych są eksperckie oceny rozpatrywanych procesów, operacji i wyników.

Metody analizy eksperckiej to metody organizacji pracy z ekspertami i przetwarzania ich opinii. Rozwiązanie wielu problemów analitycznych wymaga posiadania niezależnej opinii, tj. przyciąganie ekspertów. Informacji uzyskanych od ekspertów nie można uważać za gotowe do wykorzystania, należy je przetworzyć, a dopiero potem wykorzystać do podejmowania decyzji zarządczych.

Organizując pracę ekspertów, konieczne jest:

  • - wybrać wykwalifikowanych ekspertów;
  • - przeprowadzić wywiady z ekspertami i uzyskać informacje interesujące analityka;
  • - określić metody przetwarzania i interpretacji informacji otrzymywanych od ekspertów.

Przy wyborze ekspertów należy wziąć pod uwagę ich kompetencje i umiejętności zawodowe w zakresie badanej działalności, zdolność twórczego myślenia oraz umiejętność pracy w grupie (w przypadku zaangażowania kilku ekspertów).

Rekrutując ekspertów, warto kierować się następującymi wymaganiami:

  • o wysoki poziom erudycji ogólnej;
  • o posiadanie specjalna wiedza na analizowanym obszarze;
  • o obecność pewnego doświadczenia praktycznego i (lub) badawczego w zakresie rozważanego problemu;
  • o umiejętność właściwej oceny kierunków rozwoju badanego obiektu;
  • o brak uprzedzeń, zainteresowanie konkretnym wynikiem oceny.

W takim przypadku członkowie grupy mogą mieć tę samą wartość lub mieć różne stopnie, co jest brane pod uwagę przy losowaniu wyników egzaminu.

Metoda komisji eksperckiej polega na opracowaniu jednej zbiorowej opinii przez specjalnie wybranych ekspertów podczas omawiania postawionego problemu i możliwości jego rozwiązania w wyniku pewnych kompromisów.

Przy zastosowaniu metody komisji eksperckiej dochodzi nie tylko do statystycznego opracowania wyników indywidualnej punktacji wszystkich ekspertów, ale także do wymiany opinii na temat wyników badania i doprecyzowania ocen. Wadą jest silny wpływ autorytetów na opinię większości uczestników egzaminu.

Wnioski uzyskane z analizy opartej na metodach heurystycznych mają podstawę logiczną i mogą przybrać formę: oceny bezpośredniej (przydatne, szkodliwe, akceptowalne, niedopuszczalne); zdefiniowanie założeń, tj. wybór rozwiązań priorytetowych lub najskuteczniejszych (można to zidentyfikować poprzez ranking założeń, ich punktację itp.); wybór konkretnych wydarzeń dla rozwoju konkurencyjnego. Dość często w gronie ekspertów znajdują się profesjonalni konsultanci – profesjonaliści w analizowanej dziedzinie.

W zależności od celów i zainteresowań grupa ekspertów może być jednorodna lub składać się z przedstawicieli różnych grup specjalistów, a czasami po prostu zainteresowanych. Przykładowo, opracowując rozwiązanie techniczne na pierwszym etapie, do grona ekspertów zaliczani są wyłącznie specjaliści o odpowiednim profilu. Tworząc grupę ekspertów do analizy rozwoju technologicznego, w jej skład wchodzą: technolodzy, którzy potrafią w sposób profesjonalny ocenić nowatorstwo techniczne rozwiązania; ekonomiści oceniający skuteczność decyzji; mechaników, którzy potrafią ocenić wykonalność wdrożenia Nowa technologia na istniejącej bazie produkcyjnej; pracownicy są wdrażającymi nowe technologie.

Dokonując oceny jakości produktów i zapotrzebowania na nie, w skład grona ekspertów wchodzą nie tylko znawcy towarów, ale także producenci i konsumenci produktów.

W praktyce wykształciły się dość złożone sposoby tworzenia grupy ekspertów:

  • o według kryteriów formalnych – biorąc pod uwagę specjalizację, doświadczenie zawodowe, długość pobytu w tym samym zespole, a także oceny psychologiczne jednostki według służby socjologicznej organizacji (jeśli występuje), np. zdolność do myśleć twórczo, konstruktywnie, itp.;
  • o na podstawie samooceny osoby uzyskanej w trakcie ankiety – przyszły ekspert sam ocenia swoje możliwości, w tym kwalifikacje, myślenie analityczne i konstruktywne, umiejętność przystosowania się do określonych sytuacji itp. Uzupełnia ją specjalna psychologiczna selekcja ekspertów, mająca na celu określenie poziomu ich samooceny – zaniżonej, zawyżonej lub adekwatnej;
  • o na podstawie oceny osób powiązanych z wnioskodawcą – walory zawodowe i osobiste specjalisty oceniają specjaliści o podobnym profilu, konsumenci usług, pracownicy realizujący decyzje eksperta;
  • o poprzez dobór losowy (pobieranie próbek), jeżeli wiele osób (na przykład konsumenci produktów i usług) może pełnić rolę ekspertów.

Dość często, analizując działalność podmiotu gospodarczego, w gronie ekspertów znajdują się menedżerowie różnych szczebli oraz pracownicy. Tak na przykład tworzy się grono ekspertów przy wyborze strategii rozwoju produkcji, zmianie systemu motywacyjnego, reformowaniu rachunkowości i raportowania, restrukturyzacji struktur organizacyjnych.

Zatem przy wyborze ekspertów powszechnie stosuje się zarówno metody formalne, jak i psychologiczne, a metody heurystyczne często nazywane są psychologicznymi.

Podczas wywiadów z ekspertami można stosować metody indywidualne i grupowe. Podczas badania indywidualnego praca z każdym ekspertem prowadzona jest odrębnie, co pozwala ekspertowi na wyrażenie swojej opinii niezależnie od innych. Podczas badania grupowego eksperci pracują w grupach, koordynują swoje opinie i wypracowują wspólne wnioski eksperckie w oparciu o wspólne stanowisko. Metody grupowe są preferowane ze względu na zwiększenie wiarygodności badania, ale są bardziej złożone.

