Обнаружение аномалий — динамический метод работы антивирусов , систем сетевого мониторинга, хостовых и сетевых систем обнаружения вторжений .

Программа , использующая этот метод, наблюдает определённые действия (работу программы/ процесса , сетевой трафик , работу пользователя), следя за возможными необычными и подозрительными событиями или тенденциями.

Антивирусы, использующие метод обнаружения подозрительного поведения программ, не пытаются идентифицировать известные вирусы . Вместо этого они прослеживают поведение всех программ. Это помогает исключить опасность полиморфизма вирусов . Если программа пытается записать какие-то данные в исполняемый файл ( exe-файл ), программа-антивирус может пометить этот файл, предупредить пользователя и спросить, что следует сделать.

В отличие от метода соответствия определению вируса в словаре , метод подозрительного поведения даёт защиту от совершенно новых вирусов и сетевых атак, которых ещё нет ни в одной базе вирусов или атак. Однако программы, построенные на этом методе, могут выдавать также большое количество ошибочных предупреждений, что делает пользователя маловосприимчивым к предупреждениям. Если пользователь нажимает мышью на окно «Принять» («Accept») в каждом случае появления такого предупреждения, антивирусная программа не приносит никакой пользы. В последнее время эта проблема ещё более усугубилась, так как стало появляться всё больше невредоносных программ, модифицирующих другие exe-файлы, несмотря на существующую проблему ошибочных предупреждений.

Примечания