Ma egy tipikus kártevő olyan komplex kódból áll, amelyet évekig fejlesztenek a bűnözők. Mivel a vírusvédelmi szoftverek az új kártékony kódokat általában gyorsan detektálják, a fejlesztés a bűnözők számára csak akkor kifizetődő, ha a már ismertté vált vírusokat gyorsan és egyszerűen újra tudják csomagolni, majd az újracsomagolással álcázott kártevőt új verzióként tudják terjeszteni.

Kép: GData

Olyan ez, mintha egy terrorista újra és újra megpróbálna felcsempészni egy lőfegyvert egy repülőgépre. Ha egy pisztolyt tesz a zsebébe, akkor egyből lebukik. Ezért különböző technikákat vet be: a fegyvert elkészíti műanyagból, majd részekre szedi, és az egyes részeket külön-külön próbálja meg feljuttatni a gépre. A kártevők fejlesztése is így működik:

a bűnözők ugyanazt a kódot különböző technikákkal álcázva újra és újra elrejtik különböző csomagokban, és egy kártevőből akár több száz változatot készítenek el.

A hagyományos vírusvédelem minden egyes újracsomagolt kártevőt új változatként analizál, majd minden új változatot egyesével blokkol. A vírusirtó cégek ezért folyamatosan fejlesztik azokat a technológiákat, amelyek segítségével „általánosan” ismerik fel a kártevőket, jellemzően azok viselkedése alapján.

A magatartás-alapú vírusvédelem a gépre letöltött kódok szimulált viselkedése alapján ismeri fel

az új kártevőket, és azt a kódot tekinti kártevőnek, amely úgy viselkedik a gépen, ahogyan a kártevők szoktak (például kinyit egy portot, és egy távoli szerverről további fájlokat tölt le). Az ilyen védelem ma már fontos részét képezi minden vírusirtónak, de a G DATA most ennél jóval tovább megy.

A kockázati tényező kiszámításához az új DeepRay technológia 150 különböző jellemzőt vesz figyelembe, beleértve például a fájl méretét, a benne foglalt programkódot vagy a programozási környezetet, amelyet a fájl létrehozásához használtak. Az adatokat egy neurális hálózat elemzi, amely képes a tanulásra, így folyamatosan elraktározza az előző vizsgálatok eredményét, majd az új kódok elemzésében ezeket az eredményeket felhasználja.

Mindehhez a DeepRay 20 különböző gépi tanulási modellt használ fel, és ha az egyik modell kártevőnek jelöl meg egy fájlt, akkor azt mélyebb elemzésnek veti alá. Erre a gép RAM memóriájában kerül sor, méghozzá azért, hogy a kártevő ne tudja érzékelni az elemzői környezetet. A technológia lehetővé teszi olyan kártevők felismerését is, amelyek korábban átjutottak a vírusvédelmen.

„A DeepRay segítségével megváltoztatjuk a játék szabályait, és a bűnözők gazdasági modelljére mérünk válaszcsapást. Azt tesszük lehetetlenné, hogy egyszerűen és költséghatékonyan készítsenek egy meglévő kártevőből új variációkat, és így határozottan növeljük ügyfeleink védelmét” – hangsúlyozza Andreas Lünig, a G DATA egyik alapítója és ügyvezetője.