Bulgusal Analiz nedir?
Bulgusal Analiz nedir?
Bulgusal analiz, kodlarda şüpheli özellikler olup olmadığını inceleyerek virüsleri algılama yöntemidir. Geleneksel virüs algılama yöntemleri, bir programdaki kodu önceden karşılaşılmış, analiz edilmiş ve bir veritabanında saklanan, bilinen virüs türlerinin koduyla karşılaştırmak suretiyle kötü amaçlı yazılımları tespit etmektir. Bu işlem, imza algılama olarak bilinir.
Faydalı ve hâlâ kullanılan bir yöntem olmasına rağmen imza algılama, yeni yüzyılın başından itibaren patlak veren ve sürekli olarak gelişmeye devam eden yeni tehditlerin oluşması nedeniyle daha sınırlı bir hale gelmiştir.
Bu sorunla başa çıkmak için bulgusal model; bilinen kötü amaçlı yazılım örneklerinin yanı sıra bilinmeyen, yeni virüslerde ve mevcut tehditlerin değiştirilmiş versiyonlarında bulunabilen şüpheli özellikleri tespit edecek şekilde özel olarak tasarlanmıştır.
Siber suçlular sürekli yeni tehditler geliştirir ve bulgusal analiz, her gün görülen bu yeni tehditlerin yüksek hacmiyle başa çıkmak için kullanılan yöntemlerden biridir.
Bulgusal analiz aynı zamanda, sürekli değişen ve uyarlanan kötü amaçlı kodlar için kullanılan bir terim olan polimorfik virüsler ile mücadele edebilen sayılı yöntemden biridir. Bulgusal analiz, yeni tehditleri zarara neden olmadan ve belirli bir imzaya ihtiyaç duymaksızın algılamak için Kaspersky Labs gibi şirketler tarafından sunulan gelişmiş güvenlik çözümleri arasında yer alır.
Bulgusal Analiz Nasıl Çalışır?
Bulgusal analizde birkaç farklı teknik kullanılabilir. Statik bulgusal analiz olarak bilinen bir bulgusal yöntemde, şüpheli bir program kaynak koduna dönüştürülür ve bu kaynak kodu incelenir. Bu kod daha sonra, halihazırda bilinen ve bulgusal veritabanında bulunan virüslerle karşılaştırılır. Kaynak kodunun belirli bir bölümü, bulgusal veritabanındaki herhangi bir veriyle eşleşirse bu kod olası bir tehdit olarak işaretlenir.
Diğer bir yöntem ise dinamik bulgusal analizdir. Bilim insanları şüpheli bir şeyi insanları tehlikeye atmadan analiz etmek istediğinde bu şüpheli maddeyi, güvenli bir laboratuvar gibi kontrollü bir ortamda tutar ve testler yapar. Bulgusal analiz süreci de bunun gibi, sadece sanal bir dünyadadır.
Bu süreçte şüpheli program veya kod parçası, özel bir sanal makinede (veya kum havuzunda) izole edilir ve antivirüs programına, kodu test etmek ve şüpheli dosyanın çalıştırılmasına izin verilirse ne olacağını görmek için bir şans verilir. Bu, etkinleştirildiğinde her komutu inceler ve örneğin kendini kopyalama, dosyaların üzerine yazma ve virüslerde sıklıkla görülen diğer işlemler gibi şüpheli davranışlar sergileyip sergilemediğine bakar.
Olası Sorunlar
Bulgusal analiz, yeni tehditleri tespit etmek için idealdir ancak etkili olmak için bulgusal analizin, yeni tehditleri mümkün olan en iyi şekilde algılamasını ancak bu sırada kesinlikle masum olan kodlarda hatalı pozitif sonuç vermemesini sağlamak üzere çok dikkatli ayarlanması gerekir.
Bu nedenle bulgusal analiz araçları genellikle gelişmiş bir antivirüs cephaneliğindeki silahlardan yalnızca biridir. Bunlar tipik olarak, imza analizi ve diğer proaktif teknolojiler gibi diğer virüs algılama yöntemlerinin yanında kullanılır.