ОТЧЕТ
по производственной практике
место прохождения практики:
РВЦ -3 Информационно-вычислительного центра
Октябрьской железной дороги
Тема:
ИССЛЕДОВАНИЕ СПОСОБОВ ЗАЩИТЫ ОТ КОМПЬЮТЕРНЫХ ВИРУСОВ ПРОГРАММНЫМИ МЕТОДАМИ И ВЫБОР ОПТИМАЛЬНОГО АНТИВИРУСНОГО КЛИЕНТА
Задача:
Исследование способов защиты от компьютерных вирусов программными методами, и выбор оптимального антивирусного клиента
1. Понятие о компьютерных вирусах
Компьютерный вирус - это программный код, встроенный в другую программную среду (модуль, исполняемый файл, текстовый документ, загрузочные сектора носителя и пр.), предназначенный для выполнения несанкционированных действий на компьютере, зараженном данным вирусом.
Вирусы можно разделить на классы по следующим основным признакам:
– среда обитания;
– операционная система (OC);
– особенности алгоритма работы;
– деструктивные возможности.
В свою очередь, по среде обитания вирусы делятся на файловые, загрузочные, макро и сетевые.
Файловые вирусы различными "хитрыми" способами внедряются в выполняемые файлы, либо создают файлы-двойники (т.н. компаньон-вирусы), а также могут использовать особенности организации файловой системы (link-вирусы).
Загрузочные вирусы записывают самоё себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий главную загрузочную область (MBR, Master Boot Record). BIOS многих материнских плат содержит опцию защиты от вирусов, однако же, на деле такой "щит" весьма символичен, так как запрещает изменять загрузочную запись, и не более того.
Макро-вирусы заражают документы и электронные таблицы нескольких популярных редакторов, в частности файлы Microsoft Word и Excel.
Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.
Довольно часто вирус бывает представлен в виде файлово-загрузочного вируса. Такие вирусы имеют сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс- и полиморфик-технологии. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
Следующий признак - заражаемая операционная система, точнее, ОС, объекты которой подвержены заражению. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких систем - DOS, Windows 2000, Win95/NT, OS/2 и т.д.
Третий главный признак классификации - особенности алгоритма работы вирусов. Но и здесь не все просто - приходится выделять следующие дополнительные пункты: резидентность; использование стелс-алгоритмов; самошифрование и полиморфичность, а также использование нестандартных приемов.
Вирус-резидент при заражении оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.
В многозадачных операционных системах (например, Windows 2000/XP) жизнь резидентного DOS-вируса коротка и ограничена моментом закрытия зараженного DOS-окна, активность же загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC
Использование стэлс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо предлагают вместо себя незараженные участки информации.
Для борьбы с макро-вирусами давно существует простой способ - запрет вызовов меню просмотра макросов. Второй способ состоит в следующем - изменить расширение DOC потенциально зараженного документа на RTF, поскольку в таком формате макро-вирусы не приживаются. Методы полиморфичности и самошифрования используются практически всеми типами вирусов для того, чтобы максимально осложнить процесс определения вируса. Полиморфик-вирусы (polymorphic) - это вирусы, вызывающие наиболее сильную "головную боль", так как не содержат ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
По деструктивным возможностям (четвертая часть основной классификации) вирусы часто разделяют на:
Безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения).
Неопасные - влияние ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами. Типичными представителями являются вирусы семейства Jokes - после запуска Java-скрипта, который содержится внутри html-документа, у пользователя начинает произвольно передвигаться по экрану окно Internet Explorer.
Опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера. К этому классу можно отнести вирусы, именуемые "Интернет-червями" (всевозможные I-Worm.Hybris и I-Worm.Tanatos).
Очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и выводу из строя микросхемы BIOS. Типичный враг - вирус WIN95.CIH ("Чернобыль"). Сейчас чрезвычайно активны вирусы I-Worm.Klez (по 13-м числам чётных месяцев червь ищет на всех дисках заражённого компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий. Отдельной группой следует выделить вредоносные программы, которые в просторечии именуются "троянскими программами" или просто "троянами".
2. Основные методы определения вирусов
Антивирусные программы развивались параллельно с эволюцией вирусов. По мере того как появлялись новые технологии создания вирусов, усложнялся и математический аппарат, который использовался в разработке антивирусов.
Первые антивирусные алгоритмы строились на основе сравнения с эталоном. Речь идет о программах, в которых вирус определяется классическим ядром по некоторой маске. Смысл алгоритма заключается в использовании статистических методов. Маска должна быть, с одной стороны, маленькой, чтобы объем файла был приемлемых размеров, а с другой - достаточно большой, чтобы избежать ложных срабатываний (когда «свой» воспринимается как «чужой», и наоборот).
Первые антивирусные программы, построенные по этому принципу (так называемые сканеры-полифаги), знали некоторое количество вирусов и умели их лечить. Создавались эти программы следующим образом: разработчик, получив код вируса (код вируса поначалу был статичен), составлял по этому коду уникальную маску (последовательность 10-15 байт) и вносил ее в базу данных антивирусной программы. Антивирусная программа сканировала файлы и, если находила данную последовательность байтов, делала заключение о том, что файл инфицирован. Данная последовательность (сигнатура) выбиралась таким образом, чтобы она была уникальной и не встречалась в обычном наборе данных.
Описанные подходы использовались большинством антивирусных программ вплоть до середины 90-х годов, когда появились первые полиморфные вирусы, которые изменяли свое тело по непредсказуемым заранее алгоритмам. Тогда сигнатурный метод был дополнен так называемым эмулятором процессора, позволяющим находить шифрующиеся и полиморфные вирусы, не имеющие в явном виде постоянной сигнатуры.
Принцип эмуляции процессора демонстрируется рисунке 1 (см. след. страницу). Если обычно условная цепочка состоит из трех основных элементов: ЦПУ, ОС, Программа, то при эмуляции процессора в такую цепочку добавляется эмулятор. Эмулятор как бы воспроизводит работу программы в некотором виртуальном пространстве и реконструирует ее оригинальное содержимое. Эмулятор всегда способен прервать выполнение программы, контролирует ее действия, не давая ничего испортить, и вызывает антивирусное сканирующее ядро.
Рис.1. схема работы эмулятора процесса
Второй механизм, появившийся в середине 90-х годов и использующийся всеми антивирусами, – это эвристический анализ. Дело в том, что аппарат эмуляции процессора, который позволяет получить выжимку действий, совершаемых анализируемой программой, не всегда дает возможность осуществлять поиск по этим действиям, но позволяет произвести некоторый анализ и выдвинуть гипотезу типа «вирус или не вирус?».
В данном случае принятие решения основывается на статистических подходах. А соответствующая программа называется эвристическим анализатором.
Для того чтобы размножаться, вирус должен совершать какие-либо конкретные действия: копирование в память, запись в сектора и т.д. Эвристический анализатор (он является частью антивирусного ядра) содержит список таких действий, просматривает выполняемый код программы, определяет, что она делает, и на основе этого принимает решение, является данная программа вирусом или нет.
При этом процент пропуска вируса, даже неизвестного антивирусной программе, очень мал. Данная технология сейчас широко используется во всех антивирусных программах.
3. Классификация антивирусных программ
Классифицируются антивирусные программы на чистые антивирусы и антивирусы двойного назначения.
Чистые антивирусы отличаются наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальным в этом случае является то, что возможно лечение, если известен вирус. Чистые антивирусы, в свою очередь, по типу доступа к файлам подразделяются на две категории: осуществляющие контроль по доступу (on access) или по требованию пользователя (on demand). Обычно on access-продукты называют мониторами, а on demand-продукты - сканерами.