Informacje uzyskane w trakcie badania eksperckiego muszą zostać przetworzone specjalnymi lub tradycyjnymi metodami analizy, po czym mogą zostać wykorzystane do podejmowania decyzji zarządczych.

Istnieje wiele sposobów uzyskania ocen eksperckich: metody Delphi, pytania kontrolne, oceny ryzyka, scenariusze, gry biznesowe, analiza SWOT, analiza kosztów funkcjonalnych (FCA) itp.

Metoda Delphi to korespondencyjne i anonimowe badanie grupy eksperckiej (5-10 osób) w kilku rundach z koordynacją ekspertyz. Każdy ekspert otrzymuje określone zadanie, np. określenie kierunku rozwoju przedsiębiorstwa. Eksperci wypełniają ankiety dotyczące badanego problemu. Uczestnicy badania informowani są o wynikach każdej rundy pośredniej badania w formie uśrednionych wartości statystycznych. Po otrzymaniu odpowiedzi od ekspertów mogą wystąpić różne sytuacje:

  • a) wszyscy eksperci wyrazili tę samą opinię;
  • b) opinia ekspertów jest podzielona.

W pierwszym przypadku opinia biegłego jest akceptowana w wyniku rozwiązania problemu, w drugim proces badania będzie kontynuowany.

Metoda pytań kontrolnych polega na poszukiwaniu rozwiązania analitycznego przy pomocy specjalnie przygotowanej listy (listy) pytań wiodących. Zaletą tej metody jest jej prostota i wszechstronność. Pytania testowe zestawiane są w oparciu o doświadczenia z już rozwiązanymi problemami, co zapewnia skuteczność metody.

Stosowanie metody pytania zabezpieczającego odbywa się w kilku etapach:

  • 1) formułuje się zadanie, przy rozwiązywaniu którego zostaną wykorzystane pytania kontrolne;
  • 2) sporządza się listę pytań kontrolnych najbardziej adekwatnych do charakteru rozwiązywanego problemu i każde z nich jest rozpatrywane w celu wykorzystania zawartych w niej informacji do rozwiązania problemu;
  • 3) rozważone zostaną wszystkie pomysły, które można wykorzystać do rozwiązania problemu;
  • 4) wybiera się pomysły, które można wykorzystać do rozwiązania problemu i opracowuje się program działań.

Zazwyczaj analitycy korzystają z tabeli zawierającej w każdym wierszu pytanie (parametr) i opcje odpowiedzi (wartości parametrów) dla określonego aspektu analizy. Odpowiadając na zadane pytania, analityk zapisuje w kolumnie odpowiadającej jego wnioskom notatkę. Tabela z reguły jest skonstruowana w taki sposób, że notatki w kolumnach po lewej stronie pokazują słabe strony przedmiotu badań, a po prawej - mocne strony lub specjalne możliwości. Regularne korzystanie z takich tabel pozwala określić tendencje zmian przedmiotu analizy w czasie i porównać jego położenie w stosunku do innych obiektów analizy.

Kwestionariusze znacznie skracają czas potrzebny na przeprowadzenie analizy i zmniejszają zależność jej wyników od poziomu umiejętności analityka. Stosując tę ​​metodę, uzyskuje się bardziej poprawne wyniki niż w przypadku punktacji, co tłumaczy się następującymi okolicznościami. Zamiast przydzielać punkty, ekspert wybiera stwierdzenie, które najdobitniej charakteryzuje przedmiot oceny. Odpowiedzi można przedstawić za pomocą danych ilościowych, np. odzwierciedlających wiek pracownika, scharakteryzować tendencję zmian jakiegoś parametru (wzrost, spadek), wystawić ocenę („doskonały”, „dostateczny” itp.).

Wybór przez porównanie jest z reguły dokładniejszy niż pomiar bezpośredni, gdy w konkretnej sytuacji każdy ekspert ma własną koncepcję optymalnego stanu szacowanych parametrów.

Doświadczenie pokazało, że nie można w pierwszej kolejności stworzyć prawidłowych kwestionariuszy. Analitycy muszą być przygotowani na to, że dopiero po wielokrotnych badaniach i wnikliwej analizie wyników ocen i dokumentów analitycznych możliwe będzie stworzenie metod zawierających nie tylko uniwersalne początkowe wykazy słowników, ale także wysokospecjalistyczne kwestionariusze dla określonych kategorii pracowników o podobnych zadania, które odzwierciedlają istotę relacji i działań ludzi.

Metoda scenariuszowa to zbiór technik i procedur przygotowania i wdrożenia dowolnych decyzji biznesowych. Metodę tę stosuje się przede wszystkim do prognozowania eksperckiego. Przydaje się przy wyborze celów organizacji i prognozowaniu, gdy organizacja nie jest usatysfakcjonowana obecną sytuacją i istnieje potrzeba rozszerzenia działalności.

Scenariusz opracowywany jest przez grupę specjalistów organizacji i zawiera opis sekwencji kroków prowadzących do przewidywanego stanu organizacji, a także czynników i zdarzeń mających decydujący wpływ na ten proces. Punktem wyjścia do opracowania scenariusza jest trafna ocena aktualnej sytuacji organizacji, przeprowadzona na podstawie retrospektywnej analizy działań. Taka ocena prowadzi do zrozumienia dynamiki wpływu czynników na procesy produkcyjne oraz tego, które czynniki zapewniają wzrost aktywności, a które jej spadek. W przypadku niekontrolowanych czynników rozwoju należy dokonać specjalnych ocen.

Etapy tworzenia scenariusza:

  • 1) określenie systemu wskaźników, na podstawie którego zostanie utworzony scenariusz rozwoju organizacji;
  • 2) identyfikacja czynników determinujących rozwój organizacji;
  • 3) identyfikacja trendów rozwojowych;
  • 4) opracowanie alternatywnych scenariuszy rozwoju i wybór głównego wariantu rozwoju.

Gry biznesowe. Najpowszechniejszą formą gry biznesowej jest modelowanie analizowanych procesów i przyszły rozwój przewidywanego zjawiska w różnych wersjach oraz uwzględnienie uzyskanych danych. Gry biznesowe wykorzystywane są zarówno w procesie edukacyjnym, jak i produkcyjnym. Gry organizowane w grupach organizacji nazywane są grami organizacyjno-aktywnymi (grami organizacyjnymi). W pewnej formie zawierają one ideologię metod i scenariuszy delfickich.

