Классификация компьютерных вирусов таблица: Классификация компьютерных вирусов

Содержание

ref-14624 (Классификация компьютерных вирусов.) — документ, страница 2

1. привязки программы на макро-языке к конкретному файлу;

2. копирования макро-программ из одного файла в другой;

3. возможность получения управления макро-программой без вмешательства пользователя (автоматические или стандартные макросы).

Данным условиям удовлетворяют редакторы Microsoft Word, Office97 и AmiPro, а также электронная таблица Excel и база данных Microsoft Access. Эти системы содержат в себе макро-языки: Word — Word Basic, Excel, Office97 (включая Word97, Excel97 и Access) — Visual Basic for Applications.

На сегодняшний день известны четыре системы, для которых существуют вирусы — Microsoft Word, Excel, Office97 и AmiPro. В этих системах вирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение. По аналогии с MS-DOS можно сказать, что большинство макро-вирусов являются резидентными: они активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор.

К данной группе относятся вирусы, которые при своем размножении тем или иным способом используют файловую систему какой-либо (или каких-либо) ОС.

Внедрение файлового вируса возможно практически во все исполняемые файлы всех популярных ОС. На сегодняшний день известны вирусы, поражающие все типы выполняемых объектов стандартной DOS: командные файлы (BAT), загружаемые драйверы (SYS, в том числе специальные файлы IO.SYS и MSDOS.SYS) и выполняемые двоичные файлы (EXE, COM).

Существуют вирусы, поражающие исполняемые файлы других операционных систем — Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, включая VxD-драйвера Windows 3.x и Windows95.

Существуют вирусы, заражающие файлы, которые содержат исходные тексты программ, библиотечные или объектные модули. Возможна запись вируса и в файлы данных, но это случается либо в результате ошибки вируса, либо при проявлении его агрессивных свойств. Макро-вирусы также записывают свой код в файлы данных — документы или электронные таблицы, — однако эти вирусы настолько специфичны, что вынесены в отдельную группу.

По способу заражения файлов вирусы делятся на «overwriting», паразитические («parasitic»), компаньон-вирусы («companion»), «link»-вирусы, вирусы-черви и вирусы, заражающие объектные модули (OBJ), библиотеки компиляторов (LIB) и исходные тексты программ.

4.1Overwriting

Данный метод заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать.

4.2 Parasitic

К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сими файлы при этом полностью или частично работоспособными. Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов («prepending»), в конец файлов («appending») и в середину файлов («inserting»). В свою очередь, внедрение вирусов в середину файлов происходит различными методами — путем переноса части файла в его конец или копирования своего кода в заведомо неиспользуемые данные файла («cavity»-вирусы).

4.3 Вирусы без точки входа

Отдельно следует отметить довольно незначительную группу вирусов, не имеющих «точки входа» (EPO-вирусы — Entry Point Obscuring viruses). К ним относятся вирусы, не записывающие команд передачи управления в заголовок COM-файлов (JMP) и не изменяющие адрес точки старта в заголовке EXE-файлов. Такие вирусы записывают команду перехода на свой код в какое-либо место в середину файла и получают управление не непосредственно при запуске зараженного файла, а при вызове процедуры, содержащей код передачи управления на тело вируса. Причем выполняться эта процедура может крайне редко (например, при выводе сообщения о какой-либо специфической ошибке).

В результате вирус может долгие годы «спать» внутри файла и выскочить на свободу только при некоторых ограниченных условиях.

4.4 Компаньон – вирусы

К категории «компаньон» относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т.е. вирус.

Наиболее распространены компаньон-вирусы, использующие особенность DOS первым выполнять .COM-файл, если в одном каталоге присутствуют два файла с одним и тем же именем, но различными расшинениями имени — .COM и .EXE. Такие вирусы создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением .COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, т.е. вирус, который затем запустит и EXE-файл. Некоторые вирусы используют не только вариант COM-EXE, но также и BAT-COM-EXE.

Возможно существование и других типов компаньон-вирусов, использующих иные оригинальные идеи или особенности других операционных систем.

4.5 Файловые черви

Файловые черви (worms) являются, в некотором смысле, разновидностью компаньон-вирусов, но при этом никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям «специальные» имена, чтобы подтолкнуть пользователя на запуск своей копии — например, INSTALL.EXE или WINSTART.BAT.

Существуют вирусы-черви, использующие довольно необычные приемы, например, записывающие свои копии в архивы (ARJ, ZIP и прочие). К таким вирусам относятся «ArjVirus» и «Winstart». Некоторые вирусы записывают команду запуска зараженного файла в BAT-файлы (например, «Worm.Info»).

4.6 Link-вирусы

Link-вирусы, как и компаньон-вирусы не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.

На сегодняшний день известен единственный тип Link-вирусов — вирусы семейства «Dir_II». При заражении системы они записывают свое тело в последний кластер логического диска. При заражении файла вирусы корректируют лишь номер первого кластера файла, расположенный в соответствующем секторе каталога. Новый начальный кластер файла будет указывать на кластер, содержащий тело вируса. Таким образом, при заражении файлов их длины и содержимое кластеров диска, содержащих эти файлы, не изменяется, а на все зараженные файлы на одном логическом диске будет приходиться только одна копия вируса.

4.7 OBJ-, LIB-вирусы и вирусы в исходных текстах

Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ, достаточно экзотичны и практически не распространены. Всего их около десятка. Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл, таким образом, не является выполняемым и неспособен на дальнейшее распространение вируса в своем текущем состоянии. Носителем же «живого» вируса становится COM- или EXE-файл, получаемый в процессе линковки зараженного OBJ/LIB-файла с другими объектными модулями и библиотеками. Таким образом, вирус распространяется в два этапа: на первом заражаются OBJ/LIB-файлы, на втором этапе (линковка) получается работоспособный вирус.

Под термином «резидентность» (DOS’овский термин TSR — Terminate and Stay Resident) понимается способность вирусов оставлять свои копии в системной памяти, перехватывать некоторые события (например, обращения к файлам или дискам) и вызывать при этом процедуры заражения обнаруженных объектов (файлов и секторов). Таким образом, резидентные вирусы активны не только в момент работы зараженной программы, но и после того, как программа закончила свою работу. Резидентные копии таких вирусов остаются жизнеспособными вплоть до очередной перезагрузки, даже если на диске уничтожены все зараженные файлы. Часто от таких вирусов невозможно избавиться восстановлением всех копий файлов с дистрибутивных дисков или backup-копий. Резидентная копия вируса остается активной и заражает вновь создаваемые файлы. То же верно и для загрузочных вирусов — форматирование диска при наличии в памяти резидентного вируса не всегда вылечивает диск, поскольку многие резидентные вирусы заражает диск повторно после того, как он отформатирован.

Нерезидентные вирусы, напротив, активны довольно непродолжительное время — только в момент запуска зараженной программы. Для своего распространения они ищут на диске незараженные файлы и записываются в них. После того, как код вируса передает управление программе-носителю, влияние вируса на работу операционной системы сводится к нулю вплоть до очередного запуска какой-либо зараженной программы.

DOS-вирусы

DOS предусматривает два легальных способа создания резидентных модулей: драйверами, указываемыми в CONFIG.SYS, и при помощи функции KEEP (INT 21h, AH=31h или INT 27h). Многие файловые вирусы для маскировки своего распространения используют другой способ — обработку системных областей, управляющих распределением памяти (MCB). Они выделяют для себя свободный участок памяти (включая UMB), помечают его как занятый и переписывают туда свою копию.

Загрузочные вирусы

Подавляющее большинство резидентных загрузочных вирусов для выделения системной памяти для своей резидентной копии использует один и тот же прием: они уменьшают объем DOS-памяти (слово по адресу 0040:0013) и копируют свой код в «отрезанный» блок памяти. Объем DOS-памяти обычно уменьшается на единицу (один килобайт) в случае коротких загрузочных вирусов, код которых занимает один сектор дискового пространства (512 байт). Вторая половина килобайта используется такими вирусами как буфер чтения/записи при заражении дисков. Если же размер вируса больше одного килобайта или он использует нестандартные методы заражения, требующие большего объема буфера чтения/записи, объем памяти уменьшается на несколько килобайт (среди известных вирусов максимальное значение у вируса RDA.Fighter — 30K).

Windows-вирусы

Для того, чтобы оставить выполняемый код в памяти Windows, существует три способа, причем все три способа (за исключением Windows NT) уже применялись различными вирусами.

Самый простой способ — зарегистрировать программу как одно из приложений, работающих в данный момент. Для этого программа регистрирует свою задачу, окно которой может быть скрытым, регистрирует свой обработчик системных событий и т.д. Второй способ — выделить блок системной памяти при помощи DPMI-вызовов и скопировать в него свой код (вирус h43r). Третий способ — остаться резидентно как VxD-драйвер (Wnidows 3.xx и Windows95) или как драйвер Windows NT.

Стелс-вирусы теми или иными способами скрывают факт своего присутствия в системе. Известные стелс-вирусы всех типов, за исключением Windows-вирусов — загрузочные вирусы, файловые DOS-вирусы и даже макро-вирусы. Появление стелс-вирусов, заражающих файлы Windows, является скорее всего делом времени.

6.1 Загрузочные вирусы

Загрузочные стелс-вирусы для скрытия своего кода используют два основных способа. Первый из них заключается в том, что вирус перехватывает команды чтения зараженного сектора (INT 13h) и подставляет вместо него незараженный оригинал. Этот способ делает вирус невидимым для любой DOS-программы, включая антивирусы, неспособные «лечить» оперативную память компьютера. Возможен перехват команд чтения секторов на уровне более низком, чем INT 13h.

Второй способ направлен против антивирусов, поддерживающих команды прямого чтения секторов через порты контроллера диска. Такие вирусы при запуске любой программы (включая антивирус) восстанавливают зараженные сектора, а после окончания ее работы снова заражают диск. Поскольку для этого вирусу приходится перехватывать запуск и окончание работы программ, то он должен перехватывать также DOS-прерывание INT 21h.

С некоторыми оговорками стелс-вирусами можно назвать вирусы, которые вносят минимальные изменения в заражаемый сектор (например, при заражении MBR правят только активный адрес загрузочного сектора — изменению подлежат только 3 байта), либо маскируются под код стандартного загрузчика.

6.2 Файловые вирусы

Большинство файловых стелс-вирусов использует те же приемы, что приведены выше: они либо перехватывают DOS-вызовы обращения к файлам (INT 21h) либо временно лечат файл при его открытии и заражают при закрытии. Также как и для загрузочных вирусов, существуют файловые вирусы, использующие для своих стелс-функций перехват прерываний более низкого уровня — вызовы драйверов DOS, INT 25h и даже INT 13h.

Полноценные файловые стелс-вирусы, использующие первый способ скрытия своего кода, в большинстве своем достаточно громоздки, поскольку им приходиться перехватывать большое количество DOS-функций работы с файлами: открытие/закрытие, чтение/запись, поиск, запуск, переименование и т.д., причем необходимо поддерживать оба варианта некоторых вызовов (FCB/ASCII), а после появления Windows95/NT им стало необходимо также обрабатывать третий вариант — функции работы с длинными именами файлов.

Классификация компьютерных вирусов. — страница 7

оригинального MBR без его сохранения. Пользователям новых операционных систем (Novell, Win95, OS/2) загрузочные вирусы также могут доставить неприятности. Несмотря на то, что перечисленные выше системы работают с дисками напрямую (минуя вызовы BIOS), что блокирует вирус и делает невозможным дальнейшее его распространение, код вируса все-таки, хоть и очень редко, получает управление при перезагрузке системы. Поэтому вирус «March6», например, может годами «жить» в MBR сервера и никак не влиять при этом на его (сервера) работу и производительность. Однако при случайной перезагрузке 6-го марта этот вирус полностью уничтожит все данные на диске. 3.     Макро-вирусы Макро-вирусы (macro viruses) являются программами на языках (макро-языках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макро-вирусы для Microsoft Word, Excel и Office97. Существуют также макро-вирусы, заражающие документы Ami Pro и базы данных Microsoft Access. Для существования вирусов в конкретной системе (редакторе) необходимо наличие встроенного в систему макро-языка с возможностями: 1. привязки программы на макро-языке к конкретному файлу; 2. копирования макро-программ из одного файла в другой; 3. возможность получения управления макро-программой без вмешательства пользователя (автоматические или стандартные макросы). Данным условиям удовлетворяют редакторы Microsoft Word, Office97 и AmiPro, а также электронная таблица Excel и база данных Microsoft Access. Эти системы содержат в себе макро-языки: Word — Word Basic, Excel, Office97 (включая Word97, Excel97 и Access) — Visual Basic for Applications. На сегодняшний день известны четыре системы, для которых существуют вирусы — Microsoft Word, Excel, Office97 и AmiPro. В этих системах вирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение. По аналогии с MS-DOS можно сказать, что большинство макро-вирусов являются резидентными: они активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор. 4.     Файловые вирусы К данной группе относятся вирусы, которые при своем размножении тем или иным способом используют файловую систему какой-либо (или каких-либо) ОС. Внедрение файлового вируса возможно практически во все исполняемые файлы всех популярных ОС. На сегодняшний день известны вирусы, поражающие все типы выполняемых объектов

Компьютерные вирусы и черви | Об угрозах

Компьютерный вирус и компьютерный червь — это вредоносные программы, которые способны воспроизводить себя на компьютерах или через компьютерные сети. При этом пользователь не подозревает о заражении своего компьютера. Так как каждая последующая копия вируса или компьютерного червя также способна к самовоспроизведению, заражение распространяется очень быстро. Существует очень много различных типов компьютерных вирусов и компьютерных червей, большинство которых обладают высокой способностью к разрушению.

Что нужно знать о компьютерных вирусах и червях

Вредоносное программное обеспечение из подкласса вирусов и червей включает:

  • Email-Worm
  • IM-Worm
  • IRC-Worm
  • Net-Worm
  • P2P-Worm
  • Virus
  • Компьютерные черви

    Большинство известных компьютерных червей распространяется следующими способами:

    • в виде файла, отправленного во вложении в электронном письме;
    • в виде ссылки на интернет — или FTP-ресурс
    • в виде ссылки, переданной через сообщение ICQ или IR
    • через пиринговые сети обмена данными P2P (peer-to-peer)
    • некоторые черви распространяются как сетевые пакеты. Они проникают прямо в компьютерную память, затем активируется код червя.
  • Компьютерные черви могут использовать ошибки конфигурации сети (например, чтобы скопировать себя на полностью доступный диск) или бреши в защите операционной системы и приложений. Многие черви распространяют свои копии через сеть несколькими способами.

  • Вирусы

    Вирусы можно классифицировать в соответствии с тем, каким способом они заражают компьютер:

    • Файловые вирусы
    • вирусы загрузочного сектора
    • Макровирусы
    • Вирусные скрипты
  • Любая программа данного подкласса вредоносного ПО в качестве дополнительных может иметь и функции троянской программы.

Как защититься от компьютерных вирусов и червей

Рекомендуется установить антивирус: программное обеспечение для защиты от вредоносных программ на все свои устройства (включая ПК, ноутбуки, компьютеры Mac и смартфоны). Решение для защиты от вредоносных программ должно регулярно обновляться, чтобы защищать от самых последних угроз. Хороший антивирус (такой как Антивирус Касперского) обнаруживает и предотвращает заражение ПК вирусами и червями, а Kaspersky Internet Security для Android — отличный выбор для защиты смартфонов на базе Android. В «Лаборатории Касперского» созданы продукты для следующих устройств:

  • ПК на базе Windows;
  • компьютеры Mac;
  • смартфоны;
  • планшеты

классификация, что это такое, опасные виды

Всем доброго времени суток! Давайте рассмотрим не только компьютерные вирусы, но также основные виды и признаки заражения. Пользователи компьютеров, смартфонов и планшетов постоянно сталкиваются с угрозой заражения вредоносным ПО.

При этом даже самая лучшая антивирусная программа, с постоянным обновлением баз, не может гарантировать 100% безопасность. Ежедневно в сети появляются тысячи новых вредоносных программ. Они атакуют как устройства самих пользователей, так и сайты. Итак, давайте разберемся – что такое компьютерные вирусы.

Основные типы вирусов

Компьютерный вирус – разновидность вредоносных программ, устанавливающихся без согласия пользователей. После внедрения в систему приводит к ряду нежелательных последствий. Например, может передавать персональные данные, удалять файлы и целые папки, блокировать работу пользователя. Рассмотрим более подробно основные типы вирусов.

Файловые вирусы

Самый старый и примитивный вид. Распространяется по всем исполняемым файлам. От пользователя к пользователю передаются через носители или электронную почту. При сильном распространении приводят к повреждениям операционной системы.

Черви

Этот тип компьютерных вирусов нацелен на выполнение каких-то конкретных действий. Для распространения вмешательство человека им не нужно. Они самостоятельно проникают через электронную почту, программы для общения (типа Skype) или незащищенную сеть.

Иногда черви могут существовать на просматриваемых сайтах. Уязвимость браузера позволяет им проникать в любую систему. Очень часто они маскируются под популярные программы. Лучшая защита от червей регулярное обновление программного обеспечения.

Боты

Разновидность вредоносного программного обеспечения, которое направлено на автоматическое исполнение определенных операций. При заражении одним и тем же ботом создается целая сеть. В дальнейшем она будет использоваться:

  • Для удаленного управления.
  • Рассылки спама и вредоносных программ.
  • DDoS-атак одного компьютера или целой сети.

Рекламное ПО

Вид компьютерных вирусов, специализирующийся на доставке рекламных объявлений. Чаще всего пользователь как обычно открывает страницу, и тут на него обрушивается целый поток баннеров и всплывающих окон, которые время от времени перенаправляют его на другие сайты.

В систему такие вирусы проникают при установке приложений. Большинство их относительно безвредно, но некоторые дополнительно собирают различную информацию. Например, о местонахождении или истории посещений и покупок.

Руткиты

Группа специальных программ, позволяющая получить удаленный доступ к компьютеру. Аналогичное программное обеспечение используют IT-специалисты для дистанционного устранения проблем.

После активации Руткит прописывается в системе, внося правки в реестр и устанавливая дополнительные компоненты. С его помощью хакер может похитить: логины и пароли, данные банковских карт, документы и переписку.

Кейлоггеры

Название переводится как «клавиатурный шпион». Могут существовать отдельно, но чаще всего являются компонентом какой-то вредоносной программы. Позволяют регистрировать различные действия пользователя.

Например, нажатия клавиш или движение мыши. Также могут делать снимки экрана и копировать содержимое буфера обмена. Установка кейлоггера позволяет получить доступ к авторизационным данным, паролям и другой информации.

Трояны

Трояны – вирусы компьютерные, и не только, так как могут проявляться и на других устройствах. Также могут заражать планшеты и смартфоны. Маскируются под различные файлы или программное обеспечение. Поэтому не всегда обнаруживаются антивирусами. Список троянов достаточно обширен. Среди них существуют программы как для непосредственного шпионажа, так и такие, которые способны нанести ущерб системе.

Вымогатели

Современный вид вредоносного ПО. Полностью блокирует доступ к системе. Чаще всего выглядит как баннер с требованием перечислить деньги на номер телефона. Распространение компьютерных вирусов вымогателей происходит через массовую рассылку исполняемых файлов, а также при скачивании контента с непроверенных ресурсов.

Виды заражаемых объектов

Мы рассмотрели краткие характеристики самых распространенных вредоносных программ. Но кроме них существуют и другие виды. Например, FAT вирус, который специализируется на атаке таблиц размещения файлов. Предотвратить их проникновение в систему поможет регулярное обновление баз антивирусных программ.

В зависимости от типа и принципа действия вирусы могут заражать следующие объекты:

  1. Файлы – как системные, так и пользовательские.
  2. Загрузочные сектор – чаще всего вредоносный файл прописывается в автозагрузке и активируется при каждом запуске системы.
  3. Макрокоманды – страдают документы, созданные через Microsoft Office и другие программы, использующие макрокоманды.

Признаки заражения

Большинство вирусных программ не оставляет явных следов. Заметить их наличие, согласно основам информатики, можно по следующим признакам:

  1. Снижение производительности – программы «тормозят», а загрузка окон происходит медленнее.
  2. В браузере появляется другая домашняя страница.
  3. Уменьшается объем доступной оперативной памяти.
  4. Постоянно появляются системные ошибки.
  5. Компьютер долго включается или выключается.
  6. Возрастает частота обращений к жесткому диску. Индикатор на системном блоке начинает мигать как будто используется программа.

При подозрениях на заражение необходимо как можно скорее произвести проверку системы. Некоторые вирусы могут привести к необратимым повреждениям как самой системы, так и компонентов компьютера.

Видео

Вирусы и антивирусные программы в информационной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

оригинальная статья

УДК 004.49(045)

© Попов И. О., Марунько А. С., Петров О. И., Олейник А. А., 2020

Вирусы и антивирусные программы в информационной безопасности

Илья Олегович Попов, студент факультета прикладной математики и информационных технологий, Финансовый университет, Москва, Россия Ilya O. Popov, student, Faculty of Applied Mathematics and Information Technology, Financial University, Moscow, Russia [email protected]

Анна Сергеевна Марунько, студентка факультета прикладной математики и информационных технологий, Финансовый университет, Москва, Россия Anna S. Marunko, student, Faculty of Applied Mathematics and Information Technology, Financial University, Moscow, Russia [email protected]

Олег Игревич Петров, студент факультета прикладной математики и информационных технологий, Финансовый университет, Москва, Россия Oleg I. Petrov, student, Faculty of Applied Mathematics and Information Technology, Financial University, Moscow, Russia [email protected]

Анастасия Александровна Олейник, студентка факультета прикладной математики и информационных технологий, Финансовый университет, Москва, Россия

Anastasia A. Oleynik, student, Faculty of Applied Mathematics and Information

Technology, Financial University, Moscow, Russia

[email protected]

Научный руководитель: Терновсков В.Б., доцент, кандидат экономических наук, Финансовый университет, Москва, Россия / Scientific supervisor: Ternovskov V.B., Cand. Sci. (Econ.), Financial University, Moscow, Russia.

аннотация

В нынешних условиях беспрерывного развития технологий в области программирования, компьютерных сетей и сети Интернет не перестает расти и темная сторона прогресса: вирусное ПО. Рядовые пользователи зачастую не обращают внимания, когда они попадают на их компьютеры, и даже не имеют установленных антивирусных программ. Следовательно, необходимо исследовать все аспекты борьбы с вирусами: предотвращение заражения, методы обнаружения вредоносных программ, их уничтожение, а также ликвидация последствий. При достаточном объеме знаний о том, как сражаться с компьютерными вирусами, станет возможно эффективно информировать пользователей, не разбирающихся в данной сфере, и избегать вспышек вирусов, которые происходят и в компьютерном мире (например, вирус Petya). Для этого мы провели исследование основных научных источников по данной тематике и статистических данных. Как итог, в данной работе даются основные представления о вирусах и проводится анализ методов их классификации, обнаружения и уничтожения.

Ключевые слова: вирусы; антивирусы; интернет; компьютеры; компьютерные сети; безопасность; информационная безопасность; ПО; браузеры; глобальные сети

Для цитирования: Попов И. О., Марунько А. с., Петров О. И., Олейник А. А. Вирусы и антивирусные программы в информационной безопасности. Научные записки молодых исследователей. 2020;8(4):74-80.

original paper

Viruses and Anti-viruses in Information Security

ABSTRACT

It is an open secret that no technology can be evolved without its dark side and all the disadvantages bring developed too. That is precisely why computer viruses are not surprising to anybody. However, it is genuinely astonishing that there are still a lot of people worldwide who are not aware of this dangerous phenomenon. They tend not to have anti-virus software installed and regard their computer malfunctions as something ordinary without any alarm. Therefore, our goal is to reconsider both methods of viruses’ classification, detection, annihilation and how anti-virus software works itself. With that task completed, we have made a relatively recent and relevant analysis to help average computer users understand what a computer virus is and how to fight it. Keywords: viruses; anti-viruses; internet; computers; computer networks; security; information security; software; browsers; global networks

For citation: Popov I. O., Marunko A. S., Petrov O. I., Oleynik A. A. Viruses and anti-viruses in information security. Nauchnye zapiski molodykh issledovatelei = Scientific notes of young researchers. 2020;8(4):74-80.

Введение

Со времен появления первых компьютеров и по сей день вирусы являются одной из основных причин появления неполадок в работе ЭВМ, утечек информации, в том числе и конфиденциальных данных. При этом за все это время компьютерные вирусы успели эволюционировать и обрести новые многочисленные формы. Сейчас рядовому программисту ничего не стоит создать вирусную программу по

разработанному шаблону, поэтому новое вредоносное ПО появляется чуть ли не каждую секунду.

