Il ne faut pas laisser passer une si belle occasion. Fort de sa position dominante sur le marché des serveurs d’applications Web, où il enregistre, selon une étude d’IDC, une part de marché mondiale de 54 %, Trend Micro en profite pour apporter des améliorations techniques. Il intègre, en effet, un moteur à base d’intelligence artificielle à son moteur de recherche.
Repérer les comportements malveillants
“Notre nouveau moteur comportemental repose sur un système expert d’intelligence artificielle, et non plus seulement sur un moteur heuristique, comme c’est encore le cas chez nos confrères. Ce changement s’est opéré après que nous nous sommes aperçus que la partie générique de ce type de moteur engendrait trop de fausses alertes “, explique Marc Blanchard, directeur du centre de recherche européen de Trend. Il se trouve, en effet, que les moteurs génériques recherchent en priorité les ” mouvements ” au sein de la machine, par exemple, les INT, ou interruptions, non autorisées. Ainsi, tout nouveau logiciel installé après la mise en ?”uvre d’un logiciel antivirus générique est virtuellement considéré comme une entité malveillante.“Chaque virus possède potentiellement un comportement donné (action particulière ou payload, notamment) selon la structure ou le fonctionnement normal du fichier auquel il s’attaque. Un fichier DOC n’a, par exemple, aucune raison d’aller écrire dans le command. com ! “, souligne Marc Blanchard. C’est pourquoi le nouveau moteur d’InterScan VirusWall ouvre un ring (zone de tests d’un code logiciel) protégé en mémoire. Au moyen d’un exécuteur pas à pas, inclus dans le logiciel, il peut précisément décrire l’action et le comportement du fichier attaché entrant. Chaque fichier attaché est alors passé au crible d’un fichier de comportements, selon la fonction première du fichier scanné (script, macro, spam, etc.). Par un aller et retour de traps (requêtes d’analyse de codes dynamiques) entre le ring, relié au fichier de comportements, et le fichier attaché suspect, le logiciel sait quelles mesures prendre (détruire, archiver, laisser passer, etc.). Et lorsqu’un changement de version du moteur de scan s’effectue,“il suffit d’ajouter de nouveaux comportements génériques, ce qui diminue les temps de développement “, indique Marc Blanchard.Quant à la gestion de virus inconnus, tout dépend de leur comportement. S’ils se rattachent à une famille de comportements connue, ils seront détectés. S’ils agissent différemment, il faudra créer un profil spécifique dans le moteur d’analyse. En attendant, il suffira d’établir une règle de type pattern matching afin de bloquer une éventuelle propagation.
Un moteur orienté API
Comme ce moteur d’intelligence artificielle est orienté API, les fichiers de comportements peuvent endosser tout type de technique (vérification des assistants numériques, entre autres). Ils peuvent aussi être déclinés en modules individuels pour un besoin spécifique.InterScan VirusWall fonctionne sous Windows NT, sous Sun Solaris à partir de la version 2.6 (mais aussi avec la version 2.8 à 64 bits), sous HP-UX, ainsi que sur tous les noyaux Unix ou Linux, 2.2.x et 2.4.x.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.