Wszyscy uczestnicy gry podzieleni są na grupy, każda grupa proszona jest o napisanie scenariusza rozwoju wydarzeń w organizacji. Grupą kieruje ekspert, którego zadaniem jest czuwanie nad tym, aby członkowie grupy nie odeszli od ustalonego zadania. Następnego dnia odbywa się konferencja, na której przedstawiciel każdej grupy dokonuje prezentacji odzwierciedlającej przedstawioną przez grupę wizję rozwoju organizacji. Członkowie innych grup aktywnie uczestniczą w dyskusji nad raportem i starają się przekonać innych, że ich punkt widzenia jest bardziej konkretny i przekonujący. Na koniec dyrektor gry oraz eksperci podsumowują wyniki konferencji i zwracają uwagę zespołu na brak konsensusu w poruszanych kwestiach. Grupy rozchodzą się i przygotowują nowy scenariusz. Następnego dnia ponownie odbywa się konferencja, na której przedstawiane są nowe raporty. Eksperci muszą poprowadzić uczestników, aby wspólnie osiągnęli swoje cele. Kiedy objawia się to na konferencjach, np. Większość raportów wyraża jedność zdań, uczestnicy gry przestają pracować w grupach i jako jeden zespół opracowują wspólny scenariusz. W wyniku gry następuje jedność zespołu, która może stanowić podstawę udanych działań.

Aby zapewnić trafność oceny ryzyka, dopuszcza się maksymalny rozrzut ich oceny, tj. zapewnia bardziej rygorystyczne podejście do spójności opinii ekspertów.

Jedną z najpowszechniejszych metod heurystycznych jest metoda analogii, gdy grupa ekspertów rozważa możliwą metodę rozwiązania problemu lub szuka przyczyny zaistniałej sytuacji, opierając się na przeszłych doświadczeniach własnych lub podobnych podmiotów gospodarczych. W takim przypadku eksperci analizują swoje doświadczenia i sytuacje, z którymi się zetknęli, i na tej podstawie proponują sposoby rozwiązania problemu, odkrywając przyczyny obecnej sytuacji i sposoby ich wyeliminowania.

Oczywiście w tym przypadku bardzo pomocne jest wykorzystanie materiałów opisujących podobne sytuacje w różnych okresach i na różnych obiektach. Można je pozyskać z czasopism, literatury naukowej, a także z protokołów posiedzeń założycieli, zarządu, posiedzeń wydziałów i wyspecjalizowanych grup działających w organizacji. Z tego punktu widzenia istotny jest bank sytuacji analizowanych i podsumowywanych przez wyspecjalizowane firmy doradcze. Takie banki danych powstały w wielu firmach doradczych na całym świecie. Warto zaznaczyć, że pierwsze kroki w tworzeniu podobnych materiałów podjęto już w latach 80. XX wieku. w firmach konsultingowych w ZSRR. Obecnie prace te są kontynuowane w Stowarzyszeniu Konsultantów Naukowych Rosji i firmach konsultingowych.

W przypadku, gdy eksperci otrzymują materiały z sytuacji rozwijających się w innych obiektach, ich zadaniem jest wyselekcjonowanie takich, które w zasadzie są podobne do rozwiązywanej, tj. Ocenia się podobieństwo przedmiotu, sytuacji i celów, jakim ma służyć analiza. Po takiej selekcji określa się możliwość wykorzystania doświadczenia w rozwiązaniu problemu oraz gotowość obiektu do wdrożenia określonych działań: stan zaplecza produkcyjno-technicznego, kwalifikacje personelu, dostępność środków finansowych i możliwość ich pozyskania, okres rozwiązania problemu itp.

Metoda analogii pozwala jedynie na wyznaczenie głównych kierunków analizy ekonomicznej i na kolejnych etapach wymaga bardziej pogłębionej analizy z wykorzystaniem metod ilościowych. Wstępne zastosowanie takiej metody uniemożliwia jednak nieuzasadnioną szczegółową analizę w kierunku nie ujawniającym głównych przyczyn obecnej sytuacji. Metodę analogii często nazywa się synektyczną.

Grupa metod wykorzystujących kryteria oceny obejmuje ocenę celu, sieć, typologię i siatki repertuarowe.

Ocena celu - ocena obiektów analizy według określonych kryteriów (elementów systemu docelowego). Podczas korzystania z niego:

  • o wybierane są kryteria (elementy systemu docelowego) do oceny alternatyw;
  • o wszystkim opcjom decyzyjnym dla każdego kryterium przypisana jest ranga preferencji (liczba porządkowa dopuszczalności);
  • o dla każdej alternatywy obliczana jest łączna ranga dla wszystkich kryteriów;
  • o opcje są uszeregowane według łącznej rangi.

Metodą wielokryterialnego porównywania alternatyw jest graficzna ilościowo-jakościowa metoda „pajęczyny”. Można ją stosować wszędzie tam, gdzie celowa jest ocena obiektów analizy przy użyciu różnorodnych kryteriów ilościowych i jakościowych. Główną zaletą tej metody jest wizualizacja wyników analiz, co jest szczególnie cenne w przypadku prezentacji materiałów badawczych nie wąskim specjalistom, ale menedżerom.

Heurystyczne metody analizy, które obejmują zarówno generowanie opcji rozwiązań analitycznych, jak i ich ocenę, obejmują: burzę mózgów (burzę mózgów), komisje i konferencje, bank pomysłów, notatnik zbiorczy, aktywną analizę i kontrolę testowaną socjologicznie, analizę funkcjonalno-kosztową , gry biznesowe itp.

Metoda burzy mózgów może być bardzo skuteczna w analizie szczególnie złożonych sytuacji. Burza mózgów to swobodne generowanie pomysłów wyrażanych w grupie zainteresowanych ekspertów. Z reguły skuteczna burza mózgów trwa dość krótko (nie dłużej niż godzina). Mogą w nim wziąć udział nie tylko wysoko wykwalifikowani specjaliści, ale także młodzi ludzie, którzy mogą zaproponować nieoczekiwane, nietuzinkowe propozycje. Aby jednak wyniki burzy mózgów mogły zostać faktycznie wykorzystane, ważne jest, aby decydenci wzięli w niej udział. W takim przypadku, po usystematyzowaniu propozycji uczestników, część z nich można natychmiast odrzucić jako idealne, a resztę można omówić bardziej szczegółowo ze specjalistami o odpowiednim profilu.

