Funktionsweise der heuristischen Erkennung

Die heuristische Erkennung ist ausgerichtet auf die Verhaltensweise der Malware. Hier erfahren Sie welche Vorteile und Nachteile es gibt.

Die heuristische Erkennung von Malware wird auch verhaltensbasierte Erkennung genannt. Die entsprechenden Scanner heißen Verhaltensscanner, Verhaltensblocker oder Behaviour Blocker.

Grundlagen- verhaltensbasierte Erkennung

Der Begriff Heuristik geht auf das Altgriechische „heurisko“ zurück und bedeutet „Ich finde“. Die Heuristik bezeichnet ein analytisches Verfahren, das mit begrenztem Wissen und empirischen Methoden vorformulierte Aussagen nahezu bestätigt – also im Prinzip ein selbst lernendes und sich perfektionierendes System. Aufgrund des rapiden Wachstums immer neuer Malware reicht die herkömmliche Methode der signaturbasierten Erkennung nicht mehr aus.

Daher bedienen sich die Hersteller von Antiviren- bzw. Antimalware-Programmen zunehmend der Technik der heuristischen Erkennung. Dazu zählen etwa Sandbox-Techniken oder so genannte IDS (Intrusion Detection System). Da heuristisch arbeitende Scanner auch Schadprogramme erkennen, für die noch keine Signaturen existieren, spricht man auch von proaktiver Erkennung oder von proaktiven Verfahren.

Grundsätzlich gilt:

Vorteil: Heuristische Scanner erkennen auch unbekannte Schadprogramme.
Nachteil: Heuristische Scanner haben eine höhere Fehlalarmquote als Signaturscanner.

Unterschiedliche Scannertypen

Heuristische Scanner beurteilen Programme nach ihrem Verhalten. Auf diese Weise können beispielsweise auch neue Trojaner und Rootkits erkannt werden, die als eigentlich nützliche Programme getarnt in das System eingeschleust werden. Handelt es sich um unbekannte Malware, sind sie dementsprechend nicht anhand ihrer Signatur zu identifizieren. Vereinfacht dargestellt bewerten heuristische Scanner diese Schadprogramme nach ihrer ursprünglichen Absicht und der tatsächlich ausgeführten Anwendung.

Weichen vorgegebene Absicht und tatsächliche Ausführung voneinander ab, blockiert die Antimalware-Software das Schadprogramm und schlägt weitere Schritte zur Neutralisierung vor (Verschieben in die Quarantäne, Entfernen) vor. Grundsätzlich existieren zwei verschiedene Methoden: das statische und das dynamische heuristische Scanverfahren.

Statische Scanner

Statisch heuristische Scanner greifen bei der Überprüfung von Dateien und Programmen auf Datenbanken zurück. Diese Datenbanken listen Bytemuster, die spezifischen Verhaltensweisen und Aktionen entsprechen. Treffen beim Vergleich die Verhaltensmuster bestimmter Schadcodes auf die der abgefragten Datenbank zu, werden die Codes als Malware klassifiziert.

VorteileVorteile:

Statische Scanner sind im Gegensatz zu dynamisch heuristischen Scannern verhältnismäßig ressourcenfreundlich und bieten in Kombination mit signaturbasierten Scannern einen optimalen Schutz vor neuer Malware.

NachteileNachteile:

Ein statischer Scanner ist nur so gut wie seine Datenbank. Enthält eine Datenbank kein für eine bestimmte Schadsoftware zugeschnittenes verhaltensbasiertes Bytemuster, kann der schadhafte Code als solcher nicht erkannt werden.


Dynamische Scanner

Dynamische heuristische Scanner erzeugen einen virtuellen Computer, der den gesamten Scanprozess vom eigentlichen Rechner abschottet. Diese für das System ungefährliche Methode wird nach der vom norwegischen Hersteller Norman entwickelten „SandBox“ auch Sandbox-Technik genannt. Dynamische Scanner beobachten Schadprogramme bei ihrer Ausführung und analysieren deren Verhalten. Selbst mehrfach verschlüsselte Viren und Würmer sowie perfekt getarnte Trojaner werden so irgendwann entdeckt. Dynamische Scanner dienen vor allen Dingen den Laboren der Hersteller und Testinstitute als wertvolle Grundlage für die Erstellung aktueller Signaturen.

VorteileVorteile:

Dynamische Scanner beobachten und entdecken Schadprogramme, ohne dem eigentlichen System zu schaden.

NachteileNachteile:

Dynamische Scanner benötigen für die Entdeckung neuer Malware zu viel Ressourcen und zu viel Zeit, um von Privatanwendern oder kleineren Unternehmen eingesetzt werden zu können.


Weiterführende Links
» Wie funktioniert ein Antivirenprogramm?
» Wie funktioniert die signaturbasierte Erkennung

Schreibe einen Kommentar