Was ist heuristische Analyse?

Abgeleitet vom altgriechischen Wort für „entdecken“ ist die heuristische Analyse ein Ermittlungs-, Lern- und Problemlösungsansatz, der Regeln, Schätzungen oder Vermutungen nutzt, um für ein bestimmtes Problem eine zufriedenstellende Lösung zu finden. Diese Art der Problemlösung mag zwar nicht perfekt sein, kann aber bei Computerprozessen, bei denen eine schnelle Antwort oder rechtzeitige Warnung auf Grundlage eines intuitiven Urteils erforderlich ist, sehr wirkungsvoll sein.

Heuristische Analysen sind in den meisten gängigen Virenschutzlösungen auf dem Markt zu finden. Ähnlich wie beim Scannen von Signaturen, bei dem Bedrohungen durch Suchen nach bestimmten Zeichenfolgen erkannt werden, wird bei der heuristischen Analyse nach bestimmten Befehlen oder Anweisungen gesucht, die normalerweise nicht in einer Anwendung zu finden sind.

Wenn auf diese potenziell schädlichen Befehle nicht reagiert wird, können sie beispielsweise folgende Funktionen ausführen:

• die Nutzlast eines Trojaners
• die Replikationsmechanismen eines Virus
• das Verbreitungsmuster eines Wurms

Die meisten heuristischen Virenschutzprozesse arbeiten mit einem regel- oder gewichtungsbasierten System, um zu bestimmen, wie viel Gefahr von einer Programmfunktionalität ausgehen könnte. Wenn diese Regeln einen vorgegebenen Schwellenwert überschreiten, werden ein Alarm ausgelöst und Präventivmaßnahmen ergriffen. Je nach Virenschutzeinstellungen kann bei diesem Alarm einfach eine Warnung an den Administrator des Servers gesendet oder eine Datei automatisch in Quarantäne gestellt werden.

Das Katz-und-Maus-Spiel zwischen Virenschutzunternehmen und Cyber-Kriminellen läuft schon seit Jahrzehnten. Die heuristische Analyse von Virenschutzprogrammen hilft Softwareanbietern und ihren Kunden, immer einen Schritt voraus zu sein. Bislang unbekannte Viren werden erkannt und neue Malware wird abgewehrt, die noch nicht in Virendefinitionsdateien aufgenommen wurde.

Auf Heuristik basierende Virenschutztools arbeiten mit vielen verschiedenen Überprüfungstechniken wie z. B.:

• Dateianalyse: Bei der Dateianalyse untersucht die Prüfsoftware eine Datei eingehend, um ihren Zweck, ihr Ziel und ihre Absicht zu ermitteln. Wenn eine Datei z. B. den Zweck hat, bestimmte Dateien zu löschen, kann sie als Virus gekennzeichnet werden.
• Emulation von Dateien: Bei der Emulation von Dateien, auch bekannt als dynamisches Scannen oder Sandbox-Test, wird eine Datei in einer kontrollierten virtuellen Umgebung getestet, um zu sehen, was passiert. Wenn sich die Datei wie ein Virus verhält, handelt es sich wahrscheinlich auch um einen Virus!
• Erkennung genetischer Signaturen: Die Erkennung genetischer Signaturen wurde entwickelt, um verschiedene Variationen eines Virus zu finden, und verwendet frühere Virendefinitionen, um Viren aus derselben Familie zu erkennen.

Diese Techniken können zur Erkennung von Viren in ruhenden Daten im Dateispeicher oder bei der Übertragung zwischen zwei Endpunkten zum Einsatz kommen. Beispielsweise kann der Anti-Spam-Agent von Forcepoint Email Security so eingerichtet werden, dass er den E-Mail-Header und Text einer E-Mail analysiert, um festzustellen, wie sehr der Inhalt Spam ähnelt. Von Zeit zu Zeit kann die heuristische Analyse falsch-positive Ergebnisse liefern. Dies kann jedoch durch Festlegen benutzerdefinierter Filter und Regeln behoben werden, wodurch diese falsch-positiven Ergebnisse zu einer Positivliste hinzugefügt werden.

Obwohl heuristische Analyse- und Erkennungsprozesse ggf. nicht völlig fehlerfrei sind und von Zeit zu Zeit Fehlalarme auslösen können, kann diese Methode der vorsorglichen Virenprüfung eine sehr effektive Ergänzung zu herkömmlichen Signaturprüflösungen sein. Virenschutzsoftware mit heuristischer Analyse wird ständig verbessert und sorgt dafür, dass Prozesse effizienter ablaufen und Computerressourcen besser ausgenutzt werden. Für Unternehmen, die einen optimalen Schutz vor bekannter und unbekannter Malware und Viren suchen, ist die heuristische Analyse zum Schutz vor Viren definitiv eine lohnende Investition.

Der Ansatz von Forcepoint in Sachen Cyber-Sicherheit fußt auf jahrzehntelanger Erfahrung. Unsere Lösungen sind so konzipiert, dass sie mit Ihrem Unternehmen mitwachsen und ein Höchstmaß an Sicherheit bieten. Wir würden Ihnen gerne mehr über die Vorteile der heuristischen Analyse zum Schutz vor Viren erzählen und wie wir unsere Lösungen auf Ihr Unternehmen abstimmen können. Nehmen Sie noch heute Kontakt mit unserem Team auf, um einen Termin für eine kostenlose Demo zu vereinbaren.