Selekcja pomysłów odbywa się stopniowo. Na pierwszym etapie nie odrzuca się żadnego z nich i z reguły nie dokonuje się żadnych ocen. Następnie pomysły są oceniane pod kątem poziomu opracowania, czasu i kosztów wdrożenia, efektywności itp. Na drugim etapie analizy można zastosować jedną lub więcej z omówionych wcześniej metod oceny i wyboru rozwiązań. Burza mózgów może być integralną częścią pracy analitycznej, zwłaszcza w przypadku analiz wybiegających w przyszłość.

Burza mózgów to sposób na znalezienie nowych rozwiązań sytuacji problemowej. Polega ona na rozdzieleniu w czasie procesu poszukiwania pomysłów i ich oceny. Jest to stosunkowo szybka i ekonomiczna metoda analizy, mająca na celu rozwiązanie trudności i sprzeczności, jakie napotkała lub może napotkać kadra zarządzająca w najbliższej przyszłości, a także wyeliminowanie wąskich gardeł hamujących rozwój systemu zarządzania. Metoda jest skuteczna w rozwiązywaniu nietradycyjnych problemów poszukiwań strategicznych. Burzę mózgów należy zorganizować, gdy problem nie nadaje się do tradycyjnego rozwiązania. Przede wszystkim mówimy o polityce strukturalnej, ulepszającej istniejące sposoby pracy.

Metoda komisji i konferencji jest najczęstszą formą pracy grupowej, podczas której swobodnie zgłaszane i krytykowane są pomysły. Opiera się głównie na nawyku krytycznej oceny nowych i niedostatecznie uzasadnionych pomysłów, nabytym w procesie licznych spotkań i dyskusji. Wadą tej metody jest to, że analitycy w swoich ocenach początkowo skupiają się na kompromisie, co zwiększa ryzyko uzyskania zniekształconych wyników analiz.

Metoda notatnika zbiorowego gwarantuje, że członkowie zespołu zgłaszają niezależne pomysły, a następnie oceniają propozycje. W tym celu każdy członek zespołu otrzymuje notatnik, w którym zarysowuje istotę analizowanego zagadnienia oraz dostarcza niezbędnych materiałów pomocniczych i referencyjnych (np. schematy obiegu dokumentów, opisy stanowisk pracy itp.).

Przez określony czas zapisują swoje analizy i sugestie w zeszytach, a na koniec oceniają swoje pomysły, podkreślając te najlepsze. Zeszyty przekazywane są koordynatorowi w celu sporządzenia notatki podsumowującej. Ocena grupowych alternatyw analitycznych przeprowadzana jest dowolną z omówionych wcześniej metod oceny.

Metoda notatnika zbiorowego jest wygodna w przypadkach, gdy nie ma możliwości zorganizowania długoterminowej wspólnej pracy lub przyciągnięcia doświadczonych konsultantów. Aby skorzystać z tej metody, konieczne jest posiadanie w zespole organizacji kreatywnie myślących, doświadczonych specjalistów.

Ta metoda pracy, podobnie jak bank pomysłów, polega na korzystaniu z kartoteki lub zautomatyzowanej bazy danych tworzonej w procesie zajęć praktycznych. W tych repozytoriach najwięcej ciekawe przykłady rozwiązywanie problemów. Obejmuje to zarówno opcje oryginalne, jak i typowe z oceną ich przydatności. Metoda może być przydatna w rozwiązywaniu problemów poszukiwawczych analizy bieżącej (częściej) i strategicznej (rzadziej).

Metoda aktywnej analizy i kontroli socjologicznej (MASTAC) polega na opracowaniu i zastosowaniu podręcznika zawierającego szczegółowe zalecenia dotyczące poprawy działań użytkowników tego materiału. Metoda zespołowego opracowywania podręcznika oparta na grze obejmuje kilka etapów:

  • 1) organizator ogłasza temat opracowania rekomendacji na podstawie wyników analizy, np.: „Struktura organizacyjna przedsiębiorstwa”;
  • 2) każdy członek grupy eksperckiej w ustalonym terminie formułuje zalecenia na określony temat, starając się je dopracować stylistycznie i przejrzyście;
  • 3) każdy ekspert po kolei podaje numer swojej rekomendacji (pierwsza, druga itd.) i głośno go odczytuje. Reszta zespołu ocenia tę rekomendację. System punktacji może być dowolny – od 7 do 10, ale ustalony wcześniej przez organizatora. Jeśli członkowie grupy oceniającej uznają rekomendację za niezwykle przydatną, przyznają jej jedną z najwyższych punktów, jeśli jest absurdalna, oznaczają zero punktów. Następnie kolejny programista czyta jego rekomendację. I tak dalej, aż wszystkie różne porady zostaną ogłoszone i ocenione. Organizator dba o to, aby wszyscy wykrzykiwali swoje numery i przestrzegano kolejności;
  • 4) koordynator zbiera wszystkie propozycje członków grupy, oblicza łączną punktację każdej rekomendacji, rozdziela propozycje na rubryki, umieszczając je w rubrykach w kolejności odpowiadającej zmniejszaniu się uzyskanych punktów. Rekomendacje, które w porównaniu z innymi propozycjami uzyskały niską liczbę punktów, są wyłączone z rozpatrywania.

Analiza SWOT zajmuje szczególne miejsce w metodach heurystycznych. Nazwa analizy składa się z pierwszych liter wyrażeń: siła – siła, słabość – słabość, szansa – szansa, zagrożenia – ryzyko i ograniczenia.

Metoda ta, będąca szczególnym rodzajem metod eksperckich, wykazała dużą skuteczność w opracowywaniu rozwiązań w układach, które charakteryzują się dynamiką, sterowalnością, zależnością od czynników wewnętrznych i zewnętrznych, cyklicznością itp.