Оn demand-продукт работает по следующей схеме: пользователь хочет что-либо проверить и выдает запрос (demand), после чего осуществляется проверка. On access-продукт - это резидентная программа, которая отслеживает доступ и в момент доступа осуществляет проверку.
Рис.2.Схема классификации антивирусных программ
Кроме того, антивирусные программы, так же как и вирусы, можно разделить в зависимости от платформы, внутри которой данный антивирус работает. В этом смысле наряду с Windows или Linux к платформам могут быть отнесены Microsoft Exchange Server, Microsoft Office, Lotus Notes.
Программы двойного назначения - это программы, используемые как в антивирусах, так и в ПО, которое антивирусом не является. Например, CRC-checker - ревизор изменений на основе контрольных сумм - может использоваться не только для ловли вирусов. Разновидностью программ двойного назначения являются поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их. От классического антивируса с антивирусным ядром, распознающего и лечащего от вирусов, которые анализировались в лаборатории и которым был прописан алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить от вирусов они не умеют, поскольку ничего о них не знают. Данное свойство блокираторов позволяет им работать с любыми вирусами, в том числе и с неизвестными. Это сегодня приобретает особую актуальность, поскольку распространители вирусов и антивирусов используют одни и те же каналы передачи данных, то есть Интернет. При этом антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули. Программы из группы двойного назначения как раз и позволяют блокировать распространение вируса до того момента, пока компания не напишет лечебный модуль.
4. Обзор основных антивирусных средств
4.1 Антивирус Касперского
Personal Pro v. 4.0
Разработчик: «Лаборатория Касперского»
Web-сайт: http://www.kaspersky.ru/
Размер дистрибутива 13 Мб
Программа работает под управлением Windows 98/Me/NT4.0/2000 Pro/XP
Антивирус Касперского Personal Pro функционально состоит из нескольких модулей.
Модуль Office Guard держит под контролем выполнение макросов, пресекая все подозрительные действия. Наличие модуля Office Guard дает стопроцентную защиту от макровирусов.
Ревизор Inspector отслеживает все изменения в вашем компьютере и при обнаружении несанкционированных изменений в файлах или в системном реестре позволяет восстановить содержимое диска и удалить вредоносные коды. Inspector не требует обновлений антивирусной базы: контроль целостности осуществляется на основе снятия оригинальных отпечатков файлов и их последующего сравнения с измененными файлами. В отличие от других ревизоров, Inspector поддерживает все наиболее популярные форматы исполняемых файлов.
Рис.3. Антивирус Касперского
В АVP интегрирована уникальная технология поиска неизвестных вирусов, основанная на принципах эвристического анализа второго поколения, благодаря чему программа способна защитить компьютер даже от неизвестных вирусов.
Фоновый перехватчик вирусов Monitor, постоянно присутствующий в памяти компьютера, проводит антивирусную проверку всех файлов непосредственно в момент их запуска, создания или копирования, что позволяет контролировать все файловые операции и предотвращать заражение даже самыми технологически совершенными вирусами.
Антивирусная фильтрация электронной почты предотвращает возможность проникновения вирусов на компьютер. Встраиваемый модуль Mail Checker не только удаляет вирусы из письма, но и полностью восстанавливает оригинальное содержимое электронных писем. Комплексная проверка почты не позволяет вирусу укрыться ни в одном из элементов электронного письма за счет проверки всех участков входящих и исходящих сообщений, включая прикрепленные файлы (в том числе архивированные и упакованные) и другие сообщения любого уровня вложенности.
Антивирусный сканер Scanner дает возможность проводить полномасштабную проверку всего содержимого локальных и сетевых дисков по требованию.
Перехватчик скрипт-вирусов Script Checker обеспечивает антивирусную проверку всех запускаемых скриптов до того, как они будут выполнены.
Поддержка архивированных и компрессированных файлов обеспечивает возможность удаления вредоносного кода из зараженного компрессированного файла.