Однако и эволюция антивирусных программ не стоит на месте. Методы обнаружения и предотвращения вредоносных действий продолжают развиваться. Также существуют платные версии большинства программ, предоставляющие более широкий функционал помимо работы с вирусами: например файервол (межсетевой экран), VPN и т.д. [1].

Несмотря на все достоинства, нынешнее защитное ПО далеко не идеально и имеет много недостатков. Как следствие, вопрос о борьбе с вирусными программами остается открытым.

Происхождение и классификация компьютерных вирусов

Идея и концепция механической структуры, способной к самовоспроизводству, активации, захвату и мутации, была выведена еще в 1959 г. американским ученым Л. С. Пенроузом, после чего Ф. Г. Сталь в качестве исследования реализовал эту идею при помощи машинного кода на IBM 650 [2].

Самой по себе проблемы компьютерных вирусов могло и не возникнуть, поскольку сами по себе ЭВМ сначала были только у крупных корпораций, правительственных организаций и подобных структур, так как сложность самой по себе ЭВМ делала ее крайне дорогим удовольствием для обычного человека, пока в 1979 г. компания Apple не выпустила первый доступный персональный компьютер Apple II. После того как многие пользователи получили в свое распоряжение личную ЭВМ, у вируса как у типа программы появилось то, что само по себе делает возможным его существование: потенциальная среда обитания и распространения.

С того момента было написано великое множество программ по распространению и борьбе с вирусами. Многие из них стали своего рода легендами. Как говорилось ранее, эволюция в мире информационных технологий не стоит на месте и различных видов вредоносных программ стало значительно больше, вследствие чего возникла необходимость в систематизированной классификации этих программ. Приведем такую характеристику.

Классифицировать весь спектр программ достаточно непростая задача в связи с различными аспектами, но можно дать вполне базовую классификацию по ключевым особенностям (см. таблицу).

Также можно добавить такие особенности, как поражаемая операционная система и выполняемые функции (например, слежка за пользователем, уничтожение данных, кража данных и т.д.).

Методы обнаружения компьютерных вирусов

Первым шагом в борьбе с вирусом и впоследствии восстановлении ЭВМ является, конечно же, обнаружение этого вредоносного ПО. В некоторых случаях это несложная задача: пользователь может само-

стоятельно понять, что его компьютер был заражен. Например, в интернет-браузере невозможно получить доступ к определенным веб-сайтам, регулярно меняется домашняя страница или сам браузер работает медленнее, чем обычно. Также пользователи зачастую замечают такие признаки:

• Медленная работа или зависания компьютера.

• Постоянно всплывающие оповещения на рабочем столе или в браузере.

• Неожиданные перезагрузки компьютера.

• Сообщения об ошибках, что системные файлы повреждены.

• Отсутствие доступа к командной строке диспетчеру задач и прочим системным приложениям [6].

Однако бывают и случаи, когда ошибки в работе операционной системы или браузера не так очевидны и пользователь спокойно выполняет всю необходимую ему работу, и тем не менее на компьютере имеются вирусы. Именно поэтому следует периодически сканировать все содержимое антивирусными программами, которые используют свои методы обнаружения вирусного ПО. Их можно поделить на две основных группы:

• Обнаружение вирусов по «словарю» [1].

Это достаточно простой способ. Антивирус просто сканирует все файлы и программы и сравнивает их со словарем, куда внесены существующие вирусы. Если есть совпадение, то антивирус удалит вредителя либо внесет в карантин.

Разумеется, чтобы данный метод справлялся со своей задачей, необходимо обновлять словарь и вносить в него новые вредоносные программы. Так как в наши дни их достаточно много, то, скорее всего, в словаре вашего антивируса будут далеко не все вирусы. Но чаще всего и этого достаточно, ведь большинство антивирусов используют именно метод словаря для обнаружения.

• Обнаружение вирусов по поведению программ.

Антивирусы, работающие по этому принципу, отслеживают то, как ведут себя программы и какие действия они выполняют. В основном вся подозрительная активность программ сводилась к записи новых данных в исполняемый файл, но теперь и обычные программы нередко делают то же самое. Как следствие, пользователь получает много ложных предупреждений, когда антивирус вновь принимает безобидный файл за вредоносный. Неудивительно, что этот способ применяется все реже и реже.

Таблица

Классификация компьютерных вирусов

Вредоносность • Безвредные — такого рода программы просто способны распространяться в сети, переходя с одного ПК на другой, но при этом не выполняют какие-либо деструктивные функции по отношению к системе [3]. • Неопасные — вредоносные программы, способные перегружать память ПК или генерировать звуковые сигналы, изображения. • Опасные — программы, способные наносить урон системе. • Крайне опасные — вирусы, способные уничтожать данные, находящиеся в различных сегментах и секторах памяти, приводить к поломке механических частей ПК

Среда обитания • Файловые — поражение исполняемых файлов, средой обитания являются соответственно COM и EXE файлы [3]. • Загрузочные — поражение секторов загрузки (Boot секторов) жестких дисков или секторов системного загрузчика. • Сетевые — поражение компьютерных сетей и систем. • Макро — поражение файлов программы Microsoft Office

Способ заражения • Резидентные вирусы — вирусы, остающиеся в оперативной памяти после исполнения работы инфицированной программы. После перезагрузки системы будут удалены с устройства, если в коде программы не заложена функция автозапуска, при таком условии лишь произойдет повторное инфицирование системы [4]. • Нерезидентные вирусы — вирусы, не занимающие оперативную память устройства и выполняющиеся лишь однократно при исполнении вирусной программы

Особенности алгоритма работы • Companion-вирусы — поражение ЕХЕ-файлов, при котором создается двойник СОМ-файла, после чего сначала исполняется файл с вирусом, потом файл самой программы. Содержимое ЕХЕ-файла при таком алгоритме не изменяется [5]. • Worms-вирусы — распространение в сети путем вычисления адресов других подключенных к этой сети устройств и отправка собственных копий на эти устройства. • Вирусы-паразиты — вирусы, способные изменять содержимое файлов и сегментов памяти зараженных устройств. • Stealth-вирусы — вирусы, способные перехватывать обращения дисковой операционный системы (DOS) к пораженным участкам диска и подставлять незараженные сегменты памяти. Помимо всего прочего, такие вирусы способны обманывать внутренние резидентные мониторы системы. • Вирусы-полиморфы — вирусы, не имеющие повторяющихся частей кода, в связи с этим такие вирусы очень трудно обнаружить. • Макровирусы — вирусы, поражающие макросы в файловых редакторах, таких как Microsoft Word и Microsoft Excel. • Вирусы, способные к самошифрованию,- вирусы, способные изменять свой программный код. • Вирусы с нестандартным алгоритмом — вирусы, имеющие свои собственные сигнатуры и структурные алгоритмы, сильно затрудняющие обнаружение вируса

Источник: составлено автором.

Также к методу обнаружения по поведению программы можно отнести принцип работы антивирусов, имитирующих небольшую часть кода запускаемой программы или имитирующих операционную систему (что-то вроде виртуальной машины) [4], а уже затем выполняющих программу на ней. Нетрудно догадаться, что такая проверка может занять слишком много времени, поэтому ею пользуются профессионалы, а не рядовые пользователи компьютеров. Зато она действительно является эффективной и может обнаружить все вирусы, оккупирующие ЭВМ.

Антивирусные программы

Говоря о методах обнаружения вирусов, мы уже упомянули, что, конечно же, главное средство борьбы с вредителями — это антивирусные программы. Они совмещают в себе все, что необходимо пользователю: находят вирус, ликвидируют его и его последствия, если был нанесен ущерб данным или другим программам.

При этом антивирусное ПО можно разделить на несколько видов, у которых все же несколько отличается функционал [7]:

• Детекторы.

Это как раз описанные выше антивирусы. Они находят проблему и «лечат» ее, используя метод словаря. К этому виду относят банальные и всем известные Doctor Web, антивирус Касперского.

• Фильтры.

Такие антивирусы следят за диском. При попытке любой программы записаться на него фильтр сообщит пользователю об этом и запросит у него разрешение на совершение операции. Таким образом можно бороться и с новыми неизвестными вирусами, если, конечно, они взаимодействуют с диском, а не с BIOS [8].

• Вакцинаторы.

Данный вид антивируса используется только для борьбы с конкретными известными вредоносными программами, поскольку вакцинатору необходимо взять признаки вируса. Затем он их записывает в безопасную программу пользователя, и вирус считает, что она уже заражена.

• Ревизоры.

Ревизоры хранят в себе сведения о состоянии программ и файлов, а при повторном сканировании используют их для сравнения и анализа изменений. Проверяется множество факторов: от размера файлов и времени их создания до состояния BOOT-сектора. Однако сам антивирус не определяет,

вредоносный перед ним файл или нет. Он передает все данные об изменениях пользователю, который уже сам должен решить, что послужило им причиной. Если это, по мнению человека, вирус, то тогда уже ревизор удаляет небезопасные данные или помещает их в карантин [8].

Несмотря на то что существует множество видов антивирусов с различными функционалами и принципами работы, а также большой реестр разработчиков данного ПО, недостатков у антивирусов, к сожалению, тоже немало.

Все-таки еще ни одна антивирусная программа не сможет гарантировать вам стопроцентной защиты от любого вируса. Это может быть новый неизвестный вирус, пока еще не занесенный в словари, или вирус, который был сильно зашифрован. Тогда понадобится мощный распаковщик, чего, разумеется, нет во многих антивирусах.

Более того, антивирусы любят находить угрозу в абсолютно безопасных файлах. Поэтому рядовые пользователи сами пропускают мимо глаз предупреждения о вирусах и вредоносных файлах, что делает защиту менее надежной.

исследование проблемы сетевых перехватчиков на антивирусах

Сетевой перехват — это процесс, производимый с помощью «атаки посредника». Особое ПО перенаправляет на себя шифрованное соединение пользователя с каким-либо сайтом, на который поступил запрос, и притворяется им. Затем перехватчик открывает новое соединение с изначальным веб-ресурсом и пропускает данные через себя между двумя соединениями. Поскольку тот, кто перехватывает трафик, получает доступ к большинству данных в рамках соединения, то он может считать, поменять и заблокировать любой контент, передающийся или получаемый клиентом. Это может использоваться как в хороших (блокировка вредоносных сайтов), так и в плохих целях (мошенничество, взлом устройств) [9, с. 101].

Зимой 2017 г. представителями Google, Mozilla, Cloudflare и нескольких университетов были резко раскритикованы процессы перехвата HTTPS-трафи-ка антивирусами и сетевыми фильтрами.

Благодаря сделанному исследованию выяснили, что сетевой перехват HTTPS-трафика антивирусными программами может нести угрозу для безопасности пользователей и их подключения к всемирной сети.

Как правило, данное ПО не может получить доступ к HTTPS-пакетам, однако антивирусные компании нашли способ для анализа данных, идущих по зашифрованным подключениям: они стали устанавливать собственные корневые сертификаты на устройство пользователя, что значительно снижает безопасность подключения.

Более того, анализ показывает, что сканеры трафика, представленные в некоторых антивирусах, за счет своих недоработок имеют еще больше уяз-вимостей. Перехваченные подключения используют слабые криптографические алгоритмы и пользуются до этого взломанными шифрами, которые могут позволить проводить атаки на устройства и расшифровывать подключение [10, c. 20]. Таким образом, как минимум, около 10% трафика перехватывается не только антивирусами,но и сторонним ПО, которое пользуется им, с легкостью расшифровывает и анализирует в своих целях. Именно потому антивирусным компаниям стоит задуматься о новом способе сбора информации [11].

Но лишь полбеды заключается в том, что перехват HTTPS-пакетов снижает защищенность пользователя и его данных в сети. Другая проблема — это то, насколько часто встречается сетевой перехват.

Измерение количества перехватов — задача непростая, поэтому для обнаружения перехвата используется усовершенствованная версия технологии TLS fingerprinting (буквально сетевой отпечаток пальца). Так, будет определено, кто именно осуществляет соединение: перехватчик или браузер. Технология оценивает конструкцию клиентского TLS-пакета (в основном это наборы шифров и TLS-опции) и сравнивает ее с базой данных уже известных [9, c. 109].

Были оценены рабочие процессы интернет-магазина, сайта Cloudflare и серверов обновления Firefox. Рассматривали, сколько браузерного трафика они перехватывают. И результаты, в свою очередь, показали, что перехватывается от 4 до 10% трафика, при этом 4% — это сервера Firefox, а 10% — Cloudfare.ох использует отдельное хранилище для корневых SSL-сертификатов, что уменьшает вероятность данных быть перехваченными. На данный момент это один из маневров, который может быть временным решением проблемы перехвата НТТРБ-трафика. Но минус маневра в том, что его предоставляет владелец сервера и запрошенного интернет-ресурса, а не антивирус, выступающий инициатором перехвата. Далеко не каждый сайт имеет возможность сделать это.

Таким образом, мы имеем возможность лишь наверняка определить масштаб урона, наносимого пользователю сетевыми перехватчиками, и лишь немного ликвидировать его, ведь все зависит от большого числа факторов: используемых ПО и соединений, запрашиваемого сайта, устройства пользователя и ОС на нем [13]. Но при этом абсолютно точно невозможно этого избежать, пока производители антивирусов не эволюционируют до менее уязвимого способа контроля НТТРБ-трафика.

Выводы

Подводя итоги, невозможно не заметить, какое огромное количество вирусов существуют и создаются каждую минуту в мире, а также какой ущерб они наносят пользователям компьютеров и сети Интернет.

К счастью, существуют антивирусные программы, которые хоть и не полностью, но могут предотвратить урон или ликвидировать последствия. Поэтому пользователям одинаково необходимо научиться правильно использовать как антивирусы, так и незнакомые файлы и ссылки — в любой момент они могут оказаться вредоносными.

Более того, разработчикам антивирусного ПО тоже есть, над чем поработать. Методы обнаружения и уничтожения вирусов на компьютере далеко не идеальны, в чем можно убедиться и на примерах данной статьи, и на личном опыте. Да и создатели вредоносных программ не сидят на месте, постоянно улучшая код и шифрование.

Именно в такой гонке эффективности вирусов и антивирусов пользователи должны научиться при помощи различного ПО обеспечивать свою безопасность и безопасность ПК.

Описок источников

1. Духан Е. И., Синадский Н. И., Хорьков Д.А. Программно-аппаратные средства защиты компьютерной информации. Екатеринбург: УрГУ; 2008. 240 с.

2. Курилов Ф. М. Оптимизационный метод проведения сравнительного анализа средств защиты информации от несанкционированного доступа. Технические науки: проблемы и перспективы: материалы III Междунар. науч. конф. (г. Санкт-Петербург, июль 2015 г.). СПб.: Свое издательство; 2015:40-44.

3. Власов Д.В., Минаев А. С. Методы противодействия анализу исполняемых файлов в информационных системах. Информация и безопасность. 2014;17(2):308-311.

4. Иванов В. Ю., Жигалов К. Ю. Методика обнаружения следов вредоносного программного обеспечения в дампах оперативной памяти. Cloud of science. 2018:5(2):2-5.

5. Рудниченко А. К., Шаханова М. В. Актуальные способы внедрения компьютерных вирусов в информационные системы. Молодой ученый. 2016;(11):221-223.

6. Кияев В. И. Безопасность информационных систем. М.: Открытый Университет «ИНТУИТ»; 2016. 192 с.

7. Гинодман В.А., Обелец Н. В., Павлов А.А. От первых вирусов до целевых атак. М.: МИФИ; 2014. 96 с.

8. Ложников П. С., Михайлов Е. М. Обеспечение безопасности сетевой инфраструктуры на основе операционной системы Microsoft. М.: Бином; 2008.

9. Хруска Ян. Борьба вирусов и антивирусов. Нью-Джерси, США: Издательство Саймона и Шустера; 1990.

10. Климентьев К. Е. Компьютерные вирусы и антивирусы. Д.А. Мовчан, ред. М.: ДМК-Пресс; 2015.

11. Антивирус Avast уличили в слежке за пользователями // iz.ru: ежедн. интернет-изд. 2019. 11 дек. URL: https://iz.ru/953277/2019-12-11/antivirus-avast-uLichiLi-v-sLezhke-za-poLzovateLiami (дата обращения: 09.03.2020).

12. Панов С. С. Пять лучших антивирусов для защиты вашего смартфона. Наука и образование сегодня. 2018;(3):18-21.

13. Спицын В. Г Информационная безопасность вычислительной техники. Томск: Эль Контент; 2011. 148 с.

References

1. Duhan E. I., Sinadskij N. I., Horkov D.A. Hardware and software protection of computer information. Ekaterinburg: UrGU; 2008. 240 р. (In Russ.).

2. KuriLov F. M. Optimization method for a comparative anaLysis of information security tooLs against unauthorized access. In: Engineering: probLems and prospects. MateriaLs of the III InternationaL scientific conference (St. Petersburg, JuLy 2015). St. Petersburg: Svoe izdateLstvo; 2015:40-44. (In Russ.).

3. VLasov D. V., Minaev A. S. Methods of counteracting the anaLysis of executabLe fiLes in information systems. Informatsiya i bezopasnost. 2014;17(2):308-311. (In Russ.).

4. Ivanov V. Yu., ZhigaLov K. Yu. MethodoLogy for detecting traces of maLware in core dumps. Cloud of science. 2018;5(2):2-5. (In Russ.).

5. Rudnichenko A. K., Shahanova M.V. ActuaL methods of introducing computer viruses into information systems. Molodoy uchony. 2016;(11):221-223. (In Russ.).

6. Kijaev V. I. Information System Security. Moscow: Otkrytyj Universitet INTUIT; 2016. 192 р. (In Russ.).

7. Ginodman V. A., ObeLec N.V., PavLov A.A. From the first viruses to targeted attacks. Moscow: MIFI; 2014. 96 р. (In Russ.).

8. Lozhnikov P. S., MihajLov E. M. Securing the network infrastructure based on the operating system Microsoft. Moscow: Binom; 2008. (In Russ.).

9. Hruska Jan. Computer virus and anti-virus warfare. NJ: United States Imprint of Simon and Schuster; 1990. (In Russ.).

10. KLimentev K. E. Computer viruses and anti-viruses. D.A. Movchan, еd. Moscow: DMK-Press; 2015. (In Russ.).

11. Avast anti-virus got caught in users espionage. 2019, 11 December. URL: https://iz.ru/953277/2019-12-11/ antivirus-avast-uLichiLi-v-sLezhke-za-poLzovateLiami (accessed on 9.03.2020). (In Russ.).

12. Panov S. S. Top-5 anti-viruses for protecting your smartphone. Science and education today. 2018;(3):18-21. (In Russ.).

13. Spicyn V. G. Information security of computer technoLogy. Tomsk: JeL Kontent; 2011. (In Russ.).

Компьютерные вирусы и защита от них

Презентация учителя информатики
ГОУ «Санаторная школа-интернат г.Калининска Саратовской области»
Васылык Марины Викторовны

2. Что такое компьютерный вирус?

Компьютерный вирус – это специально написанная небольшая по размерам
программа, которая может «приписывать» себя к другим программам, а
также выполнять различные нежелательные действия на компьютере.
Программа, внутри которой находится вирус, называется «зараженной».
Когда такая программа начинает работу, то сначала управление получает
вирус. Вирус находит и «заражает» другие программы, а также выполняет
какие-нибудь вредные действия (например, портит файлы или таблицу
размещения файлов на диске, «засоряет» оперативную память и т.д.).
Вирус – это программа, обладающая способностью к самовоспроизведению.
Такая способность является единственным свойством, присущим всем типам
вирусов. Вирус не может существовать в «полной изоляции». Это означает,
что сегодня нельзя представить себе вирус, который бы так или иначе не
использовал код других программ, информацию о файловой структуре или
даже просто имена других программ. Причина этого довольно понятна:
вирус должен каким-нибудь способом обеспечить передачу себе управления.
В настоящее время известно более 5000
программных вирусов, их можно
классифицировать по следующим
признакам:
1) среде обитания
2) способу заражения среды обитания
3) воздействию
4) особенностям алгоритма

4. В зависимости от среды обитания вирусы можно разделить на:

Сетевые вирусы распространяются по различным компьютерным
сетям.
Файловые вирусы внедряются главным образом в исполняемые
модули, т. е. В файлы, имеющие расширения COM и EXE. Файловые
вирусы могут внедряться и в другие типы файлов, но, как правило,
записанные в таких файлах, они никогда не получают управление и,
следовательно, теряют способность к размножению.
Загрузочные вирусы внедряются в загрузочный сектор диска
(Boot-сектор) или в сектор, содержащий программу загрузки
системного диска (Master Boot Re-cord).
Файлово-загрузочные вирусы заражают как файлы, так и
загрузочные сектора дисков.

5. По способу заражения вирусы делятся на:

Резидентные вирусы при заражении компьютера
оставляют в оперативной памяти свою резидентную
часть, которая потом перехватывает обращение
операционной системы к объектам заражения (файлам,
загрузочным секторам дисков и т. п.) и внедряется в
них. Резидентные вирусы находятся в памяти и
являются активными вплоть до выключения или
перезагрузки компьютера.
Нерезидентные вирусы не заражают память
компьютера и являются активными ограниченное
время.

6. По степени воздействия вирусы можно разделить на следующие виды:

Неопасные, не мешающие работе компьютера, но
уменьшающие объем свободной оперативной памяти
и памяти на дисках, действия таких вирусов
проявляются в каких-либо графических или
звуковых эффектах.
Опасные, которые могут
привести к различным нарушениям в
работе компьютера.
Очень опасные, воздействие
которых может привести к потере
программ, уничтожению данных,
стиранию информации в системных
областях диска.

7. По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия.

Простейшие вирусы — паразитические, они
изменяют содержимое файлов и секторов
диска и могут быть достаточно легко
обнаружены и уничтожены.
Вирусы-репликаторы(черви)распространяются по компьютерным сетям,
вычисляют адреса сетевых компьютеров и
записывают по этим адресам свои
копии.
Вирусы-невидимки (стелс-вирусы) —
Квазивирусные или «троянские»
программы — хотя они и не способны к
очень трудно обнаружить и обезвредить, так
как они перехватывают обращения
операционной системы к пораженным файлам
и секторам дисков и подставляют вместо
своего тела незараженные участки диска.
Вирусы-мутанты — содержат алгоритмы
шифровки-расшифровки, благодаря которым
копии одного и того же вируса не имеют ни
одной повторяющейся цепочки байтов.
самораспространению, но очень опасны, так
как, маскируясь под полезную программу,
разрушают загрузочный сектор и файловую
систему дисков.

9. Для защиты от вирусов можно использовать:

Общие средства защиты информации,
которые полезны также и как страховка от
физической порчи дисков, неправильно
работающих программ или ошибочных
действий пользователя;
Профилактические меры, позволяющие
уменьшить вероятность заражения вирусом;
Специализированные программы для защиты
от вирусов.
позволяют обнаруживать файлы, зараженные
одним из нескольких известных вирусов. Эти
программы проверяют, имеется ли в файлах на
указанном пользователем диске специфическая для
данного вируса комбинация байтов. При ее
обнаружении в каком-либо файле на экран
выводится соответствующее сообщение. Многие
детекторы имеют режимы лечения или
уничтожения зараженных файлов. Следует
подчеркнуть, что программы-детекторы могут
обнаруживать только те вирусы, которые ей
«известны».
имеют две стадии работы. Сначала они запоминают
сведения о состоянии программ и системных
областей дисков (загрузочного сектора и сектора с
таблицей разбиения жесткого диска).
Предполагается, что в этот момент программы и
системные области дисков не заражены. После этого
с помощью программы-ревизора можно в любой
момент сравнить состояние программ и системных
областей дисков с исходным. О выявленных
несоответствиях сообщается пользователю.
располагаются резидентно в оперативной памяти компьютера и
перехватывают те обращения к операционной системе,
которые используются вирусами для размножения и
нанесения вреда, и сообщают о них пользователя.
Пользователь может разрешить или запретить выполнение
соответствующей операции.
Некоторые программы-фильтры не «ловят»
подозрительные действия, а проверяют вызываемые на
выполнение программы на наличие вирусов.
Это вызывает замедление работы компьютера.
Однако преимущества использования программ-фильтров
весьма значительны – они позволяют обнаружить многие
вирусы на самой ранней стадии, когда вирус еще не успел
размножиться и что-либо испортить. Тем самым можно свести
убытки от вируса к минимуму.
модифицируют программы и диски таким образом,
что это не отражается на работе программ, но тот
вирус, от которого производится вакцинация, считает
эти программы или диски уже зараженными. Эти
программы крайне неэффективны.

14. AIDSTEST

В нашей стране, особую популярность
приобрели антивирусные программы,
совмещающие в себе функции детекторов и
докторов. Самой известной из них является
программа AIDSTEST Д.Н. Лозинского. В
Украине практически на каждом IBMсовместимом персональном компьютере есть
одна из версий этой программы. Одна из
последних версия обнаруживает более 8000
вирусов.

15. DOCTOR WEB

В последнее время стремительно растет
популярность другой антивирусной
программы — Doctor Web. Dr.Web так же,
как и Aidstest относится к классу
детекторов — докторов, но в отличие от
последнего, имеет так называемый
«эвристический анализатор» — алгоритм,
позволяющий обнаруживать
неизвестные вирусы. «Лечебная
паутина», как переводится с английского
название программы, стала ответом
отечественных программистов на
нашествие самомодифицирующихся
вирусов-мутантов. Последние при
размножении модифицируют свое тело
так, что не остается ни одной
характерной цепочки
байт, присутствовавшей в исходной
версии вируса. Dr.Web можно назвать
антивирусом нового поколения по
сравнению с Aidstest и его аналогами.

16. Microsoft Antivirus

В состав современных версий MS-DOS (например, 7.10)
входит антивирусная программа Microsoft Antivirus
(MSAV). Этот антивирус может работать в режимах
детектора-доктора и ревизора.
Avast!Antivirus

17. ADINF(Advanced Diskinfoscope)

ADinf относится к классу программревизоров. Антивирус имеет высокую скорость
работы, способен с
успехом противостоять вирусам, находящимся в
памяти. Он позволяет контролировать
диск, читая его по секторам через BIOS и не
используя системные прерывания DOS, которые
может перехватить вирус.

18. Kaspersky Internet Security 2009

Комплексная защита от всех видов вредоносных программ
Проверка файлов, почтовых сообщений и интернет-трафика
Защита интернет-пейджеров (ICQ, MSN)
Автоматическое обновление баз
Персональный сетевой экран
Безопасная работа в сетях Wi-Fi и VPN
Защита от сетевых атак
Инновационная система установки правил и контроля работы приложении
Проактивная защита от новых и неизвестных угроз
Поиск уязвимостей в ОС и установленном ПО
Блокирование ссылок на зараженные сайты
Блокирование ссылок на фишинговые сайты
Виртуальная клавиатура для безопасного ввода логинов и паролей
Предотвращение кражи данных, передаваемых через SSL-соединение (по HTTPSпротоколу)
Блокирование несанкционированных телефонных звонков Родительский контроль
Защита от спама

Практическая работа по информатике и ИКТ на тему ‘Компьютерные вирусы. Антивирусная защита’ (10-11 класс, 1 курс СПО)

Инструкция к практической работе №

Тема: Защита информации, антивирусная защита.

Задание к работе:

  1. Создайте в личном каталоге на диске Z: папку Практическая работа 15_Фамилия.

  2. Повторите теоретический материал темы с помощью презентаций: 1 Вирусы, 2 Антивирусные программы, 3 Защита информации.

  3. Откройте файл Конспект, заполнить его и сохраните в папке Практическая работа 15_Фамилия.

  4. Просканируйте свою личную папку с помощью программы ESETEndpointAntivirus. Результаты проверки вставьте в файл Проверка личной папки.

  5. Откройте файл Тест. Удалите неверные ответы и сохраните в папке Практическая работа 15_Фамилия.

  6. С помощью фигур (Вставка — Фигуры) создайте схему классификации антивирусных программ. Все фигуры сгруппируйте, предварительно их, выделив с нажатой клавишей Shift

Сохраните в папке Практическая работа 15_Фамилия с именем Схема.

  1. Создайте многоуровневый список Классификация вирусов. Сохраните в папке Практическая работа 15_Фамилия с именем Список.

  2. Создайте таблицу по образцу, заполнив пустые ячейки.

  3. Сохраните в папке Практическая работа 15_Фамилия с именем Таблица.

  4. С помощью таблицы без границ напечатайте текст Зарядка для шеи. Сохраните в папке Практическая работа 15_Фамилия с именем Дополнительно

Приложение 1

Заготовка файла-конспекта

Тема: Защита информации, антивирусная защита.

Компьютерный вирус —

Признаки заражения

Классификация компьютерных вирусов

По среде обитания

По способу заражения

По воздействию

По особенностям алгоритма

Основные меры по защите от вирусов

Классификация антивирусного программного обеспечения(с описанием принципа работы и примерами конкретных программ)

Приложение 2

Файл — Тест

Тест. «Вирусы и антивирусные программы»

1. Что такое компьютерный вирус?

  1. Прикладная программа

  2. Системная программа

  3. Программа, выполняющая на компьютере несанкционированные действия

  4. База данных.

2. Компьютерным вирусом является

  1. Программа проверки и лечения дисков

  2. Любая программа, созданная на языках низкого уровня

  3. Программа, скопированная с плохо отформатированной дискеты

  4. Специальная программа небольшого размера, которая может приписывать себя к другим программам, она обладает способностью » размножаться »

3. Заражение компьютерными вирусами может произойти в процессе …

  1. Работы с файлами

  2. Форматирования дискеты

  3. Выключения компьютера

  4. Печати на принтере

4. Основные типы компьютерных вирусов:

  1. Аппаратные, программные, загрузочные

  2. Сетевые, загрузочные, макровирусы

  3. Файловые, программные, макровирусы

5. Что называется вирусной атакой?

  1. Неоднократное копирование кода вируса в код программы

  2. Отключение компьютера в результате попадания вируса

  3. Нарушение работы программы, уничтожение данных, форматирование жесткого диска

6. Какие существуют средства защиты?

  1. Аппаратные средства

  2. Программные средства

  3. Аппаратныесредства и антивирусные программы

7. На чем основано действие антивирусной программы?

  1. На ожидании начала вирусной атаки

  2. На сравнении программных кодов с известными вирусами

  3. На удалении зараженных файлов

8. Какие программы относятся к антивирусным

  1. AVP, DrWeb, NortonAntiVirus

  2. MS-DOS, MS Word, AVP

  3. MS Word, MS Excel, Norton Commander

9. Какие файлы заражают макро-вирусы?

  1. Исполнительные

  2. Графические и звуковые

  3. Файлы документов Word и электронных таблиц Excel

  4. Html документы

10. Не опасные компьютерные вирусы могут привести

  1. К потере программ и данных

  2. К сбоям и зависаниям при работе компьютера

  3. К форматированию винчестера

  4. К уменьшению свободной памяти компьютера

11. Какой вид компьютерных вирусов внедряются и поражают исполнительные файлы с расширением *.com, *.exe?

  1. Файловые вирусы

  2. Загрузочные вирусы

  3. Макро-вирусы

  4. Сетевые вирусы

12. Основные меры по защите информации от повреждения вирусами

  1. Проверка дисков на вирус

  2. Создавать архивные копии ценной информации

  3. Не пользоваться «пиратскими» сборниками программного обеспечения

  4. Передавать файлы только по сети

15. Основные признаки проявления вирусов

  1. Частые зависания и сбои в работе компьютера

  2. Уменьшение размера свободной памяти

  3. Значительное увеличение количества файлов

  4. Медленная работа компьютера

типов и классификации вредоносных программ | Последняя строка

Автор: Джон Лав
28 МАРТА 2018 ГОДА

ПРИМЕЧАНИЕ. В этом блоге мы обычно сосредотачиваемся на конкретных аспектах вредоносного ПО, киберпреступности, угроз безопасности и сетевых нарушений. В этой публикации мы подумали, что сделаем большой шаг назад и предоставим некоторую основополагающую информацию в качестве контекста для понимания возможностей и разновидностей сегодняшнего вредоносного ПО.

«Вредоносное ПО», сокращение от «вредоносное программное обеспечение», — это общий термин, используемый для обозначения различных форм враждебного или назойливого программного обеспечения. Киберпреступники создают вредоносные программы для нарушения функций компьютера, кражи данных, обхода средств контроля доступа и иного нанесения вреда главному компьютеру, его приложениям или данным.

Исследователи классифицируют многие типы вредоносных программ несколькими способами, в том числе:

  • Метод доставки или методология атаки. Примеры включают скрытые загрузки, которые распространяют вредоносное ПО, просто посетив веб-сайт, фишинговые электронные письма, которые обманом заставляют жертв разглашать данные, атаки Man-in-the-Middle, которые захватывают контроль над компьютером, и межсайтовые сценарии, когда злоумышленник вводит вредоносные код в содержание веб-сайта.
  • Конкретный тип уязвимости, которую использует вредоносная программа. Примеры включают SQL-инъекцию, используемую злоумышленниками для получения доступа к данным или их изменения, и спуфинг домена, когда злоумышленники соблазняют веб-посетителей переходить по ссылкам на свои объявления или веб-сайты, заставляя их выглядеть как другие легитимные сайты.
  • Цель или задача вредоносного ПО. Например, программы-вымогатели преследуют чисто финансовые цели, в то время как программы-шпионы предназначены для перехвата конфиденциальной или конфиденциальной информации, а кейлоггеры перехватывают имена пользователей и пароли.
  • По платформе или устройству, на которое нацелено вредоносное ПО, например вредоносное ПО для мобильных устройств или атаки, нацеленные на определенную операционную систему.
  • Подход вредоносного ПО к скрытности или то, как оно пытается скрыться. Примером могут служить руткиты, которые обычно заменяют легитимные компоненты операционной системы вредоносными версиями.
  • Определенное поведение и характеристики, например способ репликации и распространения вредоносного ПО или другие атрибуты, отличающие его от других форм вредоносного ПО.Это наиболее распространенный метод классификации вредоносных программ.

Базового понимания того, как классифицируется вредоносное ПО, как описано выше, достаточно для большинства читателей. Поэтому откажемся от более подробного и исчерпывающего описания.

Тем не менее, для всех, кто занимается кибербезопасностью, важно иметь хотя бы фундаментальные знания о наиболее важных и распространенных разновидностях вредоносного ПО.

Наиболее важные и распространенные типы вредоносных программ

В приведенном ниже списке представлен обзор.

Рекламное ПО

Рекламное ПО — это название, данное программам, предназначенным для отображения рекламы на вашем компьютере, перенаправления ваших поисковых запросов на рекламные веб-сайты и сбора маркетинговых данных о вас. Например, рекламное ПО обычно собирает типы веб-сайтов, которые вы посещаете, чтобы рекламодатели могли отображать настраиваемые рекламные объявления.

Многие считают рекламное ПО, которое собирает данные без вашего согласия, вредоносным рекламным ПО. Другой пример вредоносного рекламного ПО — это навязчивые всплывающие окна с рекламой предполагаемых исправлений несуществующих компьютерных вирусов или проблем с производительностью.

Шпионское ПО

Spyware, как следует из названия, шпионит за вами. Шпионское ПО, такое как рекламное ПО, предназначенное для отслеживания и фиксации вашего просмотра веб-страниц и других действий, часто отправляет ваши действия в браузере рекламодателям. Однако шпионское ПО включает возможности, которых нет в рекламном ПО. Он может, например, также захватывать конфиденциальную информацию, такую ​​как банковские счета, пароли или данные кредитной карты.

Хотя не все шпионские программы являются вредоносными, они вызывают споры, поскольку могут нарушать конфиденциальность и потенциально могут быть использованы.

Компьютерный вирус

Основная характеристика компьютерного вируса — это вредоносное ПО, которое злоумышленники программируют для воспроизведения. Обычно это происходит путем атаки и заражения существующих файлов в целевой системе. Вирусы должны выполнять свою грязную работу, поэтому они нацелены на любой тип файла, который может выполнить система.

Вирусы существуют, по крайней мере, концептуально, с первых дней появления компьютеров. Джон фон Нейман провел первую академическую работу по теории самовоспроизводящихся компьютерных программ в 1949 году.Первые образцы реальных вирусов появились в 70-х годах.

Хотя в последние годы их угроза уменьшилась, а другие формы вредоносного ПО оказались в центре внимания, на протяжении многих лет вирусы были причиной массового уничтожения. Помимо кражи и повреждения данных, они потребляют системные ресурсы, что часто делает хост-систему неэффективной или даже бесполезной.

Еще одна общая черта вирусов заключается в том, что они скрыты, что затрудняет их обнаружение. Вирусы прибывают без приглашения, скрываются в секрете, размножаются, заражая другие файлы при запуске, и обычно работают незаметно.

Червь

Как и вирус, черви заразны, и киберпреступники создают их для самовоспроизведения. Однако червь реплицируется без заражения определенных файлов, уже имеющихся на компьютере. Черви переносят себя в своих собственных контейнерах и часто ограничивают свои действия тем, что они могут сделать внутри приложения, которое их перемещает. Они используют компьютерную сеть для распространения, полагаясь на сбои безопасности на целевом компьютере для доступа к нему, и крадут или удаляют данные.

Многие черви предназначены только для распространения и не пытаются изменить системы, через которые они проходят.

Троян

Троян — это вредоносная программа, которая выдает себя за свою полезность. Киберпреступники распространяют троянских программ под видом обычного программного обеспечения, которое убеждает жертву установить его на свой компьютер. Этот термин происходит от древнегреческой истории о деревянном коне, который тайком вторгся в Трою. Троянские кони не менее опасны для компьютеров.

Полезная нагрузка может быть чем угодно, но обычно представляет собой бэкдор, позволяющий злоумышленникам несанкционированный доступ к зараженному компьютеру. Трояны также предоставляют киберпреступникам доступ к личной информации пользователя, такой как IP-адреса, пароли и банковские реквизиты. Они часто используются для установки клавиатурных шпионов, которые могут легко захватывать имена и пароли учетных записей или данные кредитных карт и раскрывать эти данные злоумышленнику. Большинство атак программ-вымогателей осуществляются с использованием троянских коней, заключающих вредоносный код в явно безобидный фрагмент данных.

Специалисты по безопасности считают, что трояны являются одними из самых опасных типов вредоносного ПО на сегодняшний день, особенно трояны, предназначенные для кражи финансовой информации у пользователей. Некоторые коварные типы троянов на самом деле заявляют, что они удаляют с компьютера любые вирусы, но вместо этого вводят вирусы.

Кейлоггер

Регистратор нажатий клавиш, или кейлоггер, записывает каждое нажатие клавиши, сделанное на компьютере, часто без разрешения или ведома пользователя. Кейлоггеры имеют законное применение в качестве профессионального инструмента ИТ-мониторинга.Однако регистрация нажатия клавиш обычно используется в преступных целях, собирая конфиденциальную информацию, такую ​​как имена пользователей, пароли, ответы на вопросы безопасности и финансовую информацию.

Руткит

Руткит — это набор программных инструментов, обычно вредоносных, которые предоставляют неавторизованному пользователю привилегированный доступ к компьютеру. После установки руткита контроллер руткита имеет возможность удаленно запускать файлы и изменять конфигурацию системы на хост-машине.

Руткиты не могут самораспространяться или реплицироваться. Они должны быть установлены на устройстве. В зависимости от того, где они работают (на нижних уровнях прикладного уровня операционной системы, в ядре операционной системы или в базовой системе ввода / вывода устройства (BIOS) с привилегированными правами доступа), их очень трудно обнаружить и еще сложнее. удалять.

При обнаружении руткита некоторые специалисты рекомендуют полностью очистить жесткий диск и переустановить все с нуля.

Фишинг и целевой фишинг

Фишинг — это киберпреступление, при котором с целью или целями связывается по электронной почте, телефону или текстовым сообщением кто-то, выдающий себя за законное учреждение, чтобы вынудить жертву предоставить конфиденциальные данные, такие как личная информация, банковские данные и данные кредитной карты, а также пароли. .

Технически фишинг — это не тип вредоносного ПО, а скорее метод доставки, который преступники используют для распространения многих типов вредоносных программ. Мы перечислили его среди типов вредоносных программ из-за его значимости и для иллюстрации того, как оно работает.

Часто фишинговая атака побуждает человека щелкнуть URL-адрес, зараженный вредоносным ПО, что заставляет жертву думать, что она посещает их банк или другую онлайн-службу. Затем вредоносный сайт перехватывает идентификатор и пароль жертвы или другую личную или финансовую информацию.

Spear Phishing — это атака, нацеленная на конкретного человека или группу лиц, например на финансового директора корпорации, с целью получения доступа к конфиденциальным финансовым данным. Регулярный «фишинг» нацелен на массы.

Боты и ботнеты

Также известные как роботы, боты — это вредоносные программы, разработанные для проникновения в компьютер, автоматического реагирования и выполнения инструкций, полученных от центрального сервера управления и контроля. Боты могут самовоспроизводиться (например, черви) или реплицироваться посредством действий пользователя (например, вирусы и трояны).

Целая сеть взломанных устройств называется ботнетом. Одно из наиболее распространенных применений ботнета — запуск распределенной атаки типа «отказ в обслуживании» (DDoS) с целью сделать машину или весь домен недоступными.

Программа-вымогатель

Программа-вымогатель — это тип вредоносного ПО, которое блокирует данные на компьютере жертвы, как правило, с помощью шифрования. Киберпреступник, стоящий за вредоносным ПО, требует оплаты, прежде чем расшифровать выкупленные данные и вернуть доступ жертве.

Мотив атак программ-вымогателей почти всегда денежный, и, в отличие от других типов атак, жертва обычно уведомляется о том, что произошел эксплойт, и получает инструкции по оплате для восстановления данных до нормального состояния.

Платежи часто требуются в виртуальной валюте, например в биткойнах, чтобы личность киберпреступника оставалась скрытой.

Многие другие типы вредоносных программ

В приведенном выше списке описаны только наиболее распространенные типы вредоносных программ, используемых сегодня. На самом деле существует множество дополнительных типов и разновидностей вредоносных программ, и киберпреступники постоянно разрабатывают новые, хотя большинство из них представляют собой просто новые методы для достижения одной из целей, описанных выше.

В какой-то момент в будущем, несомненно, появятся новые вредоносные программы, которые не будут похожи на указанные выше категории.Это означает, что те из нас, кто отвечает за безопасность сети, должны постоянно искать новые типы вредоносных программ, которые не соответствуют шаблону. Мы никогда не можем ослабить бдительность.

Хорошая новость заключается в том, что подавляющее большинство новых вредоносных программ, с которыми мы столкнемся, попадают в одну или несколько из перечисленных выше классификаций. Новое вредоносное ПО — это во многом вариация старой темы.

Джон Лав

Джон Лав занимается маркетингом в сфере высоких технологий более 30 лет.Проведя первые 18 лет в Apple, он работал в Logitech и нескольких стартапах, а с 2010 года работал в сфере безопасности.

Последние сообщения Джона Лава (посмотреть все)

имен вредоносных программ — Windows Security

  • Читать 3 минуты

В этой статье

Мы называем вредоносное и нежелательное программное обеспечение, которое мы обнаруживаем, в соответствии со схемой именования вредоносных программ Организации компьютерных антивирусных исследований (CARO).Схема использует следующий формат:

Когда наши аналитики исследуют конкретную угрозу, они определяют, каким будет каждый из компонентов имени.

Тип

Описывает, что вредоносная программа делает на вашем компьютере. Черви, вирусы, трояны, бэкдоры и программы-вымогатели — одни из наиболее распространенных типов вредоносного ПО.

  • Рекламное ПО
  • Бэкдор
  • Поведение
  • BrowserModifier
  • Конструктор
  • DDoS
  • Эксплойт
  • Инструмент для взлома
  • Шутка
  • Вводящие в заблуждение
  • Инструмент для мониторинга
  • Программа
  • PWS
  • Выкуп
  • Удаленный доступ
  • Разбойник
  • Модификатор настроек
  • SoftwareBundler
  • Спаммер
  • Спуфер
  • Шпионское ПО
  • Инструмент
  • Троян
  • TrojanClicker
  • TrojanDownloader
  • TrojanNotifier
  • TrojanProxy
  • TrojanSpy
  • VirTool
  • Вирус
  • Червь

Платформы

Платформы

указывают на операционную систему (например, Windows, masOS X и Android), для работы с которой предназначена вредоносная программа.Платформа также используется для обозначения языков программирования и форматов файлов.

Операционные системы

  • AndroidOS: операционная система Android
  • DOS: платформа MS-DOS
  • EPOC: Устройства Psion
  • FreeBSD: платформа FreeBSD
  • iPhoneOS: операционная система iPhone
  • Linux: платформа Linux
  • macOS: платформа MAC 9.x или более ранняя версия
  • macOS_X: MacOS X или новее
  • OS2: платформа OS2
  • Palm: операционная система Palm
  • Solaris: платформы Unix на базе System V
  • SunOS: платформы Unix 4.1.3 или ниже
  • SymbOS: операционная система Symbian
  • Unix: общие платформы Unix
  • Win16: платформа Win16 (3.1)
  • Win2K: платформа Windows 2000
  • Win32: 32-разрядная платформа Windows
  • Win64: 64-разрядная платформа Windows
  • Win95: платформы Windows 95, 98 и ME
  • Win98: только платформа Windows 98
  • WinCE: платформа Windows CE
  • WinNT: WinNT

Языки сценариев

  • ABAP: сценарии расширенного программирования бизнес-приложений
  • ALisp: сценарии ALisp
  • AmiPro: скрипт AmiPro
  • ANSI: скрипты Американского национального института стандартов
  • AppleScript: скомпилированные сценарии Apple
  • ASP: сценарии Active Server Pages
  • AutoIt: сценарии AutoIT
  • BAS: базовые сценарии
  • BAT: базовые сценарии
  • CorelScript: сценарии Corelscript
  • HTA: сценарии приложений HTML
  • HTML: сценарии приложений HTML
  • INF: сценарии установки
  • IRC: скрипты mIRC / pIRC
  • Java: двоичные файлы (классы) Java
  • JS: сценарии JavaScript
  • ЛОГОТИП

  • : скрипты ЛОГОТИПА
  • MPB: скрипты MapBasic
  • MSH: сценарии оболочки монад
  • MSIL:.Сценарии промежуточного языка .NET
  • Perl: сценарии Perl
  • PHP: скрипты препроцессора гипертекста
  • Python: сценарии Python
  • SAP: сценарии платформы SAP
  • SH: сценарии оболочки
  • VBA: сценарии Visual Basic для приложений
  • VBS: сценарии Visual Basic
  • WinBAT: сценарии Winbatch
  • WinHlp: сценарии справки Windows
  • WinREG: сценарии реестра Windows

Макросы

  • A97M: макросы Access 97, 2000, XP, 2003, 2007 и 2010
  • HE: создание макросов
  • O97M: макросы Office 97, 2000, XP, 2003, 2007 и 2010 — те, которые влияют на Word, Excel и PowerPoint
  • PP97M: макросы PowerPoint 97, 2000, XP, 2003, 2007 и 2010
  • V5M: макросы Visio5
  • W1M: Word1Macro
  • W2M: Word2Macro
  • W97M: макросы Word 97, 2000, XP, 2003, 2007 и 2010
  • WM: макросы Word 95
  • X97M: макросы Excel 97, 2000, XP, 2003, 2007 и 2010
  • XF: формулы Excel
  • XM: макросы Excel 95

Другие типы файлов

  • ASX: XML-метафайл Windows Media.asf файлы
  • HC: Сценарии HyperCard Apple
  • MIME: пакеты MIME
  • Netware: файлы Novell Netware
  • QT: файлы Quicktime
  • SB: файлы StarBasic (Staroffice XML)
  • SWF: файлы Shockwave Flash
  • TSQL: файлы сервера MS SQL
  • XML: файлы XML

Семья

Группировка вредоносных программ по общим характеристикам, включая принадлежность к одним и тем же авторам. Поставщики программного обеспечения безопасности иногда используют разные имена для одного и того же семейства вредоносных программ.

Письмо с вариантами

Используется последовательно для каждой отдельной версии семейства вредоносных программ. Например, обнаружение для варианта «.AF» было бы создано после обнаружения для варианта «.AE».

Суффиксы

Предоставляет дополнительные сведения о вредоносном ПО, в том числе о том, как оно используется в составе многокомпонентной угрозы. В приведенном выше примере «! Lnk» означает, что компонент угрозы — это ярлык, используемый трояном: Win32 / Reveton.T.

  • .плотина: повреждено вредоносное ПО
  • .dll: компонент библиотеки динамической компоновки вредоносного ПО
  • .dr: компонент-дроппер вредоносной программы
  • .gen: вредоносная программа, обнаруживаемая с помощью общей сигнатуры
  • .

  • .kit: конструктор вирусов
  • .ldr: компонент-загрузчик вредоносной программы
  • .pak: сжатое вредоносное ПО
  • .plugin: подключаемый компонент
  • .remnants: остатки вируса
  • .worm: компонент-червь этой вредоносной программы
  • ! Bit: внутренняя категория, используемая для обозначения некоторых угроз
  • ! Cl: внутренняя категория, используемая для обозначения некоторых угроз
  • ! Dha: внутренняя категория, используемая для обозначения некоторых угроз
  • ! Pfn: внутренняя категория, используемая для обозначения некоторых угроз
  • ! Plock: внутренняя категория, используемая для обозначения некоторых угроз
  • ! Rfn: внутренняя категория, используемая для обозначения некоторых угроз
  • ! Rootkit: руткит-компонент этой вредоносной программы
  • @m: почтовые программы-червя
  • @mm: массовый почтовый червь

Обнаружение полиморфных вредоносных программ с использованием методов и ансамблей классификации последовательностей | Журнал EURASIP по информационной безопасности

Хотя мы не получили выигрышную оценку логарифмических потерь для Kaggle Microsoft Malware Classification Challenge (BIG 2015) [19], мы смогли получить наивысший балл 0.047999572 при использовании 64-битной конфигурации хеширования с Strand. Мы использовали несколько методов, включая объединение моделей, сокращение и корректировку прогнозов на основе оценок достоверности, полученных Strand, для достижения наилучшего результата. Эти результаты подробно обсуждаются в следующих разделах.

Индивидуальная модель последовательности Asm — наш самый впечатляющий результат, обеспечивающий точность более 98,59% при десятикратной перекрестной проверке и значительный прирост производительности по сравнению с 72 часами обучения команды-победителя.Фактически, мы можем сгенерировать модели обучения Asm для 10-кратной перекрестной проверки менее чем за 45 минут при обработке 224 ГБ обучающих данных и 189 ГБ тестовых данных, как показано в таблице 3 ниже.

Таблица 3 Десятикратные результаты перекрестной проверки при использовании Strand с 64-битными хэш-кодами и последовательностями Asm для прогнозирования десятикратного увеличения на основе данных обучения вредоносному ПО Microsoft

Влияние размера хэш-кода и отсечения на точность классификации

Индивидуальный размер каждого значения хеш-кода, составляющего подпись minhash Стрэнда, имеет решающее значение для получения точных результатов классификации.Хотя хеширование слов в 32- или 64-битные целые числа может значительно сократить объем памяти, выбранная длина слова также может влиять на коллизии, резко влияя на точность классификации.

Таблица 4 показывает, как доступные уникальные значения хеш-функции для каждого слова уникальной последовательности гена и возможные конфликты зависят как от длины слова, так и от выбора подходящего размера хеш-кода. Например, более 1 миллиарда потенциальных коллизий на слово наблюдается при хешировании 31 слова последовательности основного гена только в 32-битные, в то время как 64-битный хэш обеспечивает достаточно места для каждого уникального значения 31 базового слова.Наконец, оставшиеся разделы рис. 4 показывают, что 32-битная функция хеширования предоставляет достаточно уникальных значений для отображения отдельных слов длиной до 16 базисов, в то время как 64-битная функция хеширования поддерживает уникальные значения для отдельных слов длиной до 32 базисов. длина. Коллизии все еще могут возникать при сохранении 31 базового слова в виде 64-битного хэша. Однако они значительно сокращаются по сравнению с хранением 31 базового слова в виде 32-битного хеша.

Таблица 4 Среднее число коллизий на слово последовательности гена при разном размере базового слова для 32- и 64-битных хэш-кодов

Наконец, минимальные значения хэша, которые связаны с несколькими категориями классификации, я добавляю шума к данной модели, поскольку несколько категорий могут получать голоса, когда подпись minhash содержит такое значение из нескольких категорий.Классификатор Strand включает функцию, которая может быть выполнена после создания обучающей модели для удаления любых значений minhash в обучающих данных, связанных с несколькими категориями. Эмпирические результаты показывают небольшое повышение точности классификации как для байтовых, так и для Asm-моделей, когда все значения minhash, связанные с более чем одной категорией, удалены.

Результаты классификации двоичных файлов

В таблице 1 показаны десятикратные результаты перекрестной проверки для моделей, использующих только шестнадцатеричные данные байтового файла.Strand показал в среднем 91,88% точности по десятикратным прогнозам с использованием только 32-битных хеш-функций. В таблице 2 показаны 10-кратные результаты перекрестной проверки для версии Strand с использованием 64-битных хэш-кодов. Strand показал в среднем 97,41% точности в 10 случаях. При использовании 64-битных хеш-функций мы смогли резко снизить логарифмическую оценку потерь с 0,452784 до 0,222864. Хотя потребление памяти немного увеличилось, не было значительного ухудшения производительности обучения или классификации.

Время обучения в таблицах 1 и 2 представляет собой время, необходимое для обучения на 90% из 10 868 записей данных обучения Malware Classification Challenge (9782 записи обучения). Время классификации в обеих таблицах отражает время, необходимое для классификации количества записей, отраженных в столбце «Классифицировано», которые представляют 10% обучающих данных для каждой свертки. 32-битной и 64-битной версиям Strand потребовалось 5,482 и 5,483 часов соответственно, чтобы классифицировать все 10868 обучающих записей во время 10-кратной перекрестной проверки.

64-разрядная модель занимает примерно 5 ГБ памяти и 436 МБ сжатых на диске, тогда как 32-разрядная версия занимает примерно 3 ГБ в памяти и 255 МБ сжатых на диске. Из-за небольшого размера модели несколько копий могут быть загружены в память для нескольких рабочих процессов, чтобы воспользоваться преимуществами параллелизма на уровне процессов при классификации больших объемов данных. Например, для обработки тестовых файлов, предоставленных Microsoft, было задействовано 15 классификационных работников.

Результаты классификации файлов Asm

При использовании данных последовательности, созданных из команд и токенов сборки файлов Asm, мы смогли повысить точность в течение десятикратной перекрестной проверки, при этом значительно сократив время обучения и классификации до менее 45 и 5 минут соответственно на складывать.Основная причина такого большого прироста производительности — существенное сокращение входных данных, необходимых для обработки, по сравнению с моделями байтовых файлов. Например, для 10 873 файлов тестовых данных, созданных для последовательностей Asm, требуется размер 720 МБ на диске, в то время как такое же количество файлов соответствующих байтов требует 47,3 ГБ. Аналогичным образом, 10868 обучающих файлов, сгенерированных для последовательностей Asm, требовали 773 МБ на диске, в то время как такое же количество файлов соответствующих байтов также требовало 47,3 ГБ. 64-битная модель Asm достигла 0 баллов потери журнала.062721944 при использовании для прогнозирования данных теста Kaggle.

В таблице 3 показаны результаты десятикратной перекрестной проверки для моделей, использующих данные последовательности Asm в качестве входных. Мы смогли достичь более высокой средней чувствительности 98,59% для каждого из десяти значений по сравнению с байтовыми файлами. Кроме того, время обучения и классификации примерно в восемь раз быстрее на всех складках. Время обучения в Таблице 3 представляет собой время, необходимое для обучения на 90% из 10 868 записей обучающих данных Malware Classification Challenge (9782 обучающих записей).Время классификации отражает время, необходимое для классификации количества записей, отраженных в столбце «Классифицировано», которые представляют 10% обучающих данных для каждой свертки.

В отличие от предыдущих байтовых файловых моделей, высокий уровень точности Strand не позволяет ему делать несколько прогнозов в некоторых случаях (43 из 10878), что делает актуальным различие между Точностью и Чувствительностью. В случае с байтовой моделью оба значения одинаковы для каждой свертки. В то время как средняя чувствительность Стрэнда была 98.59% по каждой из десяти крат, точность рассчитывается путем исключения 43 случаев, когда Стрэнд не смог сделать прогноз. Точность Strand для модели Asm при десятикратной перекрестной проверке составляет 99,10%, если рассматривать только те записи, которые Strand может предсказать.

Результаты классификации ансамблей

Мы попробовали несколько подходов для создания ансамблей с использованием как байтовых, так и Asm-моделей из Strand. Хотя сложение оценок категорий minhash для обеих моделей действительно привело к очень небольшому увеличению точности во время перекрестной проверки, мы не смогли снизить оценку потерь журнала Kaggle, используя этот подход.

Была 61 из 10 877 тестовых записей Kaggle, для которых модель Asm не смогла сделать прогноз. В последней байтовой модели таких записей не было. Мы объединили прогнозы из обеих моделей, используя по умолчанию прогнозирование байтовой модели только тогда, когда прогнозирование файла Asm не было доступно. Этот подход дал оценку потерь журнала Kaggle 0,081511944. Аналогичную и, возможно, более точную версию этого ансамбля можно было бы создать, сгенерировав вторую модель Asm с использованием более короткой длины токена 50 vs.55, чтобы подобрать дополнительные пропущенные прогнозы. Однако мы оставляем это на будущее.

Strand выдает оценки коллизий minhash для каждой известной категории в репозитории обучающих данных. В некоторых случаях для выполнения более точных прогнозов могут использоваться результаты нескольких обучающих моделей. Поскольку коллизии minhash приблизительно соответствуют подобию Жаккара, победившие в категории баллы MCC также отражают уверенность в конкретном прогнозе. Например, подпись minhash со значением 2400 с 2400 коллизиями для данной категории указывает на сходство по Жаккару приблизительно 1, в то время как только 15 коллизий могут указывать на сходство по Жаккару только 0.00625%. Фактически, 15 из 16 неверных предсказаний для Fold 1 в Таблице 3 имели менее 221 из 2400 коллизий minhash. Это представляет собой сходство по Жаккару приблизительно 0,092%, в то время как все они имели приблизительное значение сходства по Жаккару менее 517 или 0,095%.

Наш лучший показатель потерь журнала был получен путем взятия ансамбля Asm и байтов и установки значений для всех категорий на 1/ M (общее количество категорий) для прогнозов с очень низкой достоверностью. В этом случае значения для каждой категории равнялись 1/9 или равной вероятности, когда предсказания имели менее 15 коллизий minhash.Эмпирические результаты показали, что 15 было лучшим пороговым значением из значений 5, 10, 15, 20 и 25. Использование этого подхода изменило 23 из 10 877 прогнозов на равные вероятности, что дало окончательную оценку логарифмических потерь 0,047999572.

вирусов, червей, троянов и ботов?


Введение
Классы вредоносных программ
Программы-вымогатели
Вирусы
Черви
Трояны
Боты
Каналы распространения вредоносных программ
Десять лучших практик для борьбы с вредоносными программами
Дополнительные условия
Расширенные постоянные угрозы
Рекламное ПО
Взлом браузера

Взлом браузера
служебных атак
Исполняемый файл
Эксплойт
Обмен мгновенными сообщениями
Интернет-ретранслятор
Кейлоггеры
Вредоносные крипто-майнеры
Вредоносный мобильный код
Полезная нагрузка
Вредоносное ПО для точек продаж
Потенциально нежелательные программы или приложения
Шпионское ПО
476 Социальная инженерия
Шпионское ПО
Социальная инженерия
Гусеницы
Стеклоочистители
Дополнительные ресурсы


Введение

Вирусы, черви, трояны и боты — все это часть класса программного обеспечения, называемого «вредоносным ПО».«Вредоносное ПО — это сокращение от« вредоносное программное обеспечение », также известное как вредоносный код или« злонамеренный код ». Это код или программное обеспечение, специально разработанное для повреждения, нарушения работы, кражи или в целом других« плохих »или незаконных действий с данными. , хосты или сети.

Существует множество различных классов вредоносных программ, которые имеют разные способы заражения систем и самораспространения. Вредоносные программы могут заражать системы, будучи связанными с другими программами или прикрепляясь к файлам в виде макросов. Другие устанавливаются с использованием известных уязвимость в операционной системе (ОС), сетевом устройстве или другом программном обеспечении, например дыра в браузере, которая требует от пользователей посещения веб-сайта только для заражения их компьютеров.Однако подавляющее большинство из них устанавливаются некоторыми действиями пользователя, такими как щелчок по вложению электронной почты или загрузка файла из Интернета.

Некоторые из наиболее известных типов вредоносных программ — это вирусы, черви, трояны, боты, программы-вымогатели, бэкдоры, шпионское и рекламное ПО. Ущерб от вредоносных программ варьируется от незначительного раздражения (например, всплывающей рекламы в браузере) до кражи конфиденциальной информации или денег, уничтожения данных и компрометации и / или полного отключения систем и сетей.

В дополнение к повреждению данных и программного обеспечения на оборудовании, вредоносное ПО стало нацеливаться на физическое оборудование этих систем. Вредоносное ПО также не следует путать с дефектным программным обеспечением, которое предназначено для законных целей, но содержит ошибки или «баги».

Классы вредоносных программ

Двумя наиболее распространенными типами вредоносных программ являются вирусы и черви. Эти типы программ способны к самовоспроизведению и могут распространять свои копии, которые могут даже быть модифицированными копиями.Чтобы вредоносное ПО могло быть классифицировано как вирус или червь, оно должно иметь возможность распространяться. Разница в том, что червь действует более или менее независимо от других файлов, в то время как вирус зависит от основной программы для своего распространения. Эти и другие классы вредоносного ПО описаны ниже.

Программы-вымогатели

Программы-вымогатели — это тип вредоносного программного обеспечения, которое угрожает опубликовать данные жертвы или постоянно блокировать доступ к ним, если не будет уплачен выкуп. В то время как некоторые простые программы-вымогатели могут заблокировать систему таким способом, который не составит труда отменить для знающего человека, более продвинутая вредоносная программа использует метод, называемый криптовирусным вымогательством , который шифрует файлы жертвы, делая их недоступными, и требует выкупа. расшифровать их.

Вирусы

Компьютерный вирус — это тип вредоносного ПО, которое распространяется, вставляя свою копию в другую программу и становясь ее частью. Он передается с одного компьютера на другой, оставляя инфекции в пути. Вирусы могут иметь различную степень серьезности: от вызывающих легкое раздражение эффектов до повреждения данных или программного обеспечения и возникновения условий отказа в обслуживании (DoS). Почти все вирусы прикреплены к исполняемому файлу, что означает, что вирус может существовать в системе, но не будет активен и не сможет распространяться, пока пользователь не запустит или не откроет вредоносный хост-файл или программу.Когда выполняется код хоста, выполняется и вирусный код. Обычно основная программа продолжает работать после заражения вирусом. Однако некоторые вирусы перезаписывают другие программы своими копиями, что полностью уничтожает основную программу. Вирусы распространяются, когда программное обеспечение или документ, к которому они прикреплены, переносятся с одного компьютера на другой с использованием сети, диска, совместного использования файлов или зараженных вложений электронной почты.

Черви

Компьютерные черви похожи на вирусы в том, что они копируют свои функциональные копии и могут вызывать такие же повреждения.В отличие от вирусов, которые требуют распространения зараженного хост-файла, черви представляют собой автономное программное обеспечение и не требуют для распространения хост-программы или помощи человека. Для распространения черви либо используют уязвимость в целевой системе, либо используют какую-то социальную инженерию, чтобы обманом заставить пользователей запустить их. Червь проникает в компьютер через уязвимость в системе и использует функции передачи файлов или информации в системе, позволяя ему перемещаться без посторонней помощи. Более продвинутые черви используют технологии шифрования, очистки и вымогателей, чтобы нанести вред своим целям.

Трояны

Троян — это еще один тип вредоносного ПО, названный в честь деревянного коня, с помощью которого греки проникли в Трою. Это вредоносная программа, которая выглядит законной. Пользователи обычно обманом загружают и запускают его в своих системах. После активации он может выполнять любое количество атак на хост, от раздражения пользователя (всплывающие окна или смена рабочих столов) до повреждения хоста (удаление файлов, кража данных или активация и распространение других вредоносных программ, таких как вирусы). .Также известно, что трояны создают бэкдоры, чтобы предоставить злоумышленникам доступ к системе. В отличие от вирусов и червей, трояны не размножаются, заражая другие файлы, и не самовоспроизводятся. Трояны должны распространяться при взаимодействии с пользователем, например при открытии вложения электронной почты или загрузке и запуске файла из Интернета.

Боты

«Бот» происходит от слова «робот» и представляет собой автоматизированный процесс, который взаимодействует с другими сетевыми службами. Боты часто автоматизируют задачи и предоставляют информацию или услуги, которые в противном случае выполнял бы человек.Типичное использование ботов — это сбор информации, например поисковые роботы, или автоматическое взаимодействие с мгновенными сообщениями (IM), Internet Relay Chat (IRC) или другими веб-интерфейсами. Их также можно использовать для динамического взаимодействия с веб-сайтами.

Ботов можно использовать как с добрыми, так и со злыми умыслами. Вредоносный бот — это самораспространяющаяся вредоносная программа, предназначенная для заражения хоста и обратного подключения к центральному серверу или серверам, которые действуют как центр управления (C&C) для всей сети скомпрометированных устройств или «ботнета».«С помощью ботнета злоумышленники могут запускать массовые атаки типа« удаленное управление »против своих целей.

Помимо способности червя к самораспространению, боты могут включать в себя способность регистрировать нажатия клавиш, собирать пароли, захватывать и анализировать пакеты, собирать финансовую информацию, запускать атаки типа «отказ в обслуживании» (DOS), ретранслировать спам и открывать бэкдоры на зараженном хосте. Боты обладают всеми преимуществами червей, но, как правило, гораздо более универсальны в их вектор заражения и часто изменяются в течение нескольких часов после публикации нового эксплойта.Известно, что они используют бэкдоры, открываемые червями и вирусами, что позволяет им получать доступ к сетям с хорошим контролем периметра. Боты редко объявляют о своем присутствии с высокой скоростью сканирования, которая наносит ущерб сетевой инфраструктуре; вместо этого они заражают сети способом, который ускользает от немедленного внимания.

Продвинутые бот-сети могут использовать преимущества обычных устройств Интернета вещей (IOT), таких как бытовая электроника или бытовая техника, для увеличения числа автоматических атак. Крипто-майнинг — это обычное использование этих ботов в гнусных целях.

Каналы распространения вредоносного ПО

Расширенное вредоносное ПО обычно попадает на компьютер или в сеть по следующим каналам распространения:

  • Автозагрузка Непреднамеренная загрузка компьютерного программного обеспечения из Интернета
  • Незапрашиваемая электронная почта Нежелательные вложения или встроенные ссылки в электронной почте
  • Физические носители Встроенные или съемные носители, например USB-накопители
  • Самораспространение Способность вредоносного ПО перемещаться с компьютера на компьютер или из сети в сеть, таким образом распространяясь само по себе

Полный список тактик вредоносных программ от начального доступа до управления и контроля см. В разделе «Тактика, методы и общие знания» MITER.

Десять передовых методов борьбы с вредоносным ПО

  1. Реализация масштабируемых инструментов первой линии защиты, таких как платформы облачной безопасности
  2. Соблюдение политик и практик для установки исправлений приложений, систем и устройств
  3. Использование сегментации сети для снижения риска вспышек заболеваний
  4. Внедрение инструментов мониторинга процессов конечных точек нового поколения
  5. Доступ к своевременным и точным данным и процессам аналитики угроз, которые позволяют использовать эти данные в мониторинге безопасности и событиях
  6. Выполнение более глубокой и расширенной аналитики
  7. Проверка и отработка процедур реагирования на безопасность
  8. Частое резервное копирование данных и тестирование процедур восстановления — процессы, которые имеют решающее значение в мире быстро распространяющихся сетевых червей-вымогателей и разрушительного кибероружия
  9. Проведение сканирования безопасности микросервисов, облачных сервисов и систем администрирования приложений
  10. Обзор систем безопасности и изучение использования SSL-аналитики и, если возможно, расшифровки SSL

Дополнительные условия

Расширенные постоянные угрозы (APT)

Набор скрытых и непрерывных процессов взлома компьютеров, часто организованных человеком или лицами, нацеленными на конкретную организацию.APT обычно нацелен либо на частные организации, либо на государство, либо на то и другое по деловым или политическим мотивам. Процессы APT требуют высокой степени скрытности в течение длительного периода времени. «Продвинутый» процесс означает сложные методы с использованием вредоносных программ для эксплуатации уязвимостей в системах. «Постоянный» процесс предполагает, что внешняя система управления и контроля непрерывно отслеживает и извлекает данные от конкретной цели. Процесс «угрозы» указывает на участие человека в организации атаки.

Рекламное ПО

Программное обеспечение, которое приносит доход разработчику за счет автоматической генерации онлайн-рекламы в пользовательском интерфейсе программного обеспечения или на экране, отображаемом пользователю в процессе установки. Программное обеспечение может приносить два типа дохода: один предназначен для отображения рекламы, а другой — на основе «платы за клик», если пользователь нажимает на рекламу.

Backdoor

Недокументированный способ доступа к системе в обход обычных механизмов аутентификации.Некоторые бэкдоры помещаются в программное обеспечение исходным программистом, а другие размещаются в системе в результате взлома системы, например вируса или червя. Обычно злоумышленники используют бэкдоры для более легкого и непрерывного доступа к системе после ее взлома.

Bootkit

Вариант вредоносной программы, которая изменяет загрузочные секторы жесткого диска, включая основную загрузочную запись (MBR) и объемную загрузочную запись (VBR). Злоумышленники могут использовать буткиты для сохранения в системах на уровне ниже операционной системы, что может затруднить выполнение полного исправления, если организация не подозревает, что оно использовалось, и может действовать соответствующим образом.

Browser Hijacker

Программное обеспечение, которое изменяет настройки веб-обозревателя без разрешения пользователя на размещение нежелательной рекламы в обозревателе пользователя. Угонщик браузера может заменить существующую домашнюю страницу, страницу ошибки или поисковую систему своей собственной. Обычно они используются для принудительного перехода на определенный веб-сайт, что увеличивает его доход от рекламы. Это программное обеспечение часто поставляется в виде панели инструментов браузера и отправляется в виде вложения электронной почты или загрузки файла.

Crimeware

Класс вредоносных программ, специально созданных для автоматизации киберпреступлений.Преступное ПО (отличное от шпионского и рекламного ПО) предназначено для кражи личных данных с помощью социальной инженерии или технической скрытности, чтобы получить доступ к финансовым и розничным счетам пользователя компьютера с целью получения средств с этих счетов или выполнения несанкционированных транзакций, которые обогащают кибер-вора. Кроме того, преступное ПО может украсть конфиденциальную или конфиденциальную корпоративную информацию.

Атаки типа «отказ в обслуживании» (DOS)

Вредоносные попытки одного или нескольких людей заставить жертву, сайт или узел отказывать в обслуживании своим клиентам.

Исполняемый файл

Компьютерный файл, содержащий последовательность инструкций для запуска автоматической задачи, когда пользователь щелкает значок файла или когда она запускается с помощью команды.

Эксплойт

Часть программного обеспечения, команда или методология, которые атакуют определенную уязвимость системы безопасности. Эксплойты не всегда имеют злонамеренный характер; иногда они используются только как способ продемонстрировать наличие уязвимости. Однако они являются обычным компонентом вредоносных программ.

Мгновенный обмен сообщениями

Приложения для личного или делового общения, основанные на концепции обнаружения присутствия в сети, чтобы определить, когда объект может общаться. Эти приложения позволяют сотрудничать через текстовый чат, аудио, видео или передачу файлов.

Internet Relay Chat

Система для общения в чате, включающая набор правил и соглашений, а также программное обеспечение клиент / сервер.

Кейлоггеры

Действие записи (регистрации) нажатия клавиш на клавиатуре, как правило, скрытно, чтобы человек, использующий клавиатуру, не знал, что его действия отслеживаются.Затем данные могут быть извлечены человеком, работающим с программой регистрации. Кейлоггер может быть программным или аппаратным.

Вредоносные крипто-майнеры

Программное обеспечение, использующее системные ресурсы для выполнения больших математических вычислений, в результате которых решателям передается определенное количество криптовалюты. Есть два способа майнинга: либо с помощью отдельного майнера, либо с помощью майнинговых пулов. Программное обеспечение для майнинга зависит как от ресурсов процессора, так и от электроэнергии. После того, как в систему был добавлен майнер, и она начала добычу, с точки зрения противника больше ничего не нужно.Майнер стабильно приносит доход, пока не будет удален.

Вредоносный мобильный код

Программное обеспечение со злым умыслом, которое передается с удаленного хоста на локальный и затем выполняется на локальном хосте, обычно без явных указаний пользователя. Популярные языки вредоносного мобильного кода включают Java, ActiveX, JavaScript и VBScript.

Полезная нагрузка

Часть передачи данных, которая также может содержать вредоносные программы, такие как черви или вирусы, которые выполняют вредоносное действие: удаление данных, отправку спама или шифрование данных.В то время как заголовки пакетов указывают источник и место назначения, фактические данные пакета называются «полезной нагрузкой».

Вредоносное ПО для торговых точек (POS)

Тип вредоносного программного обеспечения, которое киберпреступники используют для нацеливания на терминалы торговых точек (POS) с целью получения информации о кредитных и дебетовых картах путем считывания данных из памяти устройства на кассе розничной торговли. система торговых точек. Вредоносное ПО для торговых точек выпускается хакерами для обработки и кражи данных о платежах по транзакциям. Информация о карте, которая обычно зашифрована и отправляется на авторизацию платежа, не шифруется вредоносным ПО для торговых точек, а отправляется злоумышленнику.

Потенциально нежелательные программы или приложения

Программное обеспечение, которое пользователь может счесть нежелательным. Это может включать рекламное ПО, шпионское ПО или угонщики браузера. Такое программное обеспечение может использовать реализацию, которая может поставить под угрозу конфиденциальность или ослабить безопасность компьютера. Компании часто связывают желаемую загрузку программы с приложением-оболочкой и могут предложить установить нежелательное приложение, в некоторых случаях без предоставления четкого метода отказа.

Rootkit

Программы, скрывающие существование вредоносных программ путем перехвата (т.е.е., «Перехват») и изменение вызовов API операционной системы, которые предоставляют системную информацию. Руткиты или функции включения руткитов могут находиться на уровне пользователя или ядра в операционной системе или ниже, включая гипервизор, главную загрузочную запись или системную прошивку. Злоумышленники могут использовать руткиты, чтобы скрыть присутствие программ, файлов, сетевых подключений, служб, драйверов и других компонентов системы. Руткиты были замечены для систем Windows, Linux и Mac OS X.

Социальная инженерия

Каждый раз, когда воспринимаемое доверие используется для получения информации от групп или отдельных лиц, это называется «социальной инженерией».»Примеры включают в себя людей, которые звонят или отправляют электронное письмо в компанию, чтобы получить несанкционированный доступ к системам или информации.

Шпионское ПО

Программное обеспечение, предназначенное для сбора информации о человеке или организации без их ведома, которое может отправлять такую ​​информацию другому лицу без ведома потребителя. согласия, или утверждающего контроль над устройством без ведома потребителя

Веб-сканеры

Программы, которые систематически просматривают Интернет и индексируют данные, включая содержимое страниц и ссылки.Эти веб-сканеры помогают проверять HTML-код и запросы поисковых систем для выявления новых веб-страниц или мертвых ссылок.

Очистители

Тип вредоносной вредоносной программы, которая содержит механизм очистки диска, такой как способность заразить главную загрузочную запись полезной нагрузкой, которая шифрует внутреннюю таблицу файлов. Очистители делают атакованный процесс или компонент бесполезным для конечного пользователя.

Дополнительные ресурсы

Годовой отчет Cisco по кибербезопасности за 2018 год

http: // www.sans.org/resources/glossary.php

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-83r1.pdf

https://attack.mitre.org/wiki/Technique/ T1067

https://attack.mitre.org/wiki/Initial_Access

Этот документ предоставляется на условиях «как есть» и не подразумевает никаких гарантий или гарантий, включая гарантии товарной пригодности или пригодности для конкретной использовать. Вы используете информацию в документе или материалы, ссылки на которые имеются в документе, на свой страх и риск.Cisco оставляет за собой право изменять или обновлять этот документ в любое время.

Последнее обновление

14 июня 2018 г.

К началу


Этот документ является частью портала безопасности Cisco. Cisco предоставляет официальную информацию, содержащуюся на портале Cisco Security, только на английском языке.

Этот документ предоставляется на условиях «как есть» и не подразумевает каких-либо гарантий или гарантий, включая гарантии товарной пригодности или пригодности для конкретного использования.Вы используете информацию в документе или материалы, ссылки на которые имеются в документе, на свой страх и риск. Cisco оставляет за собой право изменять или обновлять этот документ без предварительного уведомления в любое время.


В начало

Набор данных для обнаружения типов вредоносных программ

Набор данных для обнаружения типов вредоносных программ

Загрузить : Папка данных, описание набора данных

Реферат : дайте краткое описание вашего набора данных (менее 200 символов).

Характеристики набора данных:

Многомерный, временной ряд, текст

Количество экземпляров:

7107

Площадь:

Компьютер

Характеристики атрибута:

НЕТ

Количество атрибутов:

280

Дата дарения

2019-06-03

Сопутствующие задачи:

Классификация

Отсутствуют значения?

НЕТ

Количество посещений в Интернете:

15029

Источник:

Укажите имена, адреса электронной почты, учреждения и другую контактную информацию спонсоров и создателей набора данных.

Информация о наборе данных:

Это исследование направлено на получение данных, которые помогут устранить пробелы в исследованиях вредоносных программ на основе машинного обучения. Конкретная цель этого исследования — создать набор данных для тестирования API-вызовов операционной системы Windows для различных вредоносных программ. Это первое исследование, в котором используются метаморфические вредоносные программы для построения последовательных вызовов API. Есть надежда, что это исследование будет способствовать более глубокому пониманию того, как метаморфические вредоносные программы меняют свое поведение (т.е. Вызовы API) путем добавления бессмысленных кодов операций с их собственными частями ассемблера / ассемблера. В нашем исследовании мы преобразовали семейства, создаваемые каждым из программ, в 8 основных семейств вредоносных программ: трояны, бэкдор, загрузчик, черви, шпионское рекламное ПО, дроппер, вирусы. В таблице 1 показано количество вредоносных программ, принадлежащих к семействам вредоносных программ в нашем наборе данных. Как видно из таблицы, количество образцов других семейств вредоносных программ, кроме AdWare, довольно близко друг к другу. Такая разница заключается в том, что мы не находим слишком много вредоносных программ из семейства вредоносных программ рекламного ПО.

Информация об атрибуте:

Различные вызовы Windows API

Соответствующие документы:

Дайте ссылки на статьи, в которых этот набор данных цитировался в прошлом (если таковые имеются).

Запрос цитаты:

AF. Язэ, Фа-Атак, Э. Гэл, Классификация метаморфных вредоносных программ с глубоким обучением (LSTM), Конференция по обработке сигналов и приложениям IEEE, 2019.

Catak, FÖ., Yazi, AF., Тестовый набор данных вызовов API для классификации вредоносных программ Windows PE, [Web Link], 2019.

Оценка намерений и времени появления вредоносного ПО

Введение

В сегодняшней онлайн-среде компьютерные системы доминируют в нашей личной, деловой и финансовой жизни. Однако наша зависимость от этих систем также делает нас уязвимыми для киберпреступников. Стоимость киберпреступности в настоящее время превышает 110 миллиардов долларов США и ежегодно затрагивает 566 миллионов жертв, что составляет 1,5 миллиона жертв в день или 18 жертв в секунду (Semantec, 2012).Вредоносное ПО, что сокращенно от «вредоносного программного обеспечения», включает компьютерные вирусы, черви, троянские программы и шпионское ПО (TechTerms, 2014), которые используются для ряда незаконных действий, таких как распространение спама по электронной почте и кража конфиденциальной информации.

Хотя было проведено множество исследований по обнаружению вредоносных программ (например, Baecher et al., 2006; Gu et al., 2007; Invernizzi et al., 2014; Jain & Bajaj, 2014; Jiang et al., 2007; Peng et al., 2013) и анализируя его с технической точки зрения (e.г., Динабург и др., 2008; Джайн и Баджадж, 2014; Moser et al., 2007; Виллемс и др., 2007; Yin et al., 2007), отсутствуют исследования по срокам и классификации вредоносных программ на основе их намерений. Лучшее понимание намерений злоумышленников расширит знания защитника о том, как смягчить атаки.

В этой статье исследуется хронология эволюции вредоносных программ на основе восьми примеров вредоносных программ, начиная с первого компьютерного вируса в 1971 году (Gatto, 2011) и заканчивая недавним примером 2012 года.Эти примеры используются для разработки классификации вредоносных программ на основе намерений, которая затем комбинируется с оптимальной временной моделью Аксельрода и Илиева (2013). Оптимальная временная модель решает вопрос о том, когда следует использовать вредоносное ПО, учитывая, что его использование сегодня вполне может помешать его доступности для использования в будущем. Оптимальная временная модель представлена ​​с точки зрения нарушения и помогает предсказать лучшее время для использования ресурса. Однако результаты в равной степени актуальны для защитника, который хочет оценить, насколько высоки должны быть ставки, чтобы нападение использовало их ресурс.Когда оптимальная временная модель сочетается с классификацией, основанной на намерениях, новая модель помогает прояснить, как временные рамки вредоносного ПО могут зависеть от ставок, вовлеченных в текущую ситуацию, а также от характеристик ресурса для эксплуатации. Более того, модель помогает спрогнозировать уровень сложности, с которым можно столкнуться, увеличивая шансы смягчить защиту от вредоносного ПО (Galarneau, 2002; Mell et al., 2005; Symantec, 2014).

Аксельрод и Илиев тестируют свою оптимальную временную модель на четырех отдельных примерах из практики.Комбинирование модели на более широком классе образцов вредоносных программ позволит дополнительно протестировать их модель или позволит развить новые точки зрения и теории. Поскольку в обеих моделях используются одни и те же определения возможностей скрытности и устойчивости вредоносного ПО, их можно легко объединить, чтобы лучше понять намерения и сроки действия вредоносного ПО злоумышленника.

Эта статья имеет следующую структуру. В первом разделе описываются и анализируются восемь примеров вредоносного ПО, от первого компьютерного вируса в 1971 году до кибервойны в 2012 году.Далее представлена ​​оптимальная временная модель Аксельрода и Илиева (2013), которая применяется к контексту вредоносного ПО. Затем, основываясь на примерах вредоносных программ, проанализированных ранее, предлагается классификация вредоносных программ на основе намерений, которая сочетается с оптимальной временной моделью, чтобы проиллюстрировать, как оптимальное время для вредоносных программ может быть определено в зависимости от намерений злоумышленника. В последнем разделе представлены выводы.

Примеры вредоносных программ

В этом разделе восемь примеров иллюстрируют эволюцию вредоносного ПО — от первого экспериментального компьютерного вируса 1971 года до приложения для кибершпионажа, обнаруженного в 2012 году.Эти восемь случаев были отобраны как заслуживающие внимания примеры вредоносного ПО на основе сочетания временных рамок (Hansen, 2013; Infoplease, 2012; Khanse, 2014; Larsen, 2012; Malware Database, 2014; PC History, 2003; Standler, 2008). Восемь примеров разбросаны по истории вредоносных программ и, как правило, являются репрезентативными для современных вредоносных программ.

  1. Creeper: Первый вирус. В 1971 году система Creeper, которая теперь считается первым компьютерным вирусом, представляла собой экспериментальную самовоспроизводящуюся программу, которая заразила компьютеры DEC PDP-10, работающие под управлением операционной системы TENEX (Gatto, 2011).Creeper получил доступ через ARPANET, ища машину в сети, передавая себя, отображая сообщение, а затем начиная заново, тем самым перескакивая от системы к системе. Он был разработан для экспериментальных целей, как доказательство концепции в контексте академических исследований.
  2. Elk Cloner: первая вспышка. Elk Cloner был создан в 1982 году как шутка 15-летнего школьника. Вирус прикрепился к операционной системе компьютеров Apple II, а затем распространился через дискеты на другие компьютеры, на которых он отображал стихотворение вместо загрузки игры.Elk Cloner — один из первых известных вирусов, который распространился за пределы компьютерной системы или лаборатории, в которой он был написан (Rouse, 2005).
  3. Happy99: Счастливый червяк. Как следует из названия, этот червь был разработан в 1999 году и обычно поступал в виде вложения электронной почты или нового сообщения с именем Happy99.exe. После запуска Happy99 будет отображать фейерверк, затем скопировать себя в системную папку Windows, а затем отправить себя по электронной почте всем контактам, указанным в системе. Не имея разрушительной полезной нагрузки, Happy99 не нанесет ущерба действительному пораженному компьютеру; это была просто шутка (Elnitiarta, 2007).
  4. Code Red: Уязвимые веб-серверы. В 2001 году Code Red заразил веб-серверы, где он автоматически распространился, используя известную уязвимость на серверах Microsoft IIS. Менее чем за неделю было заражено почти 400 000 серверов, а домашние страницы размещенных на них веб-сайтов были заменены сообщением «Взломано китайцами!». Code Red имел отличительную особенность, предназначенную для наводнения веб-сайта Белого дома трафиком с зараженных серверов, что, вероятно, делает его первым случаем задокументированного политического «хактивизма» в крупных масштабах (Lovet, 2011).
  5. Blaster: Большая шалость. В 2003 году червь Blaster распространился на компьютеры под управлением операционных систем Microsoft Windows XP и Windows 2000, причинив ущерб в сотни миллионов (Dougherty et al, 2003). Он был примечателен двумя скрытыми текстовыми строками, первая из которых гласила: «Я просто хочу сказать LOVE YOU SAN!» а вторым было послание генеральному директору Microsoft Биллу Гейтсу.
  6. Zeus: Вредоносное ПО как услуга. У пользователей, зараженных вредоносным ПО Zeus, было украдено более 70 миллионов долларов США.Это было одно из первых крупных вредоносных приложений для бот-сетей, которое не могло быть обнаружено обновленным антивирусом и оставалось незамеченным людьми, использующими зараженные компьютеры. Zeus мог использоваться для выполнения злонамеренных и криминальных задач, часто использовался для кражи банковской информации. Первоначально Zeus начал заражать компьютеры в 2007 году, а к 2009 году охранная компания Prevx обнаружила, что Zeus взломал более 74000 учетных записей FTP на веб-сайтах таких компаний, как Bank of America, NASA, Monster.com, ABC, Oracle, Cisco, Amazon и BusinessWeek (Раган, 2009 г.).
  7. Stuxnet: Скрытый. Обнаруженный в 2010 году вирус Stuxnet будет распространяться по сети, сканируя уникальные программируемые логические контроллеры (ПЛК) и определенное программное обеспечение. Как только он находил правильную машину для размещения, он заражал машину руткитом и начинал изменять код, давая неожиданные команды ПЛК, возвращая пользователям цикл нормальных значений операционной системы.Множественные эксплойты нулевого дня использовались примерно на 16 000 компьютеров, зараженных вирусом Stuxnet, включая иранский завод по обогащению урана в Натанзе (Emerson, 2012).
  8. Пламя: Кибершпионаж. Flame — это модульное компьютерное вредоносное приложение, обнаруженное в 2012 году и атакующее компьютеры под управлением операционной системы Microsoft Windows. Программа используется для целенаправленного кибершпионажа в странах Ближнего Востока. Flame может распространяться по системам через локальную сеть (LAN) или через USB-устройство и может записывать аудио, снимки экрана, действия клавиатуры и сетевой трафик.По оценкам «Лаборатории Касперского» на май 2012 года, Flame первоначально заразил около 1000 компьютеров жертвами, включая правительственные организации, образовательные учреждения и частных лиц. Всего, по оценкам «Лаборатории Касперского», заражено более 5000 компьютеров («Лаборатория Касперского», 2013).

Как показано в таблице 1, восемь примеров вредоносных программ можно обобщить по следующим шести параметрам:

  1. Год: дата первой находки.
  2. Намерение: причина создания вредоносной программы.Типы намерений включают экспериментальные (включая исследования, развлечения, демонстрации навыков), финансовые (включая кражи и мошенничество), политические (включая «хактивистов») и кибервойны (включая атаки, спонсируемые государством).
  3. Первоначальный доступ: , как вредоносная программа получила доступ к системе или сети. Средства первоначального доступа включают социальную инженерию (то есть психологическую манипуляцию), уязвимость нулевого дня (то есть ранее неизвестную уязвимость в компьютерном приложении) и известную уязвимость.
  4. Скрытность: вероятность того, что если вы воспользуетесь ресурсом сейчас, он все еще будет доступен для использования позже (Axlerod & Iliev, 2013).
  5. Настойчивость: вероятность того, что, если вы воздержитесь от использования ресурса сейчас, он все еще будет доступен для использования в будущем (Axlerod & Iliev, 2013).
  6. Объем: количество затронутых компьютеров.

Таблица 1. Примеры вредоносных программ

Имя

Год

Намерение

Первичный доступ

Стелс

Стойкость

Размер

Ходовая часть

1971

Экспериментальный

Известная уязвимость

Низкий

Низкий

<1к

Клонировщик лося

1982

Экспериментальный

Социальная инженерия

Низкий

Низкий

<1к

Счастливый99

1999

Экспериментальный

Социальная инженерия

Низкий

Низкий

10к

Код Красный

2001

Политические

Известная уязвимость

Средний

Высокая

400 КБ

Бластер

2003

Экспериментальный

Известная уязвимость

Низкий

Низкий

Зевс

2007

Финансовый

Социальная инженерия

Средний

Низкий

3.6М

Stuxnet

2010

Кибервойна

Нулевой день

Высокая

Высокая

16к

Пламя

2013

Кибервойна

Нулевой день

Высокая

Высокая

Как показано в таблице 1, количество компьютеров, затронутых вредоносным ПО, со временем увеличивается, за исключением недавнего случая Flame, который является вредоносным ПО для целевого шпионажа, а не для широкого распространения.Ранние образцы вредоносного ПО легко обнаруживались, сохранялись недолго и, как правило, полагались на известные уязвимости и социальную инженерию для первоначального доступа. Более поздние примеры, особенно вредоносные программы для кибервойны, демонстрируют тенденцию к более целевым атакам с повышенной скрытностью и настойчивостью.

Моделирование вредоносного ПО на основе намерений и времени

Дизайн и особенности конкретного вредоносного приложения будут зависеть от намерений создателя, и его пользователи также должны учитывать оптимальные сроки его желаемого воздействия.В общем контексте кибербезопасности Аксельрод и Илиев (2013) разработали оптимальную временную модель, чтобы помочь понять, когда данный злоумышленник должен использовать свою способность причинять вред. Их модель учитывает важные предположения о текущих ставках и характеристиках ресурсов с точки зрения скрытности и настойчивости:

  1. Ставки: их модель предполагает, что злоумышленник знает текущие ставки того, насколько важна цель в данный момент, но не знает, какие ставки будут в любой момент в будущем — хотя они действительно знают распределение ставок во времени.
  2. Скрытность: вероятность того, что если вы воспользуетесь ресурсом сейчас, он все равно будет доступен для использования позже.
  3. Настойчивость: вероятность того, что, если вы воздержитесь от использования ресурса сейчас, он все еще будет доступен для использования в будущем.

Таким образом, оптимальную временную модель Аксельрода и Илиева (2013) можно использовать для прогнозирования оптимального времени для максимизации ценности конкретного вредоносного приложения, если злоумышленник знает текущие ставки и возможности приложения с точки зрения скрытности и настойчивости.Порог ценности атаки может быть рассчитан на основе скрытности и настойчивости вредоносного ПО, а также мощности и бдительности намеченной цели. Например, скрытность вредоносного ПО, используемого против хорошо защищенной цели, вероятно, будет меньше, чем скрытность того же вредоносного ПО против цели, которая не особенно внимательна к безопасности. Точно так же вредоносное ПО обычно будет менее устойчиво против цели, которая поддерживает свои системы в актуальном состоянии с помощью исправлений безопасности, чем против цели, которая этого не делает.

Таким образом, скрытность и постоянство зависят как от характеристик самого вредоносного ПО, так и от контекста его использования. В идеале злоумышленник должен обладать знаниями о безопасности систем, которые он пытается взломать. В реальном мире и в оптимальной временной модели Аксельрода и Илиева (2013) характеристики скрытности, настойчивости и ставок могут оцениваться по-разному. Однако для простоты в этом предварительном предложении модель весит все характеристики одинаково.

В целом, оптимальная временная модель предсказывает три фактора, которые способствуют терпению злоумышленника: низкая скрытность, высокая настойчивость и низкие ставки.Однако когда ставки высоки, модель предпочитает высокую скрытность и низкую настойчивость. Действительно, на основе анализа случаев, показанных в таблице 1, намерения злоумышленника можно сопоставить по двум измерениям — скрытности и настойчивости, как показано на рисунке 1.

Рисунок 1. Классификация вредоносных программ на основе намерений

Примеры политического вредоносного ПО можно найти в верхнем левом углу рисунка 1, который отличается высокой устойчивостью и низкой скрытностью.Например, «хактивистское» вредоносное ПО часто имеет высокую стойкость и остается незамеченным до тех пор, пока группа не захочет повысить осведомленность о конкретной ситуации (Tarzey & Fernandes, 2013). Вредоносные программы Cyberwarefare используют высокую скрытность и высокую стойкость, чтобы оставаться незамеченными как можно дольше. Финансовые вредоносные программы обладают высокой степенью скрытности, что позволяет их создателям красть информацию с помощью социальной инженерии или вводить пользователей в заблуждение; однако он имеет низкую устойчивость, потому что случаи социальной инженерии часто имеют ограниченную продолжительность жизни, потому что они часто основаны на текущих событиях (Conheady, 2012).Окончательная классификация является экспериментальной, с низкой скрытностью и низкой устойчивостью, экспериментальные вредоносные программы не сохраняются на компьютерах и не имеют потенциального срока службы, потому что они часто основываются на общеизвестных слабых местах системы и создаются просто для того, чтобы показать, как злоумышленник может преимущество слабости. В наборе образцов вредоносных программ, изученных в этой статье, все экспериментальные вредоносные программы отображали сообщения о том, что они были на компьютере, а затем они были удалены пользователями или уязвимость была исправлена.

Классификация, показанная на Рисунке 1, может быть улучшена путем введения переменных ставок, как описано в модели Аксельрода и Илиева (2013). В таблице 2 показаны три сценария с низкой, постоянной и высокой ставкой, а также оптимальные сроки использования вредоносного ПО в зависимости от его намерения. Когда ставки невелики, оптимальная временная модель определяет, что текущее время не является оптимальным временем для использования вредоносного ПО для любой классификации вредоносного ПО, за исключением потенциально финансового вредоносного ПО.

Таблица 2. Оптимальное время использования вредоносного ПО в зависимости от намерений, настойчивости, скрытности и ставок

Низкие ставки

Намерение

Стойкость

Стелс

Сроки

Политические

Высокая

Низкий

Подождите

Кибервойна

Высокая

Высокая

Подождите

Экспериментальный

Низкий

Низкий

Подождите

Финансовый

Низкий

Высокая

Постоянные ставки

Намерение

Стойкость

Стелс

Сроки

Политические

Высокая

Низкий

Подождите

Кибервойна

Высокая

Высокая

Экспериментальный

Низкий

Низкий

Финансовый

Низкий

Высокая

Использовать

Высокие ставки

Намерение

Стойкость

Стелс

Сроки

Политические

Высокая

Низкий

Кибервойна

Высокая

Высокая

Использовать

Экспериментальный

Низкий

Низкий

Использовать

Финансовый

Низкий

Высокая

Использовать

При постоянных ставках результаты в таблице 2 показывают, что финансовое вредоносное ПО следует использовать немедленно.Модель предполагает использование финансовых вредоносных программ, поскольку, согласно классификации, основанной на намерениях, финансовые вредоносные программы обладают низкой устойчивостью и высокой скрытностью, что делает их точным кандидатом для использования в рамках оптимальной временной модели. Например, установка, при которой ставки остаются неизменными во времени, — это использование украденной информации о кредитной карте.

При высоких ставках результаты в таблице 2 показывают, что оптимально использовать ресурс немедленно, за исключением, возможно, тех случаев, когда намерение является политическим.Известная политическая или «хактивистская» группа Anonymous продолжает использовать свои ресурсы, но только для того, чтобы послать сообщение, относящееся к определенному событию. Есть вероятность, что они считают, что их послание должно быть озвучено в связи с конкретным мировым событием, поэтому их ставки настолько велики, что они готовы пожертвовать для этого своими ресурсами.

Важно отметить ограничения этих результатов с использованием одного и того же веса для каждой из трех переменных: настойчивость, скрытность и ставки. В реальных примерах и в оптимальной временной модели Аксельрода и Илиева эти значения могут быть взвешены по-разному.

Заключение

Прошло более 40 лет с момента появления нашего первого примера вредоносного ПО. Вредоносные программы эволюционировали, но некоторые принципы остались прежними. Цели и мотивы вредоносного ПО изменились: от просвещения, протестов и розыгрышей до прибыли, а затем, наконец, до шпионажа и саботажа. Намерение — важная часть понимания вредоносного ПО; Первоначально антивирусные компании искали вредоносное ПО, приносящее финансовую прибыль, поэтому многие системы пропускались.Зная, что вредоносное ПО также используется правительствами и военными, поиск потенциальных вредоносных программ можно расширить на другие потенциальные системы. Понимание намерений вредоносных программ позволяет оценить эффективность защиты от вредоносных программ.

Концепция начального доступа несколько изменилась с годами. Многие из ранних примеров вредоносных программ, обсуждаемых здесь, необходимо было распространять, например, через электронную почту, гибкий диск или USB-устройство, или через уязвимость в веб-службе, имеющей открытый порт.Однако в более поздних примерах — Stuxnet и Flame — использовались эксплойты нулевого дня. Этот шаблон может быть относительно новой тенденцией, потому что организации больше не сообщают общественности или уязвимым поставщикам об уязвимостях; вместо этого они хранят или продают методы (Radianti & Gonzalex, 2007). Опять же, понимание цели вредоносного ПО помогает определить, сколько систем может быть затронуто и как они изначально были скомпрометированы. Если целью является получение финансовой выгоды, то вполне вероятно, что многие системы будут заражены.Однако в случае кибервойны или случаев, связанных с правительством, изученные примеры показывают, что только небольшой уникальный набор систем будет заражен.