Analiza SWOT to określenie mocnych i słabych stron organizacji, a także szans i zagrożeń płynących z jej otoczenia rynkowego (czynniki zewnętrzne). Składniki te oznaczają:

  • o mocne strony – zalety organizacji;
  • o słabości – wady organizacji;
  • o szanse – zewnętrzne czynniki środowiskowe, których wykorzystanie stworzy przewagę dla organizacji na rynku;
  • o zagrożenia – czynniki, które mogą potencjalnie pogorszyć pozycję organizacji na rynku.

Przeprowadzenie analizy SWOT sprowadza się do wypełnienia matrycy, której odpowiednie komórki odzwierciedlają mocne i słabe strony organizacji, a także szanse i zagrożenia rynkowe (rys. 2.3).

Etapy przeprowadzania analizy SWOT:

  • 1) wybiera się grupę specjalistów przedsiębiorstwa, którzy będą pełnić rolę ekspertów przy przeprowadzaniu analizy SWOT, oraz wyznacza lidera grupy;
  • 2) na posiedzeniu grupy ustalany jest system wskaźników, według których oceniany będzie każdy element analizy;
  • 3) przygotowywane są kwestionariusze służące do oceny wybranych wskaźników dla każdego elementu analizy;
  • 4) przeprowadza się ankietę wśród ekspertów i przedstawia ocenę każdego wskaźnika;
  • 5) oceny są ustalane dla każdego elementu analizy;
  • 6) na podstawie rankingu opracowywana jest strategia rozwoju organizacji.

Ryż. 2.3.

Wypełnienie matrycy to złożony proces wymagający wysoko wykwalifikowanych specjalistów. Dzieje się tak dlatego, że ten sam wskaźnik wydajności organizacji może być zarówno zagrożeniem, jak i szansą. Kiedy jednak matryca jest już skompletowana i wyrażona jest konsensus opinii ekspertów, organizacja posiada wystarczająco kompletne informacje o sytuacji, w której się znajduje, aby określić swoje perspektywy.

Aby matryca była bardziej obiektywna, podczas jej wypełniania należy scharakteryzować wszystkie aspekty działalności organizacji, w tym produkcyjne, finansowe, marketingowe, organizacyjne i inwestycyjne. Dzięki takiemu podejściu analiza SWOT pozwoli wybrać optymalną ścieżkę rozwoju organizacji, uniknąć zagrożeń i maksymalnie efektywnie wykorzystać dostępne zasoby.

Jak zauważono, w ostatnich latach dużą uwagę poświęcono zastosowaniu analizy kosztów funkcjonalnych (FCA) jako metody systematycznego badania funkcji obiektu (produktu, procesu, konstrukcji), mającej na celu minimalizację kosztów na wszystkich etapach koło życia przy zachowaniu (zwiększeniu) jakości i użyteczności przedmiotu dla konsumentów.

FSA osiąga największe rezultaty na etapie rozwoju produktu. Ale ten typ analizę można zastosować także wówczas, gdy produkt został już wprowadzony na rynek. Wynika to z konieczności wspierania konkurencyjności produktów i na tym etapie zastosowanie FSA pomaga poprawić jego charakterystykę kosztową.

FSA ma na celu wykrywanie, zapobieganie, ograniczanie lub eliminowanie niepotrzebnych kosztów. Osiąga się to poprzez kompleksowe badanie funkcji pełnionych przez obiekt i kosztów niezbędnych do ich realizacji. W takim przypadku zwykle podkreśla się:

  • o główne funkcje – zapewniają funkcjonalność obiektu;
  • o funkcje pomocnicze – przyczyniają się do realizacji funkcji głównych lub je uzupełniają;
  • o funkcje niepotrzebne – nie przyczyniają się do wykonywania podstawowych funkcji, a wręcz przeciwnie, pogarszają parametry techniczne lub ekonomiczne obiektu.

Identyfikacja funkcji wymaga wysokiego przygotowania zawodowego ekspertów, znajomości istoty badanego obiektu i technik analitycznych.

Praca ekspertów opiera się zazwyczaj na liście kontrolnej pytań.

Podczas przeprowadzania FSA zwyczajowo wyróżnia się kilka etapów: przygotowawczy, informacyjny, analityczny, kreatywny, badawczy, rekomendacyjny i wdrożeniowy.

Na pierwszych dwóch etapach przeprowadza się ogólne przygotowanie do przeprowadzenia FSA: wyjaśnia się przedmiot analizy; do rozwiązania zadania wybierana jest grupa kompetentnych specjalistów; gromadzone i podsumowywane są dane dotyczące badanego obiektu.

W kolejnych trzech etapach badany obiekt szczegółowo opisuje funkcje, ich klasyfikację oraz określa koszt każdej z nich; rozwiązywane są zadania łączenia funkcji, eliminowania niepotrzebnych funkcji, obniżania kosztów elementów obiektu i wybierania najbardziej realistycznych opcji pod względem ich realizacji.

Na dwóch ostatnich etapach przygotowywana jest cała niezbędna dokumentacja dla wybranego wariantu ulepszonego obiektu, określany jest jego efekt ekonomiczny oraz sporządzany jest raport z wyników KNF.

Najważniejszą rzeczą przy przeprowadzaniu FSA jest etap analityczny, na którym szczegółowo bada się funkcje obiektu (produktu) i analizuje możliwości obniżenia kosztów ich wdrożenia poprzez wyeliminowanie lub przebudowę (jeśli to możliwe) funkcji wtórnych i niepotrzebnych .

Obniżenie kosztów w wyniku przeprowadzenia FSA może mieć znaczący wpływ na zyski na wszystkich etapach rozwoju organizacji. Jeżeli założymy, że w wyniku FSA obniżono koszty produktu na etapie jego rozwoju, to wejdzie on na rynek z niższym kosztem.

Tym samym zastosowanie heurystycznych metod analizy umożliwia efektywne prowadzenie analiz bieżących i strategicznych w warunkach niestabilnego środowiska operacyjnego i wysokiego rozwoju innowacyjnego organizacji; dać wyważoną ocenę sytuacji majątkowej i finansowej organizacji oraz uzasadnić perspektywy jej rozwoju.