Изоляция инфицированных объектов обеспечивает изоляцию зараженных и подозрительных объектов с последующим их перемещением в специально организованную директорию для дальнейшего анализа и восстановления.
Автоматизация антивирусной защиты позволяет создавать расписание и порядок работы компонентов программы; автоматически загружать и подключать новые обновления антивирусной базы через Интернет; рассылать предупреждения об обнаруженных вирусных атаках по электронной почте и т.д.
Недостатки: при работе в фоновом режиме монитор существенно влияет на быстродействие системы.
4.2 Doctor Web для Windows 95-XP
Dr.Web 4.29
Разработчик: «Лаборатория Данилова» и «ДиалогНаука»
Web-сайт: http://www.dialognauka.ru/, http://www.Dr.Web.ru/
Размер дистрибутива 3,5 Мб
Программа работает под управлением Windows 98/Me/NT4.0/2000 Pro/XP
Антивирус представляет собой комбинацию антивирусного сканера Doctor Web и резидентного сторожа SpIDer Guard, интегрированного в операционную систему компьютера. Один из самых совершенных в мире эвристических анализаторов Doctor Web в сочетании с ежедневно обновляющимися вирусными базами представляет собой надежную защиту от вирусов, троянских коней, почтовых червей и иных видов вредоносного программного кода.
Рис.4. Dr.Web 4.29c
Программа построена по модульному принципу, то есть разделена на оболочку, ориентированную на работу в конкретной среде, и ядро, не зависимое от среды. Подобная организация позволяет использовать одни и те же файлы вирусной базы Dr.Web для разных платформ, подключать ядро к различным оболочкам и приложениям, реализовывать механизм автоматического пополнения вирусных баз и обновления версий оболочки и ядра через сеть Интернет.
Программа предлагает наглядные средства выбора объектов тестирования путем просмотра дерева подкаталогов. Обновление антивирусной базы производится автоматически через Интернет.
Сторож SpIDer осуществляет анализ всех опасных действий работающих программ и блокирует вирусную активность практически всех известных и еще неизвестных вирусов. Благодаря технологии SpIDer-Netting программа сводит к нулю процент ложных срабатываний и пресекает все виды вирусной активности. Данная технология позволяет не допустить заражения компьютера вирусом, даже если этот вирус не сможет быть определен сканером Doctor Web с включенным эвристическим анализатором. В отличие от ряда других существующих резидентных сторожей, реагирующих на каждое проявление вирусоподобной активности и тем самым быстро утомляющих пользователя своей назойливой подозрительностью, SpIDer проводит эвристический анализ по совокупности вирусоподобных действий, что позволяет избежать большинства случаев ложных реакций на вирус.
Недостатки: сканирование системы на этапе установки, что ощутимо затягивает процесс инсталляции.
Достоинства: малый размер дистрибутива и практически неощутимое влияние на работу системы в целом.
4.3 Norton AntiVirus Professional Edition
Разработчик: Компания Symantec
Web-сайт: http://www.symantec.ru/
Размер дистрибутива 22 Мб
Программа работает под управлением Windows 98/Me/NT4.0/2000 Pro/XP
Рис.5. Symantec Norton antivirus v.9.0
Norton AntiVirus 2004 компании Symantec’s является одним из наиболее надежных и продаваемых решений в мире. В последнее время это приложение входит в состав пакета Norton Internet Security 2003, содержащем, помимо всего прочего, и брандамауэр Norton Personal Firewall. Программа имеет ряд новых возможностей: защиту от вирусов в приложениях Instant messenger; блокировку червей (Worm Blocking), которая позволяет защитить исходящую почту и предотвратить инфицирование компьютеров третьих лиц, а также парольную защиту настройки опций в Norton AntiVirus. Технология Worm Blocking фиксирует присутствие червей в исходящей почте и предотвращает их дальнейшее распространение на другие компьютеры. Сканирует и исправляет как входящие, так и исходящие электронные письма. Автоматически загружает новые антивирусные базы, защищая систему от самых последних из известных вирусов. Технология Script Blocking обеспечивает защиту от быстро распространяющихся вирусов на основе скриптов. Функции Worm Blocking и Script Blocking позволяют обнаружить новые угрозы даже в том случае, когда для них еще не существует описаний в антивирусных базах.
