Das Wort Heuristik leitet sich aus dem griechischen Wort für ‚ich finde’ ab. Man bezeichnet damit eine Lernmethode, die auf Spekulationen und Vermutungen basiert und weniger auf festen Algorithmen. Im Bereich der Antivirus-Software setzt die Heuristik nicht-spezifische Entdeckungsmethoden ein, um neue, bisher nicht bekannte Malware zu finden.
Mit dieser Technik, die schon seit vielen Jahren in Gebrauch ist, untersucht man den Code einer Datei (oder eines anderen Objekts), um festzustellen, ob darin virusähnliche Befehle enthalten sind. Sobald die Anzahl von virusähnlichen Befehlen ein vorher festgelegtes Maß überschreitet, wird die entsprechende Datei als möglicherweise virusinfiziert markiert und der Kunde wird aufgefordert zur weiteren Analyse ein Muster einzuschicken. Die Heuristik ist über die Jahre immer weiter verbessert worden und hat schon viel dazu beigetragen, neue Bedrohungen zu entdecken.
Es gibt jedoch die Gefahr von falsch positiven Ergebnissen, wenn die Heuristik nicht exakt abgestimmt ist. Um die Anzahl von Fehlalarmen zu minimieren, reduzieren die meisten Hersteller von Antivirenprogrammen die Empfindlichkeit der Heuristik. Andere Hersteller sperren die Heuristik standardmäßig.
Ein weiterer Nachteil der Heuristik besteht darin, dass sie nur nach verdächtigen Befehlsformen sucht. Um ein infiziertes Objekt zu säubern ist es aber nötig zu wissen, welche Art von Schaden die Malware angerichtet hat.
Die Heuristik wird viel bei Anti-Spam-Lösungen eingesetzt, um die besonderen spam-ähnlichen Eigenschaften einer E-Mail anzuzeigen.
SELFPHP
SELFPHP - Damir Enseleit, info@selfphp.de, Impressum, Kontakt