Zanim zaczniemy rozważać koncepcję „analizy heurystycznej”, konieczne jest zrozumienie, co oznacza samo słowo „heurystyka”. Aby to zrobić, musimy cofnąć się do historii, a mianowicie do starożytnej Grecji. Słowo „heurystyka” pochodzi od słowa „znaleźć” przetłumaczonego z języka greckiego. Najważniejsze jest to, że wszystkie rozwiązania problemów według tych metod opierają się na założeniach, które mogą być prawdziwe.

Nie charakteryzują się zastosowaniem ścisłych faktów i przesłanek.

Powyższe brzmi dość niejasno i prawdopodobnie niezrozumiało. Dlatego postaramy się zrozumieć, na czym polega analiza heurystyczna, na konkretnych przykładach. Więc.

W Internecie istnieje duża liczba wirusów, które mają bardzo podobne właściwości. Dlatego nowoczesne programy antywirusowe szukają plików, których sygnatury są bardzo podobne do kodu złośliwego oprogramowania. Pozwala to znacznie zmniejszyć rozmiar baz danych wykorzystywanych do wyszukiwania wirusów. Stosując analizę heurystyczną, producenci programów antywirusowych znacznie oszczędzają zasoby na komputerach, na których zainstalowane jest ich oprogramowanie. Możliwe staje się także znajdowanie nowych wirusów jeszcze przed aktualizacją sygnatur.

Następny przykład również jest związany z walką z wirusami. Jego logika kryje się w samej nazwie „malware”. Przy takim podejściu zakłada się, że wszystkie wirusy powodują taki czy inny skutek.Istnieje przybliżona lista działań, które analiza heurystyczna sprawdza przed podjęciem decyzji. To zapisywanie, usuwanie, zapisywanie do rejestru systemowego, odczytywanie kliknięć, otwieranie portów, wysyłanie spamu. Naturalnie, gdy wykonywana jest jedna czynność, nie jest to powód do paniki, ale gdy dzieją się one jednocześnie i w szczególnie szybkim tempie, są powody do myślenia. Główną zaletą tego procesu jest możliwość identyfikacji wirusów, nawet jeśli nie są one podobne do sygnatur znajdujących się już w bazie danych.

Kolejną branżą, w której wykorzystuje się analizę heurystyczną, jest ekonomia. Co więcej, jego zastosowanie jest bardzo szerokie. Analiza ekonomiczna jest jedną z wielu dziedzin, w których zastosowanie omawianych metod jest bardzo pomocne. W swej istocie jest to szczegółowe i wszechstronne badanie. Opiera się na informacjach z różnych dostępnych źródeł. Ocenia się także wiele wewnętrznych aspektów funkcjonowania danej organizacji. Prowadzenie tych działań ma na celu usprawnienie pracy, co osiąga się poprzez wprowadzanie i rozwój nowych optymalnych rozwiązań zarządczych.

Powszechne stosowanie metod heurystycznych może znacznie uprościć procesy decyzyjne, a także wyeliminować różne problemy, które można wyeliminować poprzez wykorzystanie danych statystycznych. Pozwala to znacznie zaoszczędzić zasoby i czas. Zdobyte wcześniej doświadczenie można bezpiecznie wykorzystać w codziennej działalności organizacji.

Ten artykuł dotyczy programu antywirusowego oprogramowanie. Aby zapoznać się z zastosowaniem heurystyk w ocenie użyteczności, zobacz ocenę heurystyczną .

Analiza heurystyczna to metoda stosowana przez wiele komputerowych programów antywirusowych, mająca na celu wykrywanie nieznanych wcześniej wirusów komputerowych, a także nowych wariantów wirusów występujących już na wolności.

Analiza heurystyczna opiera się na analizie eksperckiej, która określa podatność systemu na określone zagrożenie/ryzyko przy użyciu różnych reguł decyzyjnych lub metod ważenia. Analiza wielokryterialna (MCA) jest jednym z narzędzi ważenia. Metoda ta różni się od analizy statystycznej, która opiera się na dostępnych danych/statystykach.

operacja

Większość programów antywirusowych korzystających z analizy heurystycznej wykonuje tę funkcję, wykonując polecenia programowe z podejrzanego programu lub skryptu na wyspecjalizowanej maszynie wirtualnej, umożliwiając w ten sposób programowi antywirusowemu wewnętrzną symulację tego, co by się stało, gdyby podejrzany plik został wykonany podczas przechowywania podejrzanego kodu odizolowany od realnego świata maszyny. Następnie analizuje polecenia w trakcie ich wykonywania, monitorując typowe działania wirusa, takie jak replikacja, przepisywanie plików i próby ukrycia istnienia podejrzanego pliku. W przypadku wykrycia jednego lub większej liczby wirusów podejrzany plik jest oznaczany jako potencjalny wirus, a użytkownik zostaje ostrzeżony.

Inną powszechną metodą analizy heurystycznej jest dekompilacja podejrzanego programu przez program antywirusowy, a następnie analiza zawartego w nim kodu maszynowego. Kod źródłowy podejrzanego pliku jest porównywany z kodem źródłowym znanych wirusów i działań wirusopodobnych. Jeśli określony procent kodu źródłowego odpowiada kodowi znanego wirusa lub działania wirusopodobnego, plik jest oflagowany, a użytkownik zostaje ostrzeżony.

efektywność

Analiza heurystyczna pozwala wykryć wiele nieznanych wcześniej wirusów i nowe warianty obecnych wirusów. Jednak analiza heurystyczna działa w oparciu o doświadczenie (porównując podejrzany plik z kodem i funkcją znanych wirusów). Oznacza to, że prawdopodobnie przeoczysz nowe wirusy, które zawierają nieznane wcześniej metody działania, których nie ma w żadnym ze znanych wirusów. W rezultacie skuteczność jest dość niska pod względem dokładności i liczby fałszywych alarmów.

Gdy badacze odkrywają nowe wirusy, informacje o nich są dodawane do analizy heurystycznej silnika, zapewniając w ten sposób silnikowi możliwość wykrywania nowych wirusów.

Co to jest analiza heurystyczna?