Norton AntiVirus 2004 сканирует входящие вложения сообщений Instant Message. Сканер сообщений Instant Messaging scanning поддерживает Yahoo! Instant Messenger, AOL Instant Messenger, MSN Messenger и Windows Messenger. Norton Antivirus обеспечивает надежную защиту входящей и исходящей почты, не требуя от пользователя дополнительных действий.
Эксклюзивная эвристическая модель блокировки червей (Heuristics-based Worm Blocking technology) дает программе возможность детектировать почтовых червей, не допуская их попадания в рассылку. В дополнение к функциям автоматического удаления вирусов Norton AntiVirus 2004 позволяет также удалять троянских коней и червей в фоновом режиме, не прерывая работы.
Недостатки: чересчур большой размер дистрибутива и большая цена.
Достоинства: обеспечивает одну из лучших на сегодняшний день защит.
4.4 Panda Titanium Antivirus 2004
Разработчик: Panda Software
Web-сайт: http://www.pandasoftware.com/
Размер дистрибутива 19,7 Мб
Программа работает под управлением Windows 98/Me/NT4.0/2000 Pro/XP
Рис.6. Panda Titanium antivirus
Panda Antivirus Titanium надежно защищает от вирусов, троянских коней, червей, вредоносных ActiveX- и Java-аплетов, а также имеет эвристическую технологию, способную защитить от неизвестных вирусов, которые могут появиться в будущем. Антивирус способен найти и обезвредить более 89000 известных вирусов любых типов (полиморфные, загрузочные, файловые, макро- и др.), а также другие вредоносные коды, будь то "троянские кони", "черви", вредоносные элементы ActiveX и Java-скрипты. Panda Antivirus Titanium прост в использовании, после установки он начинает работать автоматически, проверяя при этом всю входящую и исходящую информацию вашего компьютера на вирусы. Программа имеет автоматизированную систему обновлений и специальную технологию для защиты от вирусов, проникающих на ваш компьютер посредством электронной почты. Panda Antivirus Titanium производит обновления в фоновом режиме без запроса к пользователю. Каждый раз, когда вы подключаетесь к Интернету, программа автоматически производит обновление антивирусных баз данных.
В Panda Antivirus Titanium реализован интуитивно-понятный и удобный в использовании интерфейс вместе с отчетами о проведенных проверках.
Технология постоянной защиты является частью антивируса. Она наблюдает за всеми операциями, выполняемыми компьютером, и постоянно загружена в память, поэтому иногда приводит к замедлению других операций. Основная причина этого состоит в том, что антивирус проверяет одни и те же файлы тысячи раз в день (неважно, что большинство из них чистые от вирусов). Однако технология постоянной защиты Panda Titanium Antivirus 2004 отнимает у системы немного ресурсов памяти, поскольку она сосредотачивается на проверке только тех файлов, которые могут быть каким-то образом изменены. Это стало возможно благодаря кэш системе, которая запоминает уже проверенные файлы.
Программа дает возможность избежать неприятных сюрпризов при работе с почтой или при скачивании Интернет-файлов. Технология Panda Antivirus Titanium позволяет обнаружить и удалить вирус в почтовом послании до того, как вы его откроете, так что вирус не сможет проникнуть на ваш компьютер. Panda Antivirus Titanium работает с большинством наиболее распространенных почтовых клиентов, доступных сегодня на рынке: Microsoft Outlook, Outlook Express, Eudora, Pegasus, MSN Mail, Netscape Mail.
