Автодятлы, бестелесные малвары и никаких котиков: руководитель группы вирусных аналитиков «Лаборатории Касперского» — о том, как у них все устроено
Еще вирусный аналитик определяет, к какому семейству причислить вредоноса. Он выделяет главное вредоносное поведение из всего того, что делает «малвара». Это обеспечивает порядок в нашей вирусной коллекции и впоследствии сильно помогает «автодятлу» обобщать знания автоматически. Дело в том, что быстрая и надежная рекорда, которую обычно создает сотрудник моей группы, детектирует один или несколько файлов семейства. А те рекорды, которые создает «автодятел», способны детектировать все семейство, тысячи и более файлов.
Ну, а в конце аналитик убеждается, что сформированный автоматикой ответ действительно отвечает на вопросы пользователя. Если тот интересовался еще чем-либо помимо подозрительного файла, ответ придется скорректировать.
Выходит, все держится на нас. Ведь именно мы даем первичные знания системам автообработки на базе машинного обучения. Если бы мы перестали обрабатывать уникальные и особые случаи, то через какое-то время «автодятлу» было бы не на чем дообучать свои матмодели. А ландшафт угроз меняется и, если защита не будет меняться, то со временем начнет деградировать.