Сигнатурный анализ

Сигнатурный антивирусный анализ — это один из методов антивирусной защиты, заключающийся в выявлении характерных идентифицирующих свойств каждого вируса и поиске вирусов при сравнении файлов с выявленными свойствами. Одним из важных свойств сигнатурного анализа является точное определение типа вируса. Это позволяет занести в базу как сигнатуры, так и способы лечения вируса.

Сигнатурой вируса называют совокупность тех или иных свойств, позволяющих однозначно идентифицировать нахождение вируса в файле, включая тот случай, когда сам файл является вирусом. В качестве сигнатуры атаки могут выступать: строка символов, семантическое выражение на специальном языке, формальная математическая модель и др.

Технология сигнатурного анализа

Выделением сигнатур занимаются эксперты в области компьютерной вирусологии, которые способны выделить код вируса из кода программы и сформулировать его характерные свойства в наиболее удобной для поиска форме. Практически в каждой компании, которая занимается разработкой антивирусных программ, есть своя группа специалистов, анализирующая новые вирусы и пополняющая антивирусную базу новыми сигнатурами.

Алгоритм работы сигнатурного метода основан на поиске сигнатур атак в исходных данных, собранных сетевыми и хостовыми датчиками системы обнаружения атак (СОА или IDS)[1]. При обнаружении искомой сигнатуры, СОА фиксирует факт информационной атаки, которая соответствует найденной сигнатуре.

Количество сигнатур не равно количеству обнаруживаемых вирусов, так как часто для обнаружения семейства похожих вирусов используется одна и та же сигнатура.

Сигнатурные методы выявления атак

Одним из наиболее распространённых сигнатурных методов выявления атак является метод контекстного поиска определённого множества символов в исходных данных. Данный метод позволяет эффективно выявлять атаки на основе анализа сетевого трафика, поскольку данный метод позволяет наиболее точно задать параметры сигнатуры, которую необходимо выявить в потоке исходных данных.

Еще один метод — это метод анализа состояний, который формирует сигнатуры атак в виде последовательности переходов ИС из одного состояние в другое. При этом каждый такой переход связан с наступлением в ИС определённых событий, которые определяются в параметрах сигнатуры атаки.

Методы, базирующиеся на экспертных системах, позволяют описывать модели атак на естественном языке с высоким уровнем абстракции. Экспертная система, которая лежит в основе методов этого типа, состоит из базы фактов и базы правил. Факты представляют собой исходные данные о работе ИС, а правила - методы логического вывода об атаке на основе имеющейся базы фактов. Все правила экспертной системы записываются в формате "если <...>, то <...>". Результирующая база правил должна описывать характерные признаки атак, которые должна обнаруживать СОА.

Преимущества и недостатки

Достоинствами сигнатурного метода являются:

  • высокая производительность;
  • малое число ошибок второго рода[2];
  • обоснованность решений.

Недостаток сигнатурного метода:

  • непригоден для защиты от новых вирусов;

Для того, чтобы получить сигнатуру, необходимо иметь образец вируса. Невозможно создать сигнатуру до тех пор, пока новый вирус не попал на анализ к экспертам. С момента появления вируса в сети Интернет и до момента выпуска сигнатур в среднем проходит несколько часов. В защите от новых вирусов помогают дополнительные средства защиты, используемые в антивирусных программах, а также эвристические методы.

См. также

Примечания

  1. Lubov Golyatkina, Olga Melnikova. Development of information system for testing vulnerabilities web-resources. researchgate.net. doi:10.37005/2071-9612-2020-3-23-30.
  2. Ошибка II рода. statistica.ru. Дата обращения: 15 июля 2021. Архивировано 15 июля 2021 года.

Ссылки