Многие современные вирусы не только инфицируют файлы, но и изменяют параметры операционной системы. Panda Antivirus Titanium обладает собственной технологией SmartClean technology, позволяющей исправлять даже серьезные повреждения, нанесенные вирусом, в сложных случаях.
Одной из особенностей Panda Antivirus Titanium является похвальная нетребовательность к системно-аппаратным ресурсам. Приложение с радостью установится на компьютер, оснащенный процессором с таковой частотой не менее 90 МГц, имеющем 32 Мб оперативной памяти и кусочек свободного дискового пространства объемом 20 мегабайт. Panda Antivirus Titanium более чем демократична к операционным системам: Windows 95 (!)/98/ME/NT 4 Workstation/2000/XP.
Для защиты сетей и целых компаний существует версия "Platinum" - более продвинутая(в данной версии есть встроенный фаерволл) и более дорогая. Panda Antivirus Platinum более падок на ресурсы: понадобится процессор не слабее Pentium 300 Мгц, оперативной памяти потребно не менее 128 Мб, а на диске придется изыскать уже 50 Мб свободного места. Пользователям Windows NT4 крайне желательно установить обновление не ниже Service Pack 5 и браузер Internet Explorer версии не ниже 5.01. Консерваторам, предпочитающим Windows 95, есть смысл озаботиться установкой Dun 1.3 (в случае диал-ап коннекта) и Winsock 2 (WS_32.DLL).
Недостатки: значительный размер дистрибутива, долгое время установки и вдобавок ко всему Panda ловит далеко не все вирусы.
Достоинства: нетребовательность системных ресурсов, малое время сканирования системы и простой интерфейс Лицензионный компакт-диск с дистрибутивом Panda Antivirus обеих версий является загрузочным, и базируется на движке Linux (рис.7), позволяя проводить аварийно-восстановительные работы безотносительно типа файловой системы.
Рис.7. аварийно–загрузочный CD Panda
4.5 NOD 32 Antivirus System
Разработчик: Eset
Web-сайт: http://www.nod32.com/
Размер дистрибутива 6 Мб
Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP, Linux
Рис.8. Антивирус NOD32
В антивирусный пакет NOD32 Antivirus System входят монитор AMON, сканер NOD32, монитор Интернет-активности IMON (возможность проверки входящей/исходящей почтовой корреспонденции и Интернет-трафика.), утилита обновления антивирусных баз через Интернет NOD32 Update, планировщик Scheduler/Planer. Разумеется, не забыт разработчиками и эвристический анализ. Управление отдельными частями антивирусного комплекса осуществляется при помощи NOD32 Control Center. На проверку монитор запускается автоматически при загрузке компьютера, однако обнаружив вирус, ничего не предпринимает, а только сообщает об этом малоприятном событии. Контролем входящего/исходящего трафика занимается IMON.
Во всех письмах (отправляемых и получаемых) антивирус может ставить пометку «This message was checked by NOD32 Antivirus System». Поскольку существует множество почтовых клиентов, обеспечить максимально высокий уровень безопасности удается не всем антивирусам. В IMON’е можно выбрать баланс между совместимостью с вашим любимым мэйлером и эффективностью антивируса. Лучше всего NOD32 работает с Outlook.
Начиная с версии 2.12.1 в программу добавлен модуль DMON, который производит мониторинг офисных документов.
5. Сравнительный анализ антивирусных средств
Для выбора оптимального антивирусного средства из перечисленных сформируем базовый перечень характеристик и параметров, которые являются наиболее значимыми с точки зрения эффективности антивирусной защиты. Одновременно учтем экономность дискового пространства, занимаемого антивирусным средством в упакованном виде (дистрибутив).