Analiza heurystyczna to metoda wykrywania wirusów poprzez analizowanie kodu pod kątem podejrzanych właściwości.

Tradycyjne metody wykrywania wirusów polegają na identyfikowaniu złośliwego oprogramowania poprzez porównanie kodu w programie z kodem znanych typów wirusów, które zostały już napotkane, przeanalizowane i zapisane w bazie danych - co nazywa się wykrywaniem sygnatur.

Chociaż wykrywanie sygnatur jest przydatne i nadal w użyciu, stało się również bardziej ograniczone ze względu na rozwój nowych zagrożeń, które eksplodowały na przełomie wieków i nadal się pojawiają.

Aby rozwiązać ten problem, opracowano model heurystyczny umożliwiający identyfikację podejrzanych funkcji, które można znaleźć w nieznanych, nowych wirusach i zmodyfikowanych wersjach istniejących zagrożeń, a także znanych próbkach złośliwego oprogramowania.

Cyberprzestępcy nieustannie opracowują nowe zagrożenia, a analiza heurystyczna jest jedną z niewielu metod stosowanych do zwalczania ogromnej liczby nowych zagrożeń spotykanych codziennie.

Analiza heurystyczna jest także jedną z niewielu metod zdolnych do zwalczania wirusów polimorficznych – określenia na złośliwy kod, który stale się zmienia i dostosowuje. Analiza heurystyczna wchodzi w skład zaawansowanych rozwiązań bezpieczeństwa oferowanych przez firmy takie jak Kaspersky Lab, które umożliwiają wykrywanie nowych zagrożeń, zanim wyrządzą szkody, bez konieczności stosowania określonej sygnatury.

Na czym polega analiza heurystyczna?

Analiza heurystyczna pozwala na zastosowanie wielu różnych technik. Jedna z technik heurystycznych, znana jako statyczna analiza heurystyczna, polega na dekompilacji podejrzanego programu i sprawdzeniu jego kodu źródłowego. Kod ten jest porównywany z wirusami, które są już znane i zlokalizowane w heurystycznych bazach danych. Jeśli jakikolwiek procent kodu źródłowego pasuje do wpisu w heurystycznej bazie danych, kod jest oznaczany jako potencjalne zagrożenie.

Inna metoda znana jest jako heurystyka dynamiczna. Kiedy naukowcy chcą przeanalizować coś podejrzanego bez narażania ludzi, przechowują substancje w kontrolowanym środowisku, takim jak bezpieczne laboratorium, i przeprowadzają testy. Proces ten przebiega podobnie w przypadku analizy heurystycznej – ale także w świecie wirtualnym.

Izoluje podejrzane programy lub fragmenty kodu w wyspecjalizowanej maszynie wirtualnej – czyli piaskownicy – ​​i daje programowi antywirusowemu szansę sprawdzenia kodu i symulacji, co by się stało, gdyby pozwolono uruchomić podejrzany plik. Sprawdza każde polecenie, jego działanie i szuka podejrzanych zachowań, takich jak samoreplikacja, nadpisywanie plików i inne działania typowe dla wirusów. Potencjalne problemy

Analiza heurystyczna idealnie nadaje się do identyfikowania nowych zagrożeń, jednak aby była skuteczna, heurystyka musi być starannie dostrojona, aby zapewnić najlepsze wykrywanie nowych zagrożeń bez generowania fałszywych alarmów w całkowicie niewinnym kodzie.

Programy antywirusowe to programy, których głównym zadaniem jest ochrona przed wirusami, a dokładniej przed złośliwym oprogramowaniem.

Metody i zasady ochrony teoretycznie nie mają szczególnego znaczenia, najważniejsze jest to, że mają na celu zwalczanie złośliwego oprogramowania. Jednak w praktyce sytuacja jest nieco inna: prawie każdy program antywirusowy łączy w różnych proporcjach wszystkie stworzone dotychczas technologie i metody ochrony przed wirusami.

Ze wszystkich metod ochrona antywirusowa Można wyróżnić dwie główne grupy:

  • Metody podpisu- dokładne metody wykrywania wirusów w oparciu o porównanie pliku ze znanymi próbkami wirusów
  • Metody heurystyczne- przybliżone metody wykrywania, które pozwalają z pewnym prawdopodobieństwem założyć, że plik jest zainfekowany

Analiza podpisu

Słowo podpis w tym przypadku jest kalką angielskiego podpisu i oznacza „podpis” lub, w sensie przenośnym, „cechę charakterystyczną, coś identyfikującego”. Właściwie to mówi wszystko. Analiza podpisu polega na identyfikacji charakterystycznych cech identyfikujących każdego wirusa i wyszukiwaniu wirusów poprzez porównywanie plików ze zidentyfikowanymi cechami.

Sygnatura wirusa będzie uważany za zestaw funkcji umożliwiających jednoznaczną identyfikację obecności wirusa w pliku (w tym przypadki, gdy cały plik jest wirusem). W sumie sygnatury znanych wirusów tworzą antywirusową bazę danych.

Zadanie identyfikacji sygnatur rozwiązują zazwyczaj ludzie – eksperci z zakresu wirusologii komputerowej, którzy potrafią wyizolować kod wirusa z kodu programu i sformułować jego charakterystyczne cechy w najwygodniejszej do wyszukiwania formie. Z reguły, ponieważ w najprostszych przypadkach można zastosować specjalne narzędzia do automatycznego wyodrębniania podpisów. Na przykład w przypadku trojanów lub robaków o prostej strukturze, które nie infekują innych programów, ale są programami całkowicie złośliwymi.

Prawie każda firma produkująca programy antywirusowe ma własną grupę ekspertów, którzy analizują nowe wirusy i uzupełniają antywirusową bazę danych o nowe sygnatury. Z tego powodu antywirusowe bazy danych różnią się w przypadku różnych programów antywirusowych. Istnieje jednak porozumienie pomiędzy firmami antywirusowymi dotyczące wymiany próbek wirusów, co oznacza, że ​​prędzej czy później sygnatura nowego wirusa trafia do antywirusowych baz danych prawie wszystkich programów antywirusowych. Najlepszym programem antywirusowym będzie ten, dla którego nowa sygnatura wirusa została opublikowana jako pierwsza.

Powszechnym błędnym przekonaniem na temat podpisów jest to, że każdy podpis odpowiada dokładnie jednemu wirusowi lub złośliwemu oprogramowaniu. W rezultacie antywirusowa baza danych z dużą liczbą sygnatur pozwala wykryć więcej wirusów. W rzeczywistości nie jest to prawdą. Bardzo często pojedyncza sygnatura służy do wykrycia rodziny podobnych wirusów, dlatego nie można już zakładać, że liczba sygnatur jest równa liczbie wykrytych wirusów.

Stosunek liczby sygnatur do liczby znanych wirusów jest inny dla każdej antywirusowej bazy danych i może się okazać, że baza z mniejszą liczbą sygnatur faktycznie zawiera informacje o większej liczbie wirusów. Jeśli pamiętamy, że firmy antywirusowe wymieniają próbki wirusów, możemy z dużą dozą pewności założyć, że antywirusowe bazy danych najbardziej znanych programów antywirusowych są równoważne.

Ważny dodatkowa nieruchomość sygnatury - dokładne i gwarantowane określenie rodzaju wirusa. Ta właściwość pozwala na wprowadzenie do bazy danych nie tylko samych sygnatur, ale także metod leczenia wirusa. Jeśli analiza podpisów udzielił jedynie odpowiedzi na pytanie, czy jest wirus, czy nie, ale nie podał, jaki to wirus. Oczywiście leczenie nie byłoby możliwe – ryzyko podjęcia niewłaściwych działań i zamiast leczenia otrzymania dodatkowa utrata informacji byłaby zbyt duża.

Kolejną ważną, ale już negatywną właściwością jest to, że aby uzyskać podpis, musisz mieć próbkę wirusa. Stąd, metoda podpisu nie nadaje się do ochrony przed nowymi wirusami, ponieważ dopóki wirus nie zostanie przeanalizowany przez ekspertów, nie da się stworzyć jego sygnatury. Dlatego wszystkie większe epidemie są spowodowane przez nowe wirusy. Od momentu pojawienia się wirusa w Internecie do chwili udostępnienia pierwszych sygnatur mija zwykle kilka godzin i w tym czasie wirus może niemal bez przeszkód infekować komputery. Prawie – bo omówione wcześniej dodatkowe środki ochrony, a także stosowane w nich metody heurystyczne programy antywirusowe.

Analiza heurystyczna

Słowo „heurystyka” pochodzi od greckiego czasownika „znaleźć”. Istota metod heurystycznych polega na tym, że rozwiązanie problemu opiera się na pewnych wiarygodnych założeniach, a nie na ścisłych wnioskach z istniejących faktów i przesłanek. Ponieważ definicja ta brzmi dość skomplikowanie i niezrozumiało, łatwiej jest ją wyjaśnić na przykładach różnych metod heurystycznych

Jeżeli metoda sygnatur opiera się na identyfikowaniu charakterystycznych cech wirusa i wyszukiwaniu tych cech w skanowanych plikach, wówczas analiza heurystyczna opiera się na (bardzo prawdopodobnym) założeniu, że nowe wirusy często okazują się podobne do któregokolwiek z już znane. Przecież to założenie jest uzasadnione obecnością w antywirusowe bazy danych sygnatury umożliwiające identyfikację nie jednego, ale kilku wirusów jednocześnie. Opierając się na tym założeniu, metoda heurystyczna polega na wyszukiwaniu plików, które nie w pełni, ale bardzo dokładnie odpowiadają sygnaturom znanych wirusów.

Pozytywnym efektem stosowania tej metody jest możliwość wykrywania nowych wirusów jeszcze przed przydzieleniem im sygnatur. Negatywne strony:

  • Prawdopodobieństwo błędnego zidentyfikowania obecności wirusa w pliku, podczas gdy w rzeczywistości plik jest czysty - takie zdarzenia nazywane są fałszywymi alarmami
  • Brak możliwości leczenia – zarówno ze względu na możliwość uzyskania fałszywie pozytywnych wyników, jak i z powodu możliwego niedokładnego określenia rodzaju wirusa, próba leczenia może prowadzić do większych strat informacji niż sam wirus, a to jest niedopuszczalne
  • Niska skuteczność – wobec naprawdę innowacyjnych wirusów, które powodują największe epidemie, tego typu analiza heurystyczna jest mało przydatna

Wyszukaj wirusy wykonujące podejrzane działania

Inna metoda, oparta na heurystyce, zakłada, że ​​złośliwe oprogramowanie w jakiś sposób próbuje wyrządzić szkody komputerowi. Metoda polega na identyfikacji głównych szkodliwych działań, takich jak na przykład:

  • Usuwanie pliku
  • Zapisz do pliku
  • Nagrywanie w określonych obszarach rejestr systemowy
  • Otwieranie portu nasłuchowego
  • Przechwytywanie danych wprowadzanych z klawiatury
  • Wysyłka listów
  • Itd.

Oczywiste jest, że wykonanie każdej takiej akcji z osobna nie jest powodem do uznania programu za szkodliwy. Ale jeśli program konsekwentnie wykonuje kilka takich akcji, na przykład rejestruje własne uruchomienie w rejestrze systemowym, klucz autorun, przechwytuje dane wprowadzane z klawiatury i wysyła je z określoną częstotliwością na jakiś adres w Internecie, to ten program jest w najmniej podejrzane. Analizator heurystyczny oparty na tej zasadzie musi stale monitorować działania wykonywane przez programy.

Zaletą opisywanej metody jest możliwość wykrycia nieznanego wcześniej złośliwego oprogramowania, nawet jeśli nie jest ono bardzo podobne do już znanych. Na przykład nowy złośliwe oprogramowanie może wykorzystać nową lukę w zabezpieczeniach, aby przeniknąć do komputera, ale potem zaczyna wykonywać znane już szkodliwe działania. Taki program może zostać pominięty przez analizator heurystyczny pierwszego typu, ale może zostać wykryty przez analizator drugiego typu.

Negatywne cechy są takie same jak poprzednio:

  • Fałszywie pozytywne
  • Niemożność leczenia
  • Słaba efektywność

Podziel się z przyjaciółmi:
Powiązane publikacje