В этой статье представлена ​​модель, которая представляет большинство современных вредоносных программ. Модель была создана, чтобы помочь понять потенциальную эффективность методов скрытности и сохраняемости вредоносных приложений на основе их намерений. И, объединив оптимальную временную модель Аксельрода и Илиева (2013) с результатами изучения восьми образцов вредоносных программ, таблица 2 может помочь предсказать, когда, вероятно, произойдет начальная атака.


Список литературы

Аксельрод Р. и Илиев Р. 2013. Время киберконфликта. Proceedings of the National Academy of Sciences of the United States of America, 111 (4): 1298-1303.
http://dx.doi.org/10.1073/pnas.1322638111

Бехер П., Кёттер М., Хольц Т., Дорнзейф М. и Фрейлинг Ф. 2006. Платформа Nepenthes: эффективный подход к сбору вредоносных программ. Последние достижения в обнаружении вторжений, 4219: 165-184.
http://dx.doi.org/10.1007/11856214_9

Конхиди, С. 2012. Будущее социальной инженерии. Конфиденциальность ПК. 17 июля 2012 г.
http://privacy-pc.com/articles/the-future-of-social-engineering.html

Динабург, А., Роял, П., Шариф, М., и Ли, В. 2008. Эфир: анализ вредоносных программ с помощью аппаратных расширений виртуализации. Труды 15-й конференции ACM по компьютерной и коммуникационной безопасности: 51-62.
http://dx.doi.org/10.1145/1455770.1455779

Догерти, К., Хаврилла, Дж., Эрнан, С., и Линднер, М., 2003. W32 / Blaster Worm. Исторический справочник CA-2003-20, подразделение CERT Института программной инженерии. 1 октября 2014 г .:
http://www.cert.org/historical/advisories/CA-2003-20.cfm

Эльнитиарта, Р. 2007. Действия системы безопасности: Happy99.Worm. Symantec. , 1 октября 2014 г.:
http://www.symantec.com/security_response/writeup.jsp? Docid = 2000-121812 -…

Эмерсон, Р. 2012. Вирус Stuxnet заразил 16 000 компьютеров, сообщает Иран. Huffington Post, 18 февраля 2012 г .:
http://www.huffingtonpost.com/2012/02/18/stuxnet-virus-iran_n_1286281.html

Галарно, Л. 2002. Антивирусное программное обеспечение: проблема подготовки к завтрашнему вредоносному ПО сегодня. Институт SANS 2002.

Гатто, К. 2011. Вирусу исполняется 40 лет. Phys Org. , 1 ноября 2014 г .:
http://phys.org/news/2011-03-virus.html

Gruener, W. 2012. Kaspersky: Flame имеет трех неопознанных родственников-вредоносных программ. Tom’s Hardware., 1 ноября 2014 г .:
http://www.tomshardware.com/news/virus-flame-stuxnet,17644.html

Гу, Г., Поррас, П., Егнесваран, В., Фонг, М., и Ли, В. 2007. BotHunter: обнаружение заражения вредоносным ПО с помощью IDS-управляемой корреляции диалогов. Труды 16-го симпозиума по безопасности USENIX: 167-182.

Хансен, П. 2013. История вредоносных программ. Колокол Технологий. , 1 ноября 2014 г.:
http://www.technologybell.com/history-of-malware/

Infoplease.2012. Хронология компьютерных вирусов. Информация Пожалуйста. , 1 ноября 2014 г.:
http://www.infoplease.com/ipa/A0872842.html

Invernizzi, L., Miskovic, S., Torres, R., Saha, S., Lee, S., Mellia, M. Kruegel, C., & Vigna, G. 2014. Наска: обнаружение распространения вредоносных программ в больших масштабах. Масштабируйте сети. Симпозиум по безопасности сетей и распределенных систем (NDSS) 2014 г. 23 февраля 2014 г.

Джайн, М. & Баджадж, П. 2014. Методы обнаружения и анализа исполняемых файлов вредоносных программ: обзор. Международный журнал информатики и мобильных вычислений, 3 (5): 930–935.

Цзян, X., Ван, X. и Сюй, Д. 2007. Скрытое обнаружение вредоносных программ с помощью «нестандартной» реконструкции семантического представления на основе VMM. Труды 14-й конференции ACM по компьютерной и коммуникационной безопасности: 128-138.
http://dx.doi.org/10.1145/1315245.1315262

Ханс, А. 2014. Эволюция вредоносных программ — как все начиналось! Клуб Windows. , 1 ноября 2014 г.:
http: // www.thewindowsclub.com/evolution-of-malware-virus

«Лаборатория Касперского», 2013. Кто за тобой шпионит? Лаборатория Касперского. 1 ноября 2014 г .:
http://media.kaspersky.com/en/business-security/kaspersky-cyber-espionag …

Ларсен, C. 2012. Зал славы вредоносного ПО. Синее пальто. , 1 ноября 2014 г.:
http://www.bluecoat.com/security/security-archive/2012-10-31/malware-hal …

Ловет, Г. 2011. 40 лет компьютерному вирусу. Справка Net Security. , 1 октября 2014 г.:
http: // www.net-security.org/malware_news.php?id=1668

База данных вредоносных программ. 2014. Хронология примечательных компьютерных вирусов, червей и троянских коней. База данных вредоносных программ. 1 ноября 2014 г.
http://malware.wikia.com/wiki/Timeline_of_noteworthy_computer_viruses,_w ….

Макдауэлл, М. 2013. Совет по безопасности (ST04-014): предотвращение социальной инженерии и фишинговых атак. Группа готовности к компьютерным чрезвычайным ситуациям США. 1 ноября 2014 г .:
https://www.us-cert.gov/ncas/tips/ST04-014

Мелл, П., Kent, K., & Nusbaum, J. 2005. Специальная публикация 800-83: Руководство по предотвращению и обработке вредоносных программ. Гейтерсбург, доктор медицины: Национальный институт стандартов и технологий.

Мозер А., Крюгель К. и Кирда Е. 2007. Изучение нескольких путей выполнения для анализа вредоносных программ. Труды симпозиума 2007 IEEE по безопасности и конфиденциальности: 231-245.
http://dx.doi.org/10.1109/SP.2007.17

История ПК. 2003. История компьютерного вируса. История ПК., 1 ноября 2014 г .:
http://www.pc-history.org/pc-virus.htm

Пэн, В., Ли, Ф., Цзоу, X. и Ву, Дж. 2013. Обнаружение поведенческих вредоносных программ в сетях с задержкой толерантности. Транзакции IEEE в параллельных и распределенных системах, 25 (1): 53–63.
http://dx.doi.org/10.1109/TPDS.2013.27

Раган, С. 2009. Обнаружен дамп данных ZBot с более чем 74 000 учетных данных FTP. Технический вестник. , 1 ноября 2014 г.:
http://www.thetechherald.com/articles/ZBot-data-dump-discovered-with-ove…

Роуз, М. 2005. Клонер лося. SearchSecurity.com. , 1 октября 2014 г.:
http://searchsecurity.techtarget.com/definition/Elk-Cloner

Semantec. 2012. Отчет о киберпреступности Norton 2012. Маунтин-Вью, Калифорния: Symantec Corporation.

Semantec. 2014. Подготовка к будущим атакам. Маунтин-Вью, Калифорния: Symantec Corporation.

Standler, R. 2008. Примеры вредоносных компьютерных программ. Веб-сайт доктора Рональда Б. Стэндлера. , 1 ноября 2014 г.:
http: // www.rbs2.com/cvirus.htm

Тарзи, Б., и Фернандес, Л. 2013. Проблемы, ведущие к вашему бизнесу. Quocirca, февраля 2013 года.

TechTerms. 2014. Вредоносное ПО. TechTerms.com. , 1 ноября 2014 г .:
http://www.techterms.com/definition/malware

Виллемс К., Хольц Т. и Фрейлинг Ф. 2007. На пути к автоматизированному динамическому анализу вредоносных программ с использованием CWSandbox. Безопасность и конфиденциальность IEEE, 5 (2): 32-39.
http://dx.doi.org/10.1109/MSP.2007,45

Инь, Х., Сонг, Д., Эгеле, М., Крюгель, К., и Кирда, Е. 2007. Панорама: захват общесистемного информационного потока для обнаружения и анализа вредоносных программ. Труды 14-й конференции ACM по компьютерной и коммуникационной безопасности: 116-127.
http://dx.doi.org/10.1145/1315245.1315261

границ | Обзор методов метагеномной классификации вирусов и их биологического применения

Введение

Беспристрастное секвенирование нуклеиновых кислот из образцов окружающей среды имеет большой потенциал для открытия и идентификации различных микроорганизмов (Tang and Chiu, 2010; Chiu, 2013; Culligan et al., 2014; Паллен, 2014). Мы знаем эту технику как метагеномику, или случайное, независимое или дробное высокопроизводительное секвенирование. Теоретически методы метагеномики позволяют идентифицировать и геномную характеристику всех микроорганизмов, присутствующих в образце, с помощью стандартной лабораторной процедуры (Wooley and Ye, 2009). Этот подход приобрел популярность с появлением методов секвенирования следующего поколения (NGS), которые предоставляют больше данных за меньшее время и с меньшими затратами, чем предыдущие методы секвенирования. Первоначально применяемые в основном для анализа бактериального разнообразия, изменения в протоколах подготовки образцов позволили также охарактеризовать вирусные геномы.Области обнаружения вирусов и характеристики биоразнообразия воспользовались возможностью расширить свои знания (Cardenas and Tiedje, 2008; Tang and Chiu, 2010; Chiu, 2013; Pallen, 2014).

Исследователи-вирусологи проявляют интерес к использованию методов метагеномики, в частности, в качестве универсального средства для вирусов, которые нельзя культивировать (Yozwiak et al., 2012; Smits and Osterhaus, 2013; Byrd et al., 2014; Naccache et al., 2014; Pallen, 2014; Smits et al., 2015; Graf et al., 2016). Метагеномика также может быть использована для лечения пациентов с необычной этиологией заболевания, для устранения которой в противном случае требуется несколько целевых тестов (Chiu, 2013; Pallen, 2014). Однако внедрение метагеномики в рутинные клинические исследования и исследования в области общественного здравоохранения по-прежнему сталкивается с проблемами, поскольку клиническое применение требует стандартизированных, проверенных процедур влажной лаборатории, отвечающих требованиям, совместимым с требованиями аккредитации (Hall et al., 2015). Еще одним препятствием является требование соответствующего биоинформатического анализа генерируемых наборов данных.Здесь мы рассматриваем вычислительные рабочие процессы для анализа данных с точки зрения пользователя.

Преобразование выходных данных NGS в клинически или биологически значимую информацию требует надежной классификации считываний последовательностей — классического «что там?» вопрос метагеномики. При использовании предыдущих методов секвенирования последовательности обычно классифицировались NCBI BLAST (Altschul et al., 1990) по базе данных NCBI nt (NCBI, 2017). Однако с помощью NGS анализ должен обрабатывать гораздо большее количество коротких (до 300 п.н.) считываний, для которых не всегда доступны правильные ссылки, и учитывать возможные ошибки секвенирования, сделанные машиной.Следовательно, для NGS необходимы специализированные методы анализа. Многие специалисты по биоинформатике разработали вычислительные процессы для анализа вирусных метагеномов. В их публикациях описывается ряд компьютерных инструментов для таксономической классификации. Хотя эти инструменты могут быть полезны, выбор подходящего рабочего процесса может быть трудным, особенно для менее опытного в вычислительном отношении пользователя (Posada-Cespedes et al., 2016; Rose et al., 2016).

Часть рабочих процессов метагеномики была протестирована и описана в обзорных статьях (Bazinet and Cummings, 2012; Garcia-Etxebarria et al., 2014; Пибоди и др., 2015; Шарма и др., 2015; Lindgreen et al., 2016; Посада-Сеспедес и др., 2016; Rose et al., 2016; Сангван и др., 2016; Tangherlini et al., 2016) и на веб-сайтах проектов, которые собирают, описывают, сравнивают и тестируют инструменты метагеномического анализа (Henry et al., 2014; CAMI, 2016; ELIXIR, 2016). Некоторые из этих исследований включают в себя эталонные тесты набора инструментов, в то время как другие предоставляют краткие описания. Кроме того, когда публикуется новый конвейер, авторы часто сравнивают его с его основными конкурентами.Такие тесты неоценимы для оценки производительности, и они помогают понять, какой инструмент применим к какому типу исследования.

Мы представляем обзор и критическую оценку доступных инструментов метагеномной классификации вирусов и представляем рекомендации для вирусологов по выбору рабочего процесса, подходящего для их исследований, путем (1) перечисления доступных методов, (2) описания того, как эти методы работают, (3) оценки того, насколько хорошо эти методы работают путем обобщения предыдущих тестов и (4) перечисления того, для каких целей они могут использоваться.С этой целью мы рассмотрели публикации, описывающие 49 различных инструментов и рабочих процессов классификации вирусов, которые в совокупности называются рабочими процессами, которые были опубликованы с 2010 года.

Методы

Мы провели поиск литературы в PubMed и Google Scholar по методам классификации данных метагеномики вирусов, используя термины «метагеномика вируса» и «метагеномика вируса». Результаты были ограничены публикациями в период с января 2010 года по январь 2017 года. Мы оценили рабочие процессы с учетом технических характеристик: используемых алгоритмов, справочных баз данных и используемой стратегии поиска; их удобство для пользователя: предоставляется ли графический интерфейс пользователя, отображаются ли результаты, приблизительное время выполнения, принятые типы данных, тип компьютера, который использовался для тестирования программного обеспечения и операционной системы, доступность и лицензирование, а также предоставление пользователю руководство по эксплуатации.Кроме того, мы извлекли информацию, подтверждающую достоверность рабочего процесса: тесты, проведенные разработчиками, экспериментальные работы в мокрой лаборатории и вычислительные тесты, тесты производительности других групп, было ли и когда было обновлено программное обеспечение по состоянию на 19 июля 2017 года, а также количество цитирований в Google Scholar по состоянию на 28 марта 2017 г. (лист данных 1; https://compare.cbs.dtu.dk/inventory#pipeline). Мы перечислили только результаты тестов in silico с использованием имитированных считываний вирусных последовательностей и только чувствительность, специфичность и точность, поскольку о них сообщалось чаще всего (лист данных 2).Чувствительность определяется как считывания, правильно аннотированные как вирусные — на таксономическом уровне, выбранном в этом тесте — конвейером как доля от общего числа смоделированных вирусных считываний (истинные положительные результаты / (истинные положительные результаты + ложно отрицательные)). Специфичность при чтении, правильно аннотированном конвейером как невирусное, как доля от общего числа смоделированных невирусных чтений (истинные отрицательные / (истинные отрицательные + ложноположительные)). И точность, поскольку считывания, правильно аннотированные как вирусные конвейером, как доля всех считываний, аннотированных как вирусные (истинные положительные результаты / (истинные положительные результаты + ложные положительные результаты)).В разных публикациях для классификации использовались разные таксономические уровни, от царства к виду. Мы использовали все контрольные показатели для нашего анализа (подробности см. В листе данных 2). Корреляции между производительностью (чувствительность, специфичность, точность и время выполнения) и методическими факторами (различные этапы анализа, алгоритмы поиска и справочные базы данных) были рассчитаны и визуализированы с помощью R v3.3.2 (https://www.r-project.org/), с помощью RStudio v1.0.136 (https://www.rstudio.com).

Затем, на основе нашей инвентаризации, мы сгруппировали рабочие процессы, составив два дерева решений, чтобы помочь читателям выбрать рабочий процесс, применимый к их исследованиям.Мы определили «ограниченную по времени диагностику» как способность обнаруживать вирусы и классифицировать их по роду или видам менее чем за 5 часов на образец. «Наблюдение и отслеживание вспышек» относится к возможности более конкретной идентификации на уровне подвидов (например, генотипа). «Открытие» относится к способности обнаруживать удаленные гомологи с помощью справочной базы данных, которая охватывает широкий спектр вирусных таксонов, в сочетании с алгоритмом чувствительного поиска, то есть выравниванием аминокислот (белков) или поиском состава. Для «исследований биоразнообразия» мы квалифицировали все рабочие процессы, которые могут классифицировать различные вирусы (т.е., не ориентированы на один вид).

Рисунки были сделаны с помощью Microsoft PowerPoint и Visio 2010 (v14.0.7181.5000, 32-бит; Редмонд, Вашингтон, США), пакетов R pheatmap v1.0.8 и ggplot2 v2.2.1, а также программы обработки изображений GNU (GIMP; v2. 8.22; https://www.gimp.org).

Результаты и описание рабочего процесса

Доступные рабочие процессы

Мы нашли 56 публикаций, описывающих разработку и тестирование 49 рабочих процессов классификации, из которых три были недоступны для загрузки или использования в Интернете, а две были доступны только по запросу (Таблица 1).Среди них было 24 рабочих процесса, специфичных для вирусов, а 25 были разработаны для более широкого использования, например для классификации бактерий и архей. Информация о недоступных рабочих процессах была обобщена, но они не были включены в деревья решений. Обзор всех публикаций, рабочих процессов и критериев оценки доступен в Листе данных 1 и на https://compare.cbs.dtu.dk/inventory#pipeline.

Таблица 1 . Рабочие процессы классификации и их справочник.

Метагеномические методы классификации

Выбранные рабочие процессы классификации метагеномики состоят из пяти различных этапов: предварительная обработка, фильтрация, сборка, поиск и последующая обработка (рис. 1A).Только три рабочих процесса (SRSA, Isakov et al., 2011, Exhaustive Iterative Assembly, Schürch et al., 2014 и VIP, Li et al., 2016) включали все эти шаги. Все рабочие процессы как минимум включали этап «поиска» (рис. 1B, таблица 4), поскольку это был критерий включения. Порядок, в котором выполняются шаги, варьируется в зависимости от рабочего процесса, и в некоторых рабочих процессах шаги выполняются несколько раз. Рабочие процессы часто представляют собой комбинации существующего (с открытым исходным кодом) программного обеспечения, а иногда создаются индивидуальные решения.

Рисунок 1 . Типовая схема конвейера и разбивка инструментов. (A) Процесс классификации необработанных считываний секвенирования состоит из 5 общих шагов. (B) Шаги, которые используются в рабочих процессах (выделены серым цветом). UPfMCS: «Неизвестные патогены из смешанных клинических образцов»; MEGAN CE: MEGAN Community Edition.

Контроль качества и предварительная обработка

Основным фактором, определяющим успех рабочего процесса, является качество считывания входных данных. Таким образом, первым шагом является оценка качества данных и исключение технических ошибок из дальнейшего анализа.Это может состоять из нескольких процессов, в зависимости от метода определения последовательности и требований, таких как чувствительность и временные ограничения. Предварительная обработка может включать в себя: удаление последовательностей адаптеров, обрезку считываний низкого качества до установленного показателя качества, удаление считываний низкого качества, определяемых низким средним или средним показателем Phred, присвоенным устройством для секвенирования, удаление считываний низкой сложности (нуклеотидных повторов), удаление коротких чтений, дедупликация, совпадающих чтений с парным концом (или удаление несвязанных чтений) и удаление чтений, содержащих Ns (неразрешенные нуклеотиды).Адаптеры, качество, парное считывание и точность повторов зависят от технологии секвенирования. Пороговые значения качества для удаления выбираются на основе компромисса между чувствительностью и ограничениями по времени: удаление операций чтения может привести к тому, что редкие вирусы не будут обнаружены, в то время как меньшее количество операций чтения для обработки ускорит анализ. Двадцать четыре рабочих процесса включают этап предварительной обработки с применением по крайней мере одного из компонентов, перечисленных выше (рисунок 1B, таблица 2). Другие рабочие процессы требуют ввода данных, предварительно обработанных где-то еще.

Таблица 2 . Технические подробности рабочих процессов классификации.

Фильтрация нецелевых чтений

Второй шаг — фильтрация нецелевых, в данном случае невирусных, считываний. Теоретически фильтрация ускоряет последующий поиск в базе данных за счет уменьшения количества запросов, помогает уменьшить ложноположительные результаты и предотвращает сборку последовательностей химерного вируса-хозяина. Однако при мягких отсечениях гомологии слишком много считываний может быть идентифицировано как невирусное, что приводит к потере потенциальных считываний вирусной мишени.Выбор метода фильтрации зависит от типа выборки и цели исследования. Например, в клинических образцах человека часто используется полный эталонный геном человека, как в случае с SRSA (Isakov et al., 2011), RINS (Bhaduri et al., 2012), VirusHunter (Zhao et al., 2013). , MePIC (Takeuchi et al., 2014), Ensemble Assembler (Deng et al., 2015), ViromeScan (Rampelli et al., 2016) и MetaShot (Fosso et al., 2017). В зависимости от типа образца и ожидаемых примесей, это может быть расширено до фильтрации рРНК, мтРНК, мРНК, бактериальных или грибковых последовательностей или геномов хозяев, не относящихся к человеку.Более тщательная фильтрация представлена ​​в PathSeq (Kostic et al., 2011), SURPI (Naccache et al., 2014), Clinical PathoScope (Byrd et al., 2014), Exhaustive Iterative Assembly (Schürch et al., 2014), VIP (Li et al., 2016), Taxonomer (Flygare et al., 2016) и VirusSeeker (Zhao et al., 2017). PathSeq удаляет данные, прочитанные человеком, в серии этапов фильтрации, пытаясь сконцентрировать данные, полученные от патогенов. Clinical PathoScope фильтрует считывание генома человека, а также считывание рРНК человека. Исчерпывающая итерационная сборка удаляет считывания от различных видов животных, в зависимости от образца, для удаления непатогенных считываний для разных образцов.SURPI использует 29 баз данных для удаления различных нецелевых объектов. VIP включает фильтрацию путем сравнения сначала с базами данных хостов и бактерий, а затем с вирусами. Он удаляет только считывания, которые больше похожи на невирусные ссылки, в попытке достичь высокой чувствительности к вирусам и потенциально уменьшить ложноположительные результаты за счет удаления невирусных считываний. Таксономер одновременно сопоставляет считанные данные со ссылками на человека, бактерии, грибки и вирусы и пытается классифицировать все. Это хорошо работает только на высокопроизводительных вычислительных средствах, которые могут обрабатывать множество одновременных действий поиска в больших наборах данных.VirusSeeker использует полные базы данных нуклеотидов (nt) и неизбыточных белков (nr) NCBI для классификации всех считываний и последующей фильтрации невирусных считываний. Некоторым рабочим процессам требуется настраиваемая, предоставляемая пользователем база данных для фильтрации, обеспечивающая большую гибкость, но требующая большего количества действий пользователя. Это видно в IMSA (Dimon et al., 2013), VirusHunter (Zhao et al., 2013), VirFind (Ho and Tzanetakis, 2014) и MetLab (Norling et al., 2016), хотя другие рабочие процессы могут принимать индивидуальные ссылки тоже. В общей сложности 22 рабочих процесса фильтруют невирусные считывания перед дальнейшим анализом (рисунок 1B, таблица 3).Популярными инструментами фильтрации являются такие средства отображения, как Bowtie (Langmead, 2010; Langmead, Salzberg, 2012) и BWA (Li and Durbin, 2009), а также специализированное программное обеспечение, такое как Human Best Match Tagger (BMTagger, NCBI, 2011) или riboPicker ( Schmieder, 2011), используется реже (таблица 2).

Таблица 3 . Особенности юзабилити рабочих процессов классификации.

Кратковременная сборка

Перед классификацией короткие считывания могут быть собраны в более длинные непрерывные последовательности (контиги) и генерировать согласованные последовательности путем сопоставления отдельных считываний с этими контигами.Это помогает отфильтровывать ошибки при отдельных чтениях и сокращать объем данных для дальнейшего анализа. Это может быть выполнено путем сопоставления считываний с ссылкой или с помощью так называемой сборки de novo путем связывания вместе считываний на основе, например, перекрытий, частот и информации считывания парных концов. В подходах вирусной метагеномики сборка de novo часто является методом выбора. Поскольку вирусы развиваются очень быстро, подходящие ссылки не всегда доступны. Более того, короткие вирусные геномы обычно приводят к высокому охвату секвенированием, по крайней мере, для образцов с высоким титром, облегчая сборку de novo .Однако сборка , de novo может генерировать ошибочные контиги путем связывания вместе считываний, содержащих технические ошибки, такие как ошибки секвенирования (базового вызова) и оставшиеся последовательности адаптеров. Другой источник ошибочных контигов может быть в том, что считывания от разных организмов в одном и том же образце схожи, что приводит к образованию химер. Таким образом, сборка правильных контигов de novo выигрывает от строгого контроля качества и предварительной обработки, фильтрации и таксономической кластеризации — т.е.е., группировка читается согласно их соответствующим таксонам перед сборкой. Улучшение сборки за счет таксономической кластеризации проиллюстрировано в пяти рабочих процессах: Metavir (Roux et al., 2011), RINS (Bhaduri et al., 2012), VirusFinder (Wang et al., 2013), SURPI (в комплексном режиме) (Naccache et al. al., 2014) и VIP (Li et al., 2016). Два из обсуждаемых рабочих процессов имеют несколько итераций сборки и комбинируют алгоритмы для улучшения общей сборки: Исчерпывающая итеративная сборка (Schürch et al., 2014) и Ensemble Assembler (Deng et al., 2015). В общей сложности 18 инструментов включают этап сборки (рис. 1B, таблица 4). Некоторые из наиболее часто используемых программ сборки — это Velvet (Zerbino, Birney, 2008), Trinity (Grabherr et al., 2011), Newbler (454 Life Sciences) и SPAdes (Bankevich et al., 2012) (Таблица 2).