Основными характеристиками, отражающими эффективность работы антивирусной программы как средства защиты от вирусов, является, прежде всего, приспособленность этих программных продуктов к максимально широкому анализу программных модулей – исполняемых файлов, модулей библиотек, текстовых файлов, скриптов, встроенных в программы микромодулей – макросов. Также важно, насколько полно антивирусное средство использует известные механизмы поиска вирусов (эвристический и эмуляционный). Кроме того, следует учитывать количество семейств операционных систем, поддерживаемых антивирусами.
Таким образом, сравнительная таблица для решения задач оптимального выбора будет иметь следующий вид:
№ | Наименование показателя | Антивирусные программные продукты | ||||
Kaspersky Antivirus | Dr. Web | Symantec Norton Antivirus | Panda Titanium Antivirus | Nod 32 | ||
1 | Алгоритм нахождения вируса | Эврист. |
Эмуляц. Эврист. |
Эврист. |
Эмуляц. Эврист |
Эмуляц. Эврист |
2 | Анализ поведения программ | есть | нет | есть | есть | есть |
3 | Проверка макросов | есть | нет | есть | нет | нет |
4 | Проверка скрипов | есть | нет | есть | есть | есть |
5 | Структура программной системы | модульная | модульная | монолитная | монолитная | модульная |
6 | Число поддерживаемых семейств ОС | 1 | 2 | 1 | 1 | 3 |
7 | Объем дистрибутива (Мб) | 13 | 3,5 | 22 | 19,7 | 6 |
Для решения задачи оптимизации преобразуем эту таблицу в числовую форму с одновременной нормализацией данных:
№ | Наименование показателя | Антивирусные программные продукты | ||||
Kaspersky Antivirus | Dr. Web | Symantec Norton Antivirus | Panda Titanium Antivirus | Nod 32 | ||
1 | Алгоритм нахождения вируса | 0,5 | 1 | 0,5 | 1 | 1 |
2 | Анализ поведения программ | 1 | 0 | 1 | 1 | 1 |
3 | Проверка макросов | 1 | 0 | 1 | 0 | 0 |
4 | Проверка скрипов | 1 | 0 | 1 | 1 | 1 |
5 | Структура программной системы | 1 | 1 | 0,5 | 0,5 | 1 |
6 | Число поддерживаемых семейств ОС | 0,33 | 0,67 | 0,33 | 0,33 | 1 |
7 | Объем дистрибутива (Мб) | 0,27 | 1 | 0,16 | 0,18 | 0,6 |
Задачи оптимизации будем решать как поиск такого средства, для которого взвешенная сумма из 7 основных характеристик будет максимальной:
Где ai–весовой коэффициент, причем , pi–числовое значение параметра.
№ | Наименование показателя | ai | Антивирусные программные продукты | ||||
Kaspersky Antivirus | Dr. Web | Symantec Norton Antivirus | Panda Titanium Antivirus | Nod 32 | |||
1 | Алгоритм нахождения вируса | 0,25 | 0,5 | 1 | 0,5 | 1 | 1 |
2 | Анализ поведения программ | 0,2 | 1 | 0 | 1 | 1 | 1 |
3 | Проверка макросов | 0,17 | 1 | 0 | 1 | 0 | 0 |
4 | Проверка скрипов | 0,13 | 1 | 0 | 1 | 1 | 1 |
5 | Структура программной системы | 0,08 | 1 | 1 | 0,5 | 0,5 | 1 |
6 | Число поддерживаемых семейств ОС | 0,12 | 0,33 | 0,67 | 0,33 | 0,33 | 1 |
7 | Объем дистрибутива (Мб) | 0,05 | 0,27 | 1 | 0,16 | 0,18 | 0,6 |
8 | Критерий J | 1 | 0,7581 | 0,4604 | 0,7126 | 0,6686 | 0,81 |
Из таблицы видно, что оптимальным антивирусным средством по указанному критерию является NOD 32 Antivirus System. Следующим по значимости идет Антивирус Касперского, чуть хуже - Symantec Norton Antivirus, следом - Panda Titanium Antivirus. Наихудшим показал себя Dr. Web.