Традиционные методы
Классические методы определяют особенности анализируемого приложения: какие системные вызовы выполняются, обращения к каким программным интерфейсам генерируются, какие привилегии и ресурсы используются. После этого полученные данные сравниваются со значениями из готового классификатора, и на основании этого выносится вердикт: опасно приложение или нет.
Традиционный подход предполагает, что вредоносное программное обеспечение обладает неизменными признаками. В реальности же оно постоянно эволюционирует, причем быстрее, чем обновляются классификаторы. Чтобы «переучить» классификатор, нужно обработать колоссальные объемы информации, а это непрактично.
DroidOL – методика непрерывного обучения
Новая технология получила название DroidOL. Основное её отличие от предшественниц – в том, что DroidOL обучается «на ходу». Она включает в себя механизм непрерывного машинного обучения в онлайн-режиме, граф межпроцедурного потока управления, который анализируется, и пассивно-агрессивный классификатор.
В процессе работы граф анализируется, и антивирус определяет, демонстрирует ли приложение потенциально опасное поведение. Эта информация используется для обучения пассивно-агрессивного классификатора. Если антивирус пометил как опасное приложение, которое на самом деле опасности не представляет, в классификатор в дальнейшем будут внесены изменения.
В результате классификатор постоянно обновляется, его не нужно полностью «переучивать». При этом эффективность технологии значительно выше – это доказало тестирование на базе, включавшей в себя более 87 тыс. приложений.
