Was ist die heuristische Analyse?

Wer sich für Antivirus-Software und Virenscanner interessiert, wird ziemlich schnell mit dem Fachbegriff "heuristische Analyse" konfrontiert. Nicht jedem ist auf Anhieb klar, was sich dahinter verbirgt. Der folgende Ratgebertext erklärt daher allen Interessierten, was es mit der heuristischen Analyse im Bereich Sicherheitssoftware überhaupt auf sich hat.

Bei der heuristischen Analyse wird der Code einer Datei überprüft und im Anschluss auf verschiedene Faktoren analysiert. Diese Untersuchung hat das Ziel, mit Hilfe von indirekten Algorithmen und Merkmalen zu bestimmen, ob das untersuchte Objekt schädliche Eigenschaften besitzt oder völlig harmlos ist.

Unter Zuhilfenahme der heuristischen Analyse lassen sich nicht nur bekannte Viren, sondern auch unbekannte Virusgruppen erkennen. Das ist ein großer Vorteil im Vergleich zu Virenerkennungsansätzen, die auf Signaturen basieren.

Virenscanner, die rein auf Signaturbasis arbeiten, können Malware nämlich nur dann als schädlich einstufen, wenn diese bereits aufgetaucht und bekannt ist. Die heuristische Analyse gehört zu den präventiven Methoden der Malware-Erkennung. Sie ist zudem ein wichtiges Sicherheitstool, um mit der immensen Menge an neuen Viren und ihren Variationen fertig zu werden.

Schließlich werden die Zeitabstände, in denen neue Schadsoftware auftaucht und im Netz die Runde macht, immer kürzer.

Heuristik bei der Virenerkennung

Im Verlauf der heuristischen Analyse wird an erster Stelle im Code nach verdächtig erscheinenden Befehlen und Merkmalen gesucht, welche zu den Charakteristiken von gefährlichen Virus-Programmen gehören. Dieser Prozess trägt die Bezeichnung statische Analyse und ist die Einleitung für die Untersuchung.

Schädliche Codes suchen in der Regel nach direkt ausführbaren Computerprogrammen, versuchen die gefundenen Dateien zu öffnen und verändern diese im Anschluss nach ihren Vorgaben.

Bei der heuristischen Analyse wird der Code dieser Anwendung überprüft und die sich daraus ergebenden Analyse-Werte statistisch festgehalten, wenn Verdacht erregende Befehle zu erkennen sind.

Heuristische Analyse Mann zeichnet ein Schaubild zu Antivirus
Heuristische Analyse in moderner Antivirus-Software.

Wenn diese Werte nach der kompletten Durchsicht des Codes einen im Vorfeld definierten Grenzwert übersteigen, wird das vorliegende Objekt als verdächtig und potentiell gefährlich angesehen.

Einsatz der heuristischen Analyse in moderner Antivirus-Software

Bei modernen Antivirenprogrammen wird die statische Analyse mit einer dynamischen Analyse kombiniert. Der dynamische Ansatz folgt dem Prinzip, dass noch vor dem Start der möglicherweise schädlichen Computeranwendung diese in einem sicheren und virtuellen Umfeld emuliert wird.

Diese Simulation trägt die Bezeichnung Emulationspuffer oder Sandbox. In der IT-Branche hat sich dafür der Fachausdruck 'Emulation eines virtuellen Computers im realen Computer' etabliert.

Bei dem dynamischen Prozessverlauf der heuristischen Analyse wird ein Teil des Anwendungscodes in den Emulationspuffer der Antivirus-Software gelesen und deren Ausführung anhand von speziellen und trickreichen Befehlen emuliert. Entdeckt die Software während dieser Test-Ausführung als verdächtig einzustufende Aktionen, wird das entsprechende Objekt "festgenagelt".

Im Anschluss wird die reale Ausführung auf dem Computer des Anwenders komplett blockiert und der Virus somit unschädlich gemacht.

Die Vor- und Nachteile der dynamischen Analyse:

  • Extrem hohe Erkennungsrate von schädlichen Objekten
  • Deutlich geringere Wahrscheinlichkeit von False-Positives
  • Viel ressourcenintensiver und langwieriger
  • Sicheres virtuelles Umfeld ist erforderlich
  • Start der Anwendung auf dem realen Computer wird vorerst aufgeschoben
  • Anwender muss Abschluss der Analyse abwarten

Heuristische Methoden für proaktive Antivirus-Software

Mit der Kombination von statischen und dynamischen Analysemethoden stellt die heuristische Analyse beim Einsatz von Antiviren-Produkten ein hilfreiches Tool dar, um schädliche Viren umgehend zu erkennen und unwirksam zu machen.

Sowohl altbekannte als auch neuartige Viren lassen sich hiermit schnell lokalisieren und auf dem Anwendercomputer nicht mehr starten. Bei der heuristischen Analyse lassen sich im Vorfeld die Genauigkeitsstufen für die Untersuchung festlegen.

Heuristische Analyse Tastatur Virenalarm
Bei der heuristischen Analyse wird der Code einer Datei überprüft.

Bei der oberflächlichen Methode wird eine schnelle Untersuchung durchgeführt, sollte die Zeit des Anwenders knapp bemessen sein. Diese Analyse ist eine ideale Kombination aus überschaubarer Geschwindigkeit und genügender Genauigkeit bei der Untersuchung, welche bei den meisten Virusproblemen ausreicht.

Die tiefgehende Analyse richtet sich an außergewöhnliche Härtefälle, hierbei wird der Anwendercomputer detailliert untersucht, deshalb beansprucht diese Methode auch am meisten Zeit.

Die Analyse des Programmcodes eines Objekts nahm in den letzten Jahren an Bedeutung zu und ist ein wichtiger Bestandteil moderner Antivirenprogramme.

Die große Zahl an Schädlingen, die in immer kürzeren Abständen freigesetzt werden, macht eine ständige Aktualisierung der Schutzsoftware notwendig, die naturgemäß immer einen Schritt hinter der Virenentwicklung hinterherhinkt.

Damit die Schäden durch Malware, deren Signatur noch unbekannt ist, eingedämmt werden können, wird mit der heuristischen Analyse eine präventive Maßnahme angewendet. Der tatsächliche Nutzen ist auf dem derzeitigen Entwicklungsstand aber noch nicht sehr groß.

In der Realität werden Schädlinge nämlich mithilfe der bekannten Scanprogramme vorab getestet, damit sie auf den Rechnern unerkannt bleiben.

Die heuristische Analyse kommt unter anderem in der Antivirus-Software Bitdefender Antivirus Plus zum Einsatz. Zur größeren Sicherheit wird die proaktive Erkennungsmethode in diesem Programm mit anderen Scan-Methoden kombiniert.

Die PC-Sicherheitsprodukte von Bitdefender landen in unabhängigen Tests regelmäßig auf den Spitzenplätzen.