Таблица 4 . Особенности проверки рабочих процессов классификации.

Поиск в базе данных

На этапе поиска последовательности (считываемые или контиги) сопоставляются со справочной базой данных.Двадцать шесть рабочих процессов, которые мы нашли, выполняли поиск с использованием хорошо известных алгоритмов BLAST BLASTn или BLASTx (Altschul et al., 1990; Таблица 2). Другими часто используемыми программами являются Bowtie (Langmead, 2010; Langmead, Salzberg, 2012), BWA (Li and Durbin, 2009) и Diamond (Buchfink et al., 2015). Эти программы полагаются на выравнивания в эталонной базе данных и сообщают согласованные последовательности с оценками выравнивания. Bowtie и BWA, которые также являются популярными программами для стадии фильтрации, выравнивают исключительно нуклеотидные последовательности.Алмаз выравнивает аминокислотные последовательности, а BLAST может делать либо нуклеотиды, либо аминокислоты. Поскольку время анализа для больших наборов данных может быть довольно продолжительным, были разработаны алгоритмы, позволяющие сократить это время за счет использования альтернатив классическому выравниванию. Один из подходов заключается в сопоставлении k- меров с эталоном, как используется в FACS (Stranneheim et al., 2010), LMAT (Ames et al., 2013), Kraken (Wood and Salzberg, 2014), Taxonomer (Flygare et al., al., 2016) и MetLab (Norling et al., 2016). Точное соответствие k -mer обычно быстрее, чем выравнивание, но требует много памяти компьютера.Другой подход заключается в использовании вероятностных моделей множественных выравниваний последовательностей или профильных скрытых марковских моделей (HMM). Для методов HMM используются белковые домены, что позволяет обнаруживать более отдаленную гомологию между запросом и ссылкой. Популярной программой поиска HMM является HMMER (Mistry et al., 2013). ClassyFlu (Van der Auwera et al., 2014) и vFam (Skewes-Cox et al., 2014) полагаются исключительно на поиск HMM, в то время как VMGAP (Lorenzi et al., 2011), Metavir (Roux et al., 2011), VirSorter (Roux et al., 2015), и MetLab также может использовать HMMER.

Все эти методы поиска являются примерами поиска по сходству — методов, основанных на гомологии или сопоставлении. Другой метод поиска — это поиск состава, в котором частоты олигонуклеотидов или количество k -меров сопоставляются со ссылками. Поиск композиции требует, чтобы программа была «обучена» на справочных данных, и она мало используется в вирусной геномике. Только два обсуждаемых здесь рабочих процесса используют поиск по композиции: NBC (Rosen et al., 2011) и Metavir 2 (Roux et al., 2014), в то время как Metavir 2 использует его только в дополнение к поиску по сходству (Data Sheet 1).

Все методы поиска основаны на справочных базах данных, таких как NCBI GenBank (https://www.ncbi.nlm.nih.gov/genbank/), RefSeq (https://www.ncbi.nlm.nih.gov/refseq/ ) или базы данных нуклеотидов (nt) и неизбыточных белков (nr) BLAST (ftp://ftp.ncbi.nlm.nih.gov/blast/db/). Тридцать четыре рабочих процесса используют GenBank для своих ссылок, большинство из которых выбирают только эталонные последовательности из интересующих организмов (таблица 2).GenBank имеет то преимущество, что является большой, часто обновляемой базой данных с множеством различных организмов, а аннотации во многом зависят от поставщиков данных. Другие инструменты используют базы данных, специфичные для вирусов, такие как GIB-V (Hirahata et al., 2007) или ViPR (Pickett et al., 2012), которые обладают преимуществом лучшей аннотации и курирования за счет количества включенных последовательности. Также используются базы данных белков, такие как Pfam (Sonnhammer et al., 1998) и UniProt (UniProt, 2015), которые предоставляют широкий спектр последовательностей.Поиск на уровне белка может позволить выявить более отдаленную гомологию, что может улучшить обнаружение дивергентных вирусов, но нетранслируемые области генома остаются неиспользованными. Последняя группа рабочих процессов требует, чтобы пользователь предоставил файл справочной базы данных. Это позволяет настроить рабочий процесс в соответствии с исследовательским вопросом пользователя и требует дополнительных усилий.

Постобработка

Классификации считываний последовательности можно выполнить, предварительно установив параметры алгоритма поиска, чтобы возвращать одну аннотацию для каждой последовательности (отсечки).Другой вариант — вернуть несколько совпадений, а затем определить взаимосвязь между последовательностью запроса и кластером похожих ссылочных последовательностей. Этот процесс поиска наиболее вероятного или наиболее поддерживаемого таксономического назначения среди набора ссылок называется постобработкой. Постобработка использует филогенетические или другие вычислительные методы, такие как алгоритм наименьшего общего предка (LCA), представленный MEGAN (Huson et al., 2007). Шесть рабочих процессов используют филогению для размещения последовательностей в филогенетическом дереве с гомологичными контрольными последовательностями и, таким образом, их классификации.Это особенно полезно для отслеживания вспышек, чтобы выяснить взаимосвязь между образцами. Двенадцать рабочих процессов используют другие вычислительные методы, такие как алгоритм, основанный на таксономии LCA, для создания более надежных, но менее конкретных классификаций (лист данных 1). Всего 18 рабочих процессов включают постобработку (рис. 1B).

Удобство использования и проверка

Для более широкого признания и возможного применения в клинических условиях рабочие процессы должны быть удобными для пользователя и должны быть проверены. Удобство использования рабочих процессов сильно различается.Некоторые предоставляют веб-сервисы с графическим пользовательским интерфейсом, который быстро работает на любом ПК, тогда как другие рабочие процессы работают только в одной операционной системе из интерфейса командной строки без руководства пользователя. Время обработки одного образца колеблется от минут до нескольких дней (таблица 3). Хотя веб-сервисы с графическим пользовательским интерфейсом очень просты в использовании, такой формат требует загрузки коротких файлов для чтения большого размера на удаленный сервер. Скорость загрузки и ограничение работы с одним образцом за раз могут ограничить его удобство использования.Диагностические центры также могут быть обеспокоены безопасностью передаваемых данных, особенно если в передачу включены идентифицирующие пациента считывания и конфиденциальные метаданные. Валидация рабочих процессов варьировалась от высокой — т. Е. Проверена несколькими группами, подтверждена экспериментами с мокрыми лабораториями, получала частые обновления и использовалась во многих исследованиях — до отсутствия доказательств валидации (таблица 4). Количество цитирований варьировалось от 0 до 752, при этом шесть рабочих процессов получили более 100 цитирований: MEGAN 4 (752), Kraken, (334), PathSeq (158), SURPI (128), NBC (125) и Rega Typing Tool. (377 из двух высоко цитируемых публикаций).

Классификация характеристик

Затем мы суммировали производительность рабочего процесса путем агрегирования результатов тестов на смоделированных вирусных данных из различных публикаций (рис. 2). Двадцать пять рабочих процессов были протестированы на чувствительность, из них 19 — более одного раза. Для некоторых рабочих процессов чувствительность варьировалась от 0 до 100, в то время как для других чувствительность была менее изменчивой или были доступны только отдельные значения.

Рисунок 2 . Различные контрольные оценки рабочих процессов классификации вирусов.Двадцать семь различных рабочих процессов (слева) были подвергнуты тестам, разработанными разработчиками (вверху) или независимыми группами (внизу) , измеряя чувствительность (левый столбец) , специфичность (средний столбец) и точность (правый столбец) в разном количестве тестов. Цифры в скобках ( n = a, b, c) указывают количество тестов на чувствительность, специфичность и прецизионность соответственно.

Для 10 рабочих процессов была предоставлена ​​специфика или истинно отрицательная оценка.У шести рабочих процессов была только одна оценка, все выше 75%. Остальные четыре имели вариабельную специфичность от 2 до 95%.

Точность или положительное прогнозное значение было доступно для шестнадцати рабочих процессов. У семи рабочих процессов была только одна записанная оценка точности. В целом оценки были высокими (> 75%), за исключением IMSA + A (9%), Kraken (34%), NBC (49%) и vFam (3-73%).

Время выполнения было определено или оценено для 36 рабочих процессов. Сравнение этих результатов затруднено, поскольку использовались разные входные данные (например, файлы разного размера, состоящие из необработанных чтений или собранных контигов), а также разные вычислительные системы.Таким образом, была произведена грубая категоризация, разделив рабочие процессы на три группы, которые либо обрабатывают файл в течение нескольких минут (12 рабочих процессов: CaPSID, Clinical PathoScope, DUDes, EnsembleAssembler, FACS, Kraken, LMAT, Metavir, MetLab, SMART, Taxonomer и Virana). , или часов (19 рабочих процессов: Giant Virus Finder, GOTTCHA, IMSA, MEGAN, MePIC, MetaShot, Metavir 2, NBC, ProViDE, Readscan, Rega Typing Tool, RIEMS, RINS, SLIM, SURPI, Taxy-Pro, «Неизвестные патогены из смешанные клинические образцы »VIP и ViromeScan) или даже дней (5 рабочих процессов: исчерпывающая итеративная сборка, ViralFusionSeq, VirFind, VirusFinder и VirusSeq).

Корреляция между методами, временем выполнения и производительностью

Для 17 рабочих процессов, для которых были доступны эти данные, мы искали корреляции, нанося на график оценки производительности в сравнении с включенными шагами анализа (рис. 3). Рабочие процессы, которые включали этап предварительной обработки или сборки, имели более высокую чувствительность, специфичность и точность. Напротив, рабочие процессы с постобработкой в ​​среднем получали более низкие оценки по всем параметрам. Конвейеры, которые фильтруют невирусные считывания, обычно имели более низкую чувствительность, а специфичность и точность оставались высокими.

Рисунок 3 . Корреляция между оценками производительности и шагами анализа. Оценки чувствительности, специфичности и точности (в столбцах) для рабочих процессов, которые включали различные этапы анализа (в строках). Цифры внизу указывают количество выполненных тестов.

Затем мы визуализировали корреляции между используемыми алгоритмами поиска и средой выполнения, а также оценками производительности (рисунок 4). У разных поисковых алгоритмов в среднем разные показатели производительности.Методы поиска по сходству имели более низкую чувствительность, но более высокую специфичность и точность, чем поиск по составу. Использование поиска нуклеотидов и аминокислот также повлияло на производительность. Аминокислотные последовательности обычно приводили к более высокой чувствительности и более низким показателям специфичности и точности. Комбинирование нуклеотидных последовательностей и аминокислотных последовательностей в анализе, по-видимому, дало наилучшие результаты. Производительность в целом была выше для рабочих процессов, на которые требовалось больше времени.

Рисунок 4 .Взаимосвязь между производительностью и алгоритмом поиска и временем выполнения. Оценки чувствительности, специфичности и точности (в столбцах) для рабочих процессов, которые включали различные алгоритмы поиска, с использованием нуклеотидных последовательностей, аминокислотных последовательностей или и того, и другого, а также рабочих процессов с разным временем выполнения (строки). Цифры внизу указывают количество выполненных тестов.

Наконец, мы провели инвентаризацию общего времени выполнения 17 рабочих процессов (таблица 5) и разделили их на основе включения шагов анализа, которые, по-видимому, влияли на время выполнения.Это указывает на то, что рабочие процессы, которые включали предварительную обработку, фильтрацию и поиск сходства по согласованию, занимали больше времени, чем рабочие процессы, в которых эти этапы анализа не использовались.

Таблица 5 . Взаимосвязь между временем выполнения и методом.

Приложения рабочих процессов

На основе результатов нашей инвентаризации были составлены деревья решений для решения вопроса о том, какой рабочий процесс вирусолог может использовать для медицинских и экологических исследований (рисунки 5, 6).

Рисунок 5 . Дерево решений для выбора рабочего процесса классификации метагеномики вирусов для медицинских приложений. Рабочие процессы подходят для медицинских целей, когда они могут обнаруживать патогенные вирусы, классифицируя последовательности до уровня рода или далее (например, вид, генотип), или когда они обнаруживают сайты интеграции. Этим критериям соответствовали 40 рабочих процессов. Рабочие процессы могут быть применены к исследованиям эпиднадзора или отслеживания вспышек, если сделана очень конкретная классификация, т.е.е. генотипы, штаммы или линии. Однодневный анализ соответствует возможности проанализировать образец в течение 5 часов. Обнаружение новых вариантов стало возможным благодаря чувствительным методам поиска, выравниванию аминокислот или поиску состава, а также широкой справочной базе данных потенциальных совпадений. Цифры указывают количество рабочих процессов, доступных в соответствующей ветви дерева.

Рисунок 6 . Дерево решений для выбора рабочего процесса классификации метагеномики вирусов для исследований биоразнообразия.Рабочие процессы для характеристики биоразнообразия вирусов должны классифицировать ряд различных вирусов, то есть иметь несколько эталонных таксонов в базе данных. Этому требованию соответствовали 43 рабочих процесса. Новые варианты потенциально могут быть обнаружены с помощью более чувствительных методов поиска, выравнивания аминокислот и поиска состава, а также с использованием различных эталонных последовательностей. Наконец, рабочие процессы группируются по таксономическим группам, которые они могут классифицировать. Цифры указывают количество рабочих процессов, доступных в соответствующей ветви дерева.

Обсуждение

На основе доступной литературы 49 доступных рабочих процессов классификации метагеномики вирусов были оценены с точки зрения методов и эффективности их анализа, а также приведены рекомендации по выбору правильного рабочего процесса для конкретных целей (рисунки 5, 6). Были включены только рабочие процессы, которые были протестированы с вирусными данными, что исключило ряд рабочих процессов метагеномики, которые были протестированы только на бактериальных данных, которые также могут быть применимы к классификации вирусов.Также обратите внимание, что наши критерии включения не учитывают большинство инструментов филогенетического анализа, которые начинаются с контигов или классификаций.

Разнообразие методов поражает. Хотя каждый рабочий процесс предназначен для обеспечения таксономической классификации, стратегии, используемые для этого, отличаются от простых одношаговых инструментов до анализа с пятью или более шагами и творческими комбинациями алгоритмов. Ясно, что в этой области еще не принят стандартный метод для облегчения сравнения результатов классификации.Удобство использования варьировалось от нескольких замечательно удобных рабочих процессов с легким доступом в сети до многих программ командной строки, которые, как правило, более трудны в использовании. Сравнение результатов валидационных экспериментов сомнительно. Каждый тест индивидуален, и если у читателя другие цели исследования, чем у авторов, оценка эффективности классификации является сложной.

Из-за различных тестов производительности с различными рабочими процессами данные, которые мы рассмотрели, по своей природе ограничены и разнородны.В результате в данных остались смешанные факторы, такие как тестовые данные, используемые ссылки, алгоритмы и вычислительные платформы. Эти факторы являются результатом предполагаемого использования рабочего процесса, например, Clinical PathoScope был разработан для клинического использования и не был предназначен или валидирован для исследований биоразнообразия. Кроме того, тесты обычно используют только один тип данных для моделирования конкретного варианта использования. Таким образом, не все контрольные показатели можно напрямую сопоставить, и невозможно достоверно определить корреляции и сделать твердые выводы.

Мы делаем некоторые общие выводы. Например, когда требуется высокая чувствительность, необходимо минимизировать шаги фильтрации, так как они могут случайно удалить вирусные считывания. Кроме того, выбор алгоритмов поиска влияет на чувствительность. Высокая чувствительность может потребоваться при характеристике биоразнообразия окружающей среды (Tangherlini et al., 2016) и обнаружении вирусов. Кроме того, для идентификации новых вариантных вирусов и обнаружения вирусов de novo полезна сборка геномов.Открытия обычно подтверждаются вторичными методами, что снижает влияние в случае более низкой специфичности. Например, RIEMS показал высокую чувствительность и применяет сборку de novo . MetLab сочетает в себе сборку de novo с Kraken, который также показал высокую чувствительность. Когда требуется более высокая специфичность, например, в медицинских учреждениях, рекомендуются методы предварительной обработки и поиска с соответствующими ссылками. RIEMS и MetLab также являются примерами высокоспецифичных рабочих процессов, включая предварительную обработку.Исследования, требующие высокой точности, выигрывают от предварительной обработки, фильтрации и сборки. Высокоточные методы необходимы при анализе вызова вариантов для характеристики разнообразия квазивидов вирусов (Posada-Cespedes et al., 2016), а также в медицинских учреждениях для предотвращения ошибочных диагнозов. RINS выполняет предварительную обработку, фильтрацию и сборку и получил высокие оценки в тестах точности, в то время как Kraken также показал хорошие результаты по точности, и с MetLab его можно комбинировать с фильтрацией и сборкой по мере необходимости.

Клиницисты и лица, определяющие политику общественного здравоохранения, будут получать таксономические данные, сопровождаемые оценками надежности, как это возможно, например, с помощью методов поиска на основе HMM и филогении с бутстреппингом. Оценки надежности также могут быть основаны на сходстве с известными патогенами и охвате контигов. Однако классификация более высокого таксономического ранга (например, порядка) в целом более надежна, но менее информативна, чем классификация более низкого ранга (например, вида) (Randle-Boggis et al., 2016). Следовательно, использование показателей надежности и связанных с ними компромиссов необходимо должным образом решать для каждого приложения.

Кроме того, медицинские приложения лучше обслуживаются функциональной, а не таксономической аннотацией. Например, клиницист, вероятно, найдет больше пользы в отчете об известных маркерах патогенности, чем в отчете о видовом составе. Анализы бактериальной метагеномики часто включают это, но вряд ли применимы к метагеномике вирусов. Несмотря на свою ценность, функциональная аннотация еще больше усложняет анализ (Lindgreen et al., 2016).

Многочисленные проблемы остаются при анализе вирусных метагеномов. Во-первых, это проблема чувствительности и ложных срабатываний. Некоторые вирусы, которые существуют у пациента, могут быть не обнаружены путем секвенирования, или вирусы, которые отсутствуют, могут быть обнаружены из-за гомологии с другими вирусами, неправильной аннотации в базах данных или перекрестного заражения образцов. И то, и другое может привести к неправильному диагнозу. Во-вторых, вирусы печально известны своей скоростью рекомбинации и горизонтальным переносом генов или перегруппировкой геномных сегментов.Они могут быть важны для определенных анализов и могут обрабатываться программным обеспечением для биоинформатики. Например, Rega Typing Tool и QuasQ включают методы обнаружения рекомбинации. Поскольку эти события обычно происходят внутри видов, и большинство рабочих процессов классификации не углубляются в таксономию глубже, чем на видовой уровень, это то, что необходимо рассмотреть в ходе дальнейшего анализа. Следовательно, рекомбинация не должна сильно влиять на результаты рассмотренных рабочих процессов. Дополнительную информацию о проблемах анализа метагеномов можно найти в Edwards and Rohwer (2005); Wommack et al.(2008); Вули и Йе (2009); Тан и Чиу (2010); Wooley et al. (2010); Fancello et al. (2012); Thomas et al. (2012); Паллен (2014); Hall et al. (2015); Rose et al. (2016); Макинтайр и др. (2017) и Nieuwenhuijse и Koopmans (2017).

Важным шагом в долгожданной стандартизации вирусной метагеномики (Fancello et al., 2012; Posada-Cespedes et al., 2016; Rose et al., 2016), необходимой для внедрения метагеномики в клинику, является возможность сравнения и проверять результаты между лабораториями.Это требует стандартизованной терминологии и целей исследования в публикациях, что позволяет проводить обзоры с медицинской точки зрения, оценивающие пригодность для диагностики и отслеживания источников вспышек. Примеры таких ориентированных на применение обзоров можно найти в исследованиях экологического биоразнообразия (Oulas et al., 2015; Posada-Cespedes et al., 2016; Tangherlini et al., 2016). Затем обзоры дают указания по установлению передовых практик, указывая, какие алгоритмы лучше всего работают в воспроизводимых тестах. Для правильного сравнения всегда должны быть включены метаданные, такие как метод подготовки проб и технология секвенирования, и в идеале стандартизованы.Кроме того, необходимо предоставить истинные и ложноположительные и отрицательные результаты синтетических тестов для сравнения между тестами.

Оптимальные стратегии для конкретных целей затем должны быть интегрированы в удобную и гибкую программную среду, которая обеспечивает простой анализ и непрерывный сравнительный анализ для оценки текущих и новых методов. Оценка должна включать полные сравнения рабочих процессов и сравнения отдельных этапов анализа. Например, тесты должны быть выполнены, чтобы оценить добавление этапа сборки de novo к рабочему процессу и измерить изменение чувствительности, специфичности и т. Д.Кроме того, по-прежнему интересно узнать, какой ассемблер лучше всего подходит для конкретных случаев использования, что было протестировано несколькими группами (Treangen et al., 2013; Scholz et al., 2014; Smits et al., 2014; Vázquez-Castellanos et al. , 2014; Deng et al., 2015). Гибкая структура должна затем упростить замену этих шагов, чтобы пользователи всегда могли использовать наилучший возможный рабочий процесс. Наконец, важно поддерживать актуальность справочных баз данных, обмениваясь новыми секретными последовательностями, например, загружая их в GenBank.

Все эти шаги на пути к стандартизации выигрывают от реализации общего способа представления результатов или минимального набора метаданных, таких как MIxS консорциумом геномных стандартов (Yilmaz et al., 2011). В настоящее время существует несколько проектов, направленных на продвижение этой области к более широкому признанию путем проверки методов и обмена информацией, например, проблема CAMI (http://cami-challenge.org/), OMICtools (Henry et al., 2014) и COMPARE (http://www.compare-europe.eu/). Мы ожидаем неуклонного развития и проверки методов геномики для их клинического применения и международного сотрудничества в ближайшем будущем.

Взносы авторов

AK и MK задумали исследование. С.Н. разработал эксперименты и провел исследования. AK, DS и HV внесли свой вклад в разработку анализа. С.Н. подготовил черновик рукописи. Все авторы участвовали в обсуждениях рукописи и редакции и согласились с окончательным содержанием.

Финансирование

Эта работа была поддержана финансированием из исследовательской и инновационной программы Европейского сообщества Horizon 2020 в рамках проекта VIROGENESIS, грантовое соглашение № 634650 и COMPARE, грантовое соглашение № 643476.

Заявление о конфликте интересов

Авторы заявляют, что исследование проводилось при отсутствии каких-либо коммерческих или финансовых отношений, которые могут быть истолкованы как потенциальный конфликт интересов.

Благодарности

Авторы выражают благодарность Мэтью Коттену, Басу Муннинку, Дэвиду Ньювенхейсе и Май Фану из Медицинского центра Эразмус в Роттердаме за их комментарии во время рабочих дискуссий и критический обзор рукописи.Бас Дутиль и группу биоинформатики из Утрехтского университета благодарим за их отзывы о рабочих презентациях. Благодарим Брэма ван Бунника за то, что он сделал таблицу с информацией о рабочем процессе доступной на веб-сайте COMPARE. Наконец, Демельза Гудде благодарит за отзыв о рукописи.

