Сигнатурный анализ
Сигнатурный антивирусный анализ – это один из методов антивирусной защиты, заключающийся в выявлении характерных идентифицирующих свойств каждого вируса и поиске вирусов при сравнении файлов с выявленными свойствами. Одним из важных свойств сигнатурного анализа является точное определение типа вируса. Это позволяет занести в базу как сигнатуры, так и способы лечения вируса.
Сигнатурой вируса называют совокупность тех или иных свойств, позволяющих однозначно идентифицировать нахождение вируса в файле, включая тот случай, когда сам файл является вирусом. В качестве сигнатуры атаки могут выступать: строка символов, семантическое выражение на специальном языке, формальная математическая модель и др.
Технология сигнатурного анализа
Выделением сигнатур занимаются эксперты в области компьютерной вирусологии, которые способны выделить код вируса из кода программы и сформулировать его характерные свойства в наиболее удобной для поиска форме. Практически в каждой компании, которая занимается разработкой антивирусных программ, есть своя группа специалистов, анализирующая новые вирусы и пополняющая антивирусную базу новыми сигнатурами.
Алгоритм работы сигнатурного метода основан на поиске сигнатур атак в исходных данных, собранных сетевыми и хостовыми датчиками СОА (системы обнаружения атак). При обнаружении искомой сигнатуры, СОА фиксирует факт информационной атаки, которая соответствует найденной сигнатуре.
Количество сигнатур не равно количеству обнаруживаемых вирусов, так как часто для обнаружения семейства похожих вирусов используется одна и та же сигнатура.
Сигнатурные методы выявления атак
Одним из наиболее распространённых сигнатурных методов выявления атак является метод контекстного поиска определённого множества символов в исходных данных. Данный метод позволяет эффективно выявлять атаки на основе анализа сетевого трафика, поскольку данный метод позволяет наиболее точно задать параметры сигнатуры, которую необходимо выявить в потоке исходных данных.
Еще один метод - это метод анализа состояний, который формирует сигнатуры атак в виде последовательности переходов ИС из одного состояние в другое. При этом каждый такой переход связан с наступлением в ИС определённых событий, которые определяются в параметрах сигнатуры атаки.
Методы, базирующиеся на экспертных системах, позволяют описывать модели атак на естественном языке с высоким уровнем абстракции. Экспертная система, которая лежит в основе методов этого типа, состоит из базы фактов и базы правил. Факты представляют собой исходные данные о работе ИС, а правила - методы логического вывода об атаке на основе имеющейся базы фактов. Все правила экспертной системы записываются в формате "если <...>, то <...>". Результирующая база правил должна описывать характерные признаки атак, которые должна обнаруживать СОА.
Преимущества и недостатки
Достