Was ist die heuristische Analyse?

Was ist die heuristische Analyse?

Wer sich für Antivirus-Software und Virenscanner interessiert, wird sich ziemlich schnell mit dem Fachbegriff „heuristische Analyse" konfrontiert sehen. Nicht jedem ist auf Anhieb klar, was sich dahinter verbirgt.

Bei der heuristischen Analyse wird zunächst der Code einer Datei überprüft und im Anschluss auf verschiedene Faktoren analysiert. Diese Untersuchung hat das Ziel, mit Hilfe von indirekten Algorithmen und Merkmalen zu bestimmen, ob das untersuchte Objekt schädliche Eigenschaften besitzt oder ob es für das eigene System völlig harmlos ist.

Der Begriff Heuristik stammt vom griechischen „heurisko“ ab, was „ich finde“ bedeutet. Unter Zuhilfenahme der heuristischen Analyse lassen sich nämlich nicht nur bekannte Viren, sondern auch bislang unbekannte Virusgruppen finden und erkennen. Dies ist ein großer Vorteil im Vergleich zu Virenerkennungsansätzen, die auf bekannten Signaturen basieren. Virenscanner, die rein auf Signaturbasis arbeiten, können Malware nämlich nur dann als schädlich einstufen, wenn diese bereits aufgetaucht und bekannt ist.

Festzuhalten sind also zunächst grundsätzlich zwei Wesenszüge, die die heuristische Methode ausmachen. Sie ist:

  • eine präventive Methode der Malware-Erkennung und
  • ein wichtiges Sicherheitstool, um mit der immensen Menge an neuen Viren und ihren Variationen fertig zu werden.

Diese Vorteile sind von unschätzbarem Wert, denn schließlich werden die Zeitabstände, in denen neue Schadsoftware auftaucht und im Netz die Runde macht, immer kürzer. Kostenpflichtige Antivirusprogramme entdecken also nicht nur spezifische, bereits bekannte Viren, sondern erkennen mittels der heuristischen Analyse virusartiges Verhalten und verdächtige Änderungen an Dateien und lernt auf diese Weise selbstständig, neue Gefahren zu entdecken.

Heuristik bei der Virenerkennung

Im Verlauf der heuristischen Analyse wird an erster Stelle im Code nach verdächtig erscheinenden Befehlen und Merkmalen gesucht, welche zu den Charakteristiken von gefährlichen Virus-Programmen gehören. Dieser Prozess trägt die Bezeichnung statische Analyse und ist die Einleitung für die Untersuchung.

Schädliche Codes suchen in der Regel nach direkt ausführbaren Computerprogrammen, versuchen die gefundenen Dateien zu öffnen und verändern diese im Anschluss nach ihren Vorgaben.

Bei der heuristischen Analyse wird der Code dieser Anwendung überprüft und die sich daraus ergebenden Analyse-Werte statistisch festgehalten, wenn Verdacht erregende Befehle zu erkennen sind.

Wenn diese Werte nach der kompletten Durchsicht des Codes einen im Vorfeld definierten Grenzwert übersteigen, wird das vorliegende Objekt als verdächtig und potentiell gefährlich angesehen.

Einsatz der heuristischen Analyse in moderner Antivirus-Software

Bei modernen Antivirenprogrammen wird die statische Analyse mit einer dynamischen Analyse kombiniert. Der dynamische Ansatz folgt dem Prinzip, dass noch vor dem Start der möglicherweise schädlichen Computeranwendung diese in einem sicheren und virtuellen Umfeld emuliert wird.

Diese Simulation trägt die Bezeichnung Emulationspuffer oder Sandbox. In der IT-Branche hat sich dafür der Fachausdruck 'Emulation eines virtuellen Computers im realen Computer' etabliert.

Bei dem dynamischen Prozessverlauf der heuristischen Analyse wird ein Teil des Anwendungscodes in den Emulationspuffer der Antivirus-Software gelesen und deren Ausführung anhand von speziellen und trickreichen Befehlen emuliert. Entdeckt die Software während dieser Test-Ausführung als verdächtig einzustufende Aktionen, wird das entsprechende Objekt "festgenagelt".

Im Anschluss wird die reale Ausführung auf dem Computer des Anwenders komplett blockiert und der Virus somit unschädlich gemacht.

Vorteile
  • Extrem hohe Erkennungsrate von schädlichen Objekten
  • Deutlich geringere Wahrscheinlichkeit von False-Positives
Nachteile
  • Viel ressourcenintensiver und langwieriger
  • Sicheres virtuelles Umfeld ist erforderlich
  • Start der Anwendung auf dem realen Computer wird vorerst aufgeschoben
  • Anwender muss Abschluss der Analyse abwarten

Heuristische Methoden für proaktive Antivirus-Software

Mit der Kombination von statischen und dynamischen Analysemethoden stellt die heuristische Analyse beim Einsatz von Antiviren-Produkten ein hilfreiches Tool dar, um schädliche Viren umgehend zu erkennen und unwirksam zu machen.

Sowohl altbekannte als auch neuartige Viren lassen sich hiermit schnell lokalisieren und auf dem Anwendercomputer nicht mehr starten. Bei der heuristischen Analyse lassen sich im Vorfeld die Genauigkeitsstufen für die Untersuchung festlegen.

Bei der oberflächlichen Methode wird eine schnelle Untersuchung durchgeführt, sollte die Zeit des Anwenders knapp bemessen sein. Diese Analyse ist eine ideale Kombination aus überschaubarer Geschwindigkeit und genügender Genauigkeit bei der Untersuchung, welche bei den meisten Virusproblemen ausreicht.

Die tiefgehende Analyse richtet sich an außergewöhnliche Härtefälle, hierbei wird der Anwendercomputer detailliert untersucht, deshalb beansprucht diese Methode auch am meisten Zeit.

Die Analyse des Programmcodes eines Objekts nahm in den letzten Jahren an Bedeutung zu und ist ein wichtiger Bestandteil moderner Antivirenprogramme.

Die große Zahl an Schädlingen, die in immer kürzeren Abständen freigesetzt werden, macht eine ständige Aktualisierung der Schutzsoftware notwendig, die naturgemäß immer einen Schritt hinter der Virenentwicklung hinterherhinkt.

Damit die Schäden durch Malware, deren Signatur noch unbekannt ist, eingedämmt werden können, wird mit der heuristischen Analyse eine präventive Maßnahme angewendet. Der tatsächliche Nutzen ist auf dem derzeitigen Entwicklungsstand aber noch nicht sehr groß.

In der Realität werden Schädlinge nämlich mithilfe der bekannten Scanprogramme vorab getestet, damit sie auf den Rechnern unerkannt bleiben.

Die heuristische Analyse kommt unter anderem in der Antivirus-Software Bitdefender Antivirus Plus zum Einsatz. Zur größeren Sicherheit wird die proaktive Erkennungsmethode in diesem Programm mit anderen Scan-Methoden kombiniert.

Die PC-Sicherheitsprodukte von Bitdefender landen in unabhängigen Tests regelmäßig auf den Spitzenplätzen.


Teaserbild: © Stefano Garau / stock.adobe.com