Дополнительные материалы

Дополнительные материалы к этой статье можно найти в Интернете по адресу: https://www.frontiersin.org/articles/10.3389/fmicb.2018.00749/full#supplementary-material

Список литературы

Альтшул, С.Ф., Гиш У., Миллер У., Майерс Э. У. и Липман Д. Дж. (1990). Базовый инструмент поиска локального выравнивания. J. Mol. Биол. 215, 403–410. DOI: 10.1016 / S0022-2836 (05) 80360-2

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Алвес, Дж. М., де Оливейра, А. Л., Сандберг, Т. О., Морено-Гальего, Дж. Л., де Толедо, М. А., де Моура, Э. М. и др. (2016). GenSeed-HMM: инструмент для прогрессивной сборки с использованием профильных HMM в качестве семян и его применение в обнаружении вирусов alpavirinae на основе метагеномных данных. Перед. Microbiol. 7: 269. DOI: 10.3389 / fmicb.2016.00269

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Эймс, С. К., Хисом, Д. А., Гарднер, С. Н., Ллойд, Г. С., Гокхейл, М. Б., и Аллен, Дж. Э. (2013). Масштабируемая классификация метагеномной таксономии с использованием эталонной базы данных генома. Биоинформатика 29, 2253–2260. DOI: 10.1093 / биоинформатика / btt389

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Банкевич, А., Нурк, С., Антипов, Д., Гуревич, А.А., Дворкин, М., Куликов, А.С. и др. (2012). SPAdes: новый алгоритм сборки генома и его приложения для секвенирования отдельных клеток. J. Comput. Биол. 19, 455–477. DOI: 10.1089 / cmb.2012.0021

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Бхадури А., Ку, К., Ли, С. С., Унгвикелл, А., Хавари, П. А. (2012). Быстрая идентификация нечеловеческих последовательностей в наборах данных высокопроизводительного секвенирования. Биоинформатика 28, 1174–1175.DOI: 10.1093 / биоинформатика / bts100

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Borozan, I., Wilson, S., Blanchette, P., Laflamme, P., Watt, S. N., Krzyzanowski, P.M, et al. (2012). CaPSID: биоинформатическая платформа для компьютерной идентификации последовательностей патогенов в геномах и транскриптомах человека. BMC Bioinformatics 13: 206. DOI: 10.1186 / 1471-2105-13-206

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Берд, А.Л., Перес-Роджерс, Дж. Ф., Манимаран, С., Кастро-Наллар, Э., Тома, И., Маккаффри, Т. и др. (2014). Клинический патоскоп: быстрое выравнивание и фильтрация для точной идентификации патогенов в клинических образцах с использованием несобранных данных секвенирования. BMC Bioinformatics 15: 262. DOI: 10.1186 / 1471-2105-15-262

PubMed Аннотация | CrossRef Полный текст | Google Scholar

CAMI (2016). Критическая оценка метагеномной интерпретации [Онлайн] . Доступно в Интернете по адресу: http: // cami-challenge.org / (по состоянию на 31 октября 2016 г.).

Чен, Ю., Яо, Х., Томпсон, Э. Дж., Таннир, Н. М., Вайнштейн, Дж. Н. и Су, X. (2013). VirusSeq: программное обеспечение для идентификации вирусов и сайтов их интеграции с использованием секвенирования нового поколения раковых тканей человека. Биоинформатика 29, 266–267. DOI: 10.1093 / биоинформатика / bts665

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Коттен, М., Ауде Маннинк, Б., Канути, М., Дейс, М., Уотсон, С.Дж., Келлам, П. и др.(2014). Обнаружение полногеномного вируса в образцах фекалий с использованием чувствительных препаратов нуклеиновых кислот, глубокого секвенирования и нового алгоритма итеративной классификации последовательностей. PLoS ONE 9: e93269. DOI: 10.1371 / journal.pone.0093269

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Кокс, Дж. У., Баллвег, Р. А., Тафт, Д. Х., Велаютам, П., Хаслам, Д. Б., и Поролло, А. (2017). Быстрый и надежный протокол метатаксономического анализа с использованием данных RNAseq. Микробиом 5: 7.DOI: 10.1186 / s40168-016-0219-5

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Дэн, X., Наккаш, С. Н., Нг, Т., Федерман, С., Ли, Л., Чиу, К. Ю. и др. (2015). Стратегия ансамбля, которая значительно улучшает сборку de novo микробных геномов на основе данных метагеномного секвенирования следующего поколения. Nucleic Acids Res. 43: e46. DOI: 10.1093 / nar / gkv002

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Димон, М.Т., Вуд, Х. М., Рэббитс, П. Х., Аррон, С. Т. (2013). IMSA: интегрированный анализ метагеномной последовательности для идентификации экзогенных считываний в геномном фоне хозяина. PLoS ONE 8: e64546. DOI: 10.1371 / journal.pone.0064546

PubMed Аннотация | CrossRef Полный текст | Google Scholar

ЭЛИКСИР (2016). Реестр инструментов и служб данных [онлайн] . Доступно в Интернете по адресу: https://bio.tools (по состоянию на 31 октября 2016 г.).

Фанселло, Л., Рауль, Д., и Desnues, C. (2012). Вычислительные инструменты вирусной метагеномики и их применение в клинических исследованиях. Вирусология 434, 162–174. DOI: 10.1016 / j.virol.2012.09.025

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Flygare, S., Simmon, K., Miller, C., Qiao, Y., Kennedy, B., Di Sera, T., et al. (2016). Таксономер: интерактивный портал метагеномного анализа для универсального обнаружения патогенов и профилирования экспрессии мРНК хозяина. Genome Biol. 17: 111.DOI: 10.1186 / s13059-016-0969-1

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Фоссо Б., Сантамария М., Д’Антонио М., Ловеро Д., Коррадо Г., Вицца Э. и др. (2017). MetaShot: точный рабочий процесс для классификации микробиома, ассоциированного с хозяином, на основе метагеномных данных дробовика. Биоинформатика 33, 1730–1732. DOI: 10.1093 / биоинформатика / btx036

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Фрейтас, Т.А., Ли П. Э., Шольц М. Б. и Чейн П. С. (2015). Точная характеристика метагенома на основе чтения с использованием иерархического набора уникальных сигнатур. Nucleic Acids Res. 43: e69. DOI: 10.1093 / nar / gkv180

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Гарсия-Эчебаррия, К., Гарсия-Гарсера, М., и Калафель, Ф. (2014). Согласованность программ метагеномных назначений в смоделированных и реальных данных. BMC Bioinformatics 15:90. DOI: 10.1186 / 1471-2105-15-90

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Гош, Т.С., Мохаммед, М. Х., Командури, Д., и Манде, С. С. (2011). ProViDE: программный инструмент для точной оценки вирусного разнообразия в метагеномных образцах. Биоинформация 6, 91–94. DOI: 10.6026/97320630006091

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Гонг, Ю. Н., Чен, Г. В., Янг, С. Л., Ли, К. Дж., Ши, С. Р., и Цао, К. С. (2016). Система анализа данных секвенирования нового поколения для обнаружения неизвестных патогенов в смешанных клинических образцах и выявления их генетического разнообразия. PLoS ONE 11: e0151495. DOI: 10.1371 / journal.pone.0151495

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Grabherr, M. G., Haas, B.J., Yassour, M., Levin, J. Z., Thompson, D. A., Amit, I., et al. (2011). Тринити: реконструкция полноразмерного транскриптома без генома из данных RNA-Seq. Нат. Biotechnol. 29, 644–652. DOI: 10.1038 / NBT.1883

CrossRef Полный текст | Google Scholar

Граф Э. Х., Симмон К. Э., Тардиф К.Д., Хаймас, В., Флайгар, С., Эйлбек, К. и др. (2016). Беспристрастное обнаружение респираторных вирусов с использованием метагеномики на основе секвенирования РНК: систематическое сравнение с коммерческой панелью ПЦР. J. Clin. Microbiol. 54, 1000–1007. DOI: 10.1128 / JCM.03060-15

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Холл, Р. Дж., Дрейпер, Дж. Л., Нильсен, Ф. Г. Г. и Дутиль, Б. Э. (2015). Помимо исследований: учебник по использованию вирусной метагеномики в полевых условиях и в клинике. Перед. Microbiol. 6: 224. DOI: 10.3389 / fmicb.2015.00224

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Генри В. Дж., Бандровски А. Э., Пепин А. С., Гонсалес Б. Дж. И Десфе А. (2014). OMICtools: информативный каталог для многомерного анализа данных. База данных (Оксфорд). 2014: bau069. DOI: 10.1093 / база данных / bau069

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Хирахата, М., Абэ, Т., Танака, Н., Кувана, Ю., Шигемото Ю., Миядзаки С. и др. (2007). Брокер информации о геноме для вирусов (GIB-V): база данных для сравнительного анализа геномов вирусов. Nucleic Acids Res 35, D339 – D342. DOI: 10.1093 / nar / gkl1004

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Хо Т., Цанетакис И. Э. (2014). Разработка конвейера обнаружения и обнаружения вирусов с использованием секвенирования нового поколения. Вирусология 471–473, 54–60. DOI: 10.1016 / j.virol.2014.09.019

CrossRef Полный текст | Google Scholar

Хьюсон, Д.Х., Байер, С., Фладе, И., Горска, А., Эль-Хадиди, М., Митра, С. и др. (2016). MEGAN community edition — интерактивное исследование и анализ крупномасштабных данных секвенирования микробиома. PLoS Comput. Биол. 12: e1004957. DOI: 10.1371 / journal.pcbi.1004957

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Хусон, Д. Х., Митра, С., Рушевей, Х. Дж., Вебер, Н., и Шустер, С. К. (2011). Интегральный анализ экологических последовательностей с использованием MEGAN4. Genome Res. 21, 1552–1560. DOI: 10.1101 / gr.120618.111

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Исаков, О., Модаи, С., Шомрон, Н. (2011). Обнаружение патогенов с использованием вычитания и сборки глубокого секвенирования коротких РНК. Биоинформатика 27, 2027–2030. DOI: 10.1093 / биоинформатика / btr349

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Клингенберг, Х., Асхауэр, К. П., Лингнер, Т., и Мейнике, П. (2013). Оценка метагеномного изобилия на основе сигнатур белков, включая все области жизни и вирусы. Биоинформатика 29, 973–980. DOI: 10.1093 / биоинформатика / btt077

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Kostic, A. D., Ojesina, A. I., Pedamallu, C. S., Jung, J., Verhaak, R.G., Getz, G., et al. (2011). PathSeq: программное обеспечение для идентификации или обнаружения микробов путем глубокого секвенирования тканей человека. Нат. Biotechnol. 29, 393–396. DOI: 10.1038 / NBT.1868

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Кронеман, А., Vennema, H., Deforche, K., v d Avoort, H., Peñaranda, S., Oberste, M. S., et al. (2011). Инструмент автоматического генотипирования энтеровирусов и норовирусов. J. Clin. Virol. 51, 121–125. DOI: 10.1016 / j.jcv.2011.03.006

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Ли, А. Ю., Ли, С. С., и Ван Гелдер, Р. Н. (2016). Инструмент исследования масштабируемого метагеномного сопоставления (SMART): масштабируемая, быстрая и полная эвристика поиска для классификации метагеномных последовательностей из сложных популяций последовательностей. BMC Bioinformatics 17: 292. DOI: 10.1186 / s12859-016-1159-6

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Ли, Дж. У., Ван, Р., Ю, К. С., Ко, Н. Н., Вонг, Н., и Чан, Т. Ф. (2013). ViralFusionSeq: точное обнаружение событий вирусной интеграции и реконструкция транскриптов слияния при разрешении одного основания. Биоинформатика 29, 649–651. DOI: 10.1093 / биоинформатика / btt011

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Ли, Ю., Wang, H., Nie, K., Zhang, C., Zhang, Y., Wang, J., et al. (2016). VIP: интегрированный конвейер для метагеномики идентификации и обнаружения вирусов. Sci. Отчет 6: 23774. DOI: 10.1038 / srep23774

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Лоренци, Х.А., Гувер, Дж., Инман, Дж., Саффорд, Т., Мерфи, С., Каган, Л. и др. (2011). TheViral MetaGenome Annotation Pipeline (VMGAP): автоматизированный инструмент для функциональной аннотации вирусных данных секвенирования метагеномного дробовика. Стенд. Genomic Sci. 4, 418–429. DOI: 10.4056 / sigs.1694706

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Макинтайр, А. Б. Р., Оунит, Р., Афшиннеко, Э., Прилл, Р. Дж., Хенафф, Э., Александер, Н., и др. (2017). Комплексный бенчмаркинг и ансамблевые подходы для метагеномных классификаторов. Genome Biol. 18: 182. DOI: 10.1186 / s13059-017-1299-7

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Мистри, Дж., Финн, Р. Д., Эдди, С. Р., Бейтман, А., и Пунта, М. (2013). Проблемы поиска гомологии: HMMER3 и конвергентная эволюция областей coiled-coil. Nucleic Acids Res. 41: e121. DOI: 10.1093 / nar / gkt263

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Modha, S. (2016). metaViC: конвейер вирусной метагеномики для неизвестного хозяина или в отсутствие генома хозяина [Онлайн] . Доступно в Интернете по адресу: https://www.biostars.org/p/208356/ (по состоянию на 10 октября 2016 г.).

Наккаш, С. Н., Федерман, С., Веерарагхаван, Н., Захария, М., Ли, Д., Самайоа, Э. и др. (2014). Совместимый с облаком конвейер биоинформатики для сверхбыстрой идентификации патогенов на основе секвенирования клинических образцов нового поколения. Genome Res. 24, 1180–1192. DOI: 10.1101 / gr.171934.113

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Наим Р., Рашид М. и Пейн А. (2013). READSCAN: быстрая и масштабируемая программа обнаружения патогенов с точной оценкой относительной численности генома. Биоинформатика 29, 391–392. DOI: 10.1093 / биоинформатика / bts684

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Nieuwenhuijse, D. F., и Koopmans, M. P. (2017). Метагеномное секвенирование для надзора за вирусными заболеваниями, передаваемыми через пищу и воду. Перед. Microbiol. 8: 230. DOI: 10.3389 / fmicb.2017.00230

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Норлинг, М., Карлссон-Линдсьо, О. Э., Гурле, Х., Бонгкам-Рудлофф, Э.и Хайер Дж. (2016). MetLab: in silico экспериментальный дизайн, инструмент моделирования и анализа для исследований вирусной метагеномики. PLoS ONE 11: e0160334. DOI: 10.1371 / journal.pone.0160334

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Улас, А., Павлоуди, К., Полименаку, П., Павлопулос, Г. А., Папаниколау, Н., Котулас, Г. и др. (2015). Метагеномика: инструменты и идеи для анализа данных секвенирования следующего поколения, полученных в результате исследований биоразнообразия. Bioinform. Биол. Insights 9, 75–88. DOI: 10.4137 / BBI.S12462

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Пибоди, М.А., Ван Россум, Т., Ло, Р., и Бринкман, Ф.С. (2015). Оценка методов классификации последовательностей метагеномики дробовика с использованием моделируемых сообществ in silico, и in vitro, . BMC Bioinformatics 16: 363. DOI: 10.1186 / s12859-015-0788-5

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Пикетт, Б.Э., Грир, Д. С., Чжан, Ю., Стюарт, Л., Чжоу, Л., Сан, Г. и др. (2012). База данных и анализ вирусных патогенов (ViPR): комплексная база данных по биоинформатике и аналитический ресурс для сообщества исследователей коронавируса. Вирусы 4, 3209–3226. DOI: 10.3390 / v4113209

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Пинеда-Пенья, А. К., Фариа, Н. Р., Имбрехтс, С., Либин, П., Абекасис, А. Б., Дефорче, К. и др. (2013). Автоматическое определение подтипов генетических последовательностей ВИЧ-1 для клинических и эпиднадзорных целей: оценка эффективности новой версии 3 REGA и семи других инструментов. Заражение. Genet. Evol. 19, 337–348. DOI: 10.1016 / j.meegid.2013.04.032

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Poh, W. T., Xia, E., Chin-Inmanu, K., Wong, L. P., Cheng, A. Y., Malasit, P., et al. (2013). Вывод квазивидов вируса на основе 454 пиросеквенирования. BMC Bioinformatics 14: 355. DOI: 10.1186 / 1471-2105-14-355

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Посада-Сеспедес, С., Зайферт, Д., и Беренвинкель, Н. (2016). Последние достижения в определении вирусного разнообразия на основе данных высокопроизводительного секвенирования. Virus Res. 239, 17–32. DOI: 10.1016 / j.virusres.2016.09.016

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Rampelli, S., Soverini, M., Turroni, S., Quercia, S., Biagi, E., Brigidi, P., et al. (2016). ViromeScan: новый инструмент для профилирования метагеномного вирусного сообщества. BMC Genomics 17: 165. DOI: 10.1186 / s12864-016-2446-3

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Рэндл-Боггис, Р.Дж., Хелгасон, Т., Сапп, М., и Эштон, П. Д. (2016). Оценка методов аннотации метагенома с использованием данных смоделированной последовательности. FEMS Microbiol. Ecol. 92: fiw095. DOI: 10.1093 / фемсек / fiw095

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Розен, Г. Л., Райхенбергер, Э. Р., и Розенфельд, А. М. (2011). NBC: веб-сервер инструмента наивной байесовской классификации для таксономической классификации метагеномных чтений. Биоинформатика 27, 127–129.DOI: 10.1093 / биоинформатика / btq619

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Roux, S., Faubladier, M., Mahul, A., Paulhe, N., Bernard, A., Debroas, D., et al. (2011). Metavir: веб-сервер, посвященный анализу вирома. Биоинформатика 27, 3074–3075. DOI: 10.1093 / биоинформатика / btr519

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Ру С., Крупович М., Пуле А., Деброас Д. и Эно Ф. (2012). Эволюция и разнообразие вирусного семейства Microviridae за счет коллекции из 81 нового полного генома, собранных из виромных ридов. PLoS ONE 7: e40418. DOI: 10.1371 / journal.pone.0040418

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Ру С., Турнейр Дж., Махул А., Деброас Д. и Эно Ф. (2014). Метавир 2: новые инструменты для сравнения вирусных метагеномов и анализа собранных виромов. BMC Bioinformatics 15:76. DOI: 10.1186 / 1471-2105-15-76

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Шелхорн, С. Э., Фишер, М., Толози, Л., Альтмюллер, Дж., Нюрнберг, П., Пфистер, Х. и др. (2013). Чувствительное обнаружение вирусных транскриптов в транскриптомах опухолей человека. PLoS Comput. Биол. 9: e1003228. DOI: 10.1371 / journal.pcbi.1003228

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Шойх М., Хёпер Д. и Бир М. (2015). RIEMS: программный конвейер для чувствительной и всеобъемлющей таксономической классификации считываний из наборов данных метагеномики. BMC Bioinformatics 16:69. DOI: 10.1186 / с12859-015-0503-6

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Шольц М., Ло К. С. и Чейн П. С. (2014). Улучшенные сборки с использованием независимого от источника конвейера для MetaGenomic Assembly путем слияния (MeGAMerge) контигов. Sci. Отчет 4: 6480. DOI: 10.1038 / srep06480

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Schürch, A.C., Schipper, D., Bijl, M.A., Dau, J., Beckmen, K.B., Schapendonk, C.M., et al.(2014). Метагеномное исследование вирусов карибу в Западной Арктике, Аляска, посредством итеративной сборки таксономических единиц. PLoS ONE 9: e105227. DOI: 10.1371 / journal.pone.0105227

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Шарма Д., Приядаршини П. и Врати С. (2015). Раскрывая паутину вироинформатики: вычислительные инструменты и базы данных в вирусных исследованиях. J. Virol. 89, 1489–1501. DOI: 10.1128 / JVI.02027-14

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Скьюс-Кокс, П., Шарптон, Т.Дж., Поллард, К.С., и ДеРизи, Дж. Л. (2014). Профилировать скрытые марковские модели для обнаружения вирусов в данных метагеномной последовательности. PLoS ONE 9: e105067. DOI: 10.1371 / journal.pone.0105067

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Смитс, С. Л., и Остерхаус, А. Д. (2013). Обнаружение вирусов: еще один шаг вперед. Curr. Opin. Вирол . 3, e1 – e6. DOI: 10.1016 / j.coviro.2013.03.007

CrossRef Полный текст | Google Scholar

Смитс, С.L., Bodewes, R., Ruiz-Gonzalez, A., Baumgärtner, W., Koopmans, M. P., Osterhaus, A. D., et al. (2014). Сборка вирусных геномов из метагеномов. Перед. Microbiol. 5: 714. DOI: 10.3389 / fmicb.2014.00714

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Смитс, С. Л., Бодевес, Р., Руис-Гонсалес, А., Баумгертнер, В., Купманс, М. П., Остерхаус, А. Д. и др. (2015). Восстановление полноразмерных вирусных геномов из метагеномов. Перед. Microbiol. 6: 1069.DOI: 10.3389 / fmicb.2015.01069

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Зоннхаммер, Э. Л., Эдди, С. Р., Бирни, Э., Бейтман, А., и Дурбин, Р. (1998). Pfam: множественное выравнивание последовательностей и HMM-профили белковых доменов. Nucleic Acids Res. 26, 320–322.

PubMed Аннотация | Google Scholar

Страннехейм, Х., Келлер, М., Алландер, Т., Андерссон, Б., Арвестад, Л., и Лундеберг, Дж. (2010). Классификация последовательностей ДНК с использованием фильтров Блума. Биоинформатика 26, 1595–1600. DOI: 10.1093 / биоинформатика / btq230

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Такеучи, Ф., Секизука, Т., Ямасита, А., Огасавара, Ю., Мизута, К., и Курода, М. (2014). MePIC, идентификация метагеномных патогенов по клиническим образцам. Jpn. J. Infect. Дис. 67, 62–65. DOI: 10.7883 / yoken.67.62

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Тангерлини, М., Делль’Анно, А., Зейглер Аллен, Л., Риччони, Г., и Коринальдези, К. (2016). Оценка таксономического состава вирусов в бентосных морских экосистемах: надежность и эффективность различных биоинформатических инструментов для вирусного метагеномного анализа. Sci. Реп. 6: 28428. DOI: 10.1038 / srep28428

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Treangen, T. J., Koren, S., Sommer, D. D., Liu, B., Astrovskaya, I., Ondov, B., et al. (2013). MetAMOS: модульный конвейер метагеномной сборки и анализа с открытым исходным кодом. Genome Biol. 14: R2. DOI: 10.1186 / GB-2013-14-1-r2

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Ван дер Аувера, С., Булла, И., Циллер, М., Польманн, А., Хардер, Т., и Станке, М. (2014). ClassyFlu: классификация вирусов гриппа A с дискриминационно обученным профилем-HMM. PLoS ONE 9: e84558. DOI: 10.1371 / journal.pone.0084558

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Васкес-Кастелланос, Х.Ф., Гарсиа-Лопес, Р., Перес-Брокаль, В., Пигнателли, М., и Мойя, А. (2014). Сравнение различных инструментов сборки и аннотации при анализе симулированных вирусных метагеномных сообществ в кишечнике. BMC Genomics 15:37. DOI: 10.1186 / 1471-2164-15-37

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Verbist, B.M., Thys, K., Reumers, J., Wetzels, Y., Van der Borght, K., Talloen, W., et al. (2015). VirVarSeq: конвейер обнаружения низкочастотных вариантов вирусов для секвенирования Illumina с использованием адаптивной фильтрации точности базового вызова. Биоинформатика 31, 94–101. DOI: 10.1093 / биоинформатика / btu587

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Ван, К., Цзя, П., и Чжао, З. (2013). VirusFinder: программное обеспечение для эффективного и точного обнаружения вирусов и сайтов их интеграции в геномах хозяев с помощью данных секвенирования нового поколения. PLoS ONE 8: e64465. DOI: 10.1371 / journal.pone.0064465

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Воммак, К.E., Bhavsar, J., Polson, S. W., Chen, J., Dumas, M., Srinivasiah, S., et al. (2012). ВИРОМ: стандартная рабочая процедура для анализа последовательностей вирусного метагенома. Стенд. Genomic Sci. 6, 427–439. DOI: 10.4056 / sigs.2945050

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Йилмаз П., Гилберт Дж. А., Найт Р., Амарал-Цеттлер Л., Карш-Мизрахи И., Кокрейн Г. и др. (2011). Консорциум геномных стандартов: воплощение в жизнь стандартов микробной экологии. ISME J. 5, 1565–1567. DOI: 10.1038 / ismej.2011.39

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Йозвиак, Н. Л., Скьюс-Кокс, П., Стенглейн, М. Д., Бальмаседа, А., Харрис, Э., и ДеРизи, Дж. Л. (2012). Идентификация вирусов в случаях неизвестных тропических лихорадочных заболеваний с использованием глубокого секвенирования. PLoS Negl. Троп. Дис. 6: e1485. DOI: 10.1371 / journal.pntd.0001485

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Чжао, Г., Кришнамурти, С., Кай, З., Попов, В. Л., Травассос да Роса, А. П., Гусман, Х. и др. (2013). Выявление новых вирусов с помощью VirusHunter — конвейера автоматизированного анализа данных. PLoS ONE 8: e78470. DOI: 10.1371 / journal.pone.0078470

PubMed Аннотация | CrossRef Полный текст | Google Scholar

Zhao, G., Wu, G., Lim, E. S., Droit, L., Krishnamurthy, S., Barouch, D.H., et al. (2017). VirusSeeker, вычислительный конвейер для обнаружения вирусов и анализа виромного состава. Вирусология 503, 21–30. DOI: 10.1016 / j.virol.2017.01.005

PubMed Аннотация | CrossRef Полный текст | Google Scholar

.

Добавить комментарий

Ваш адрес email не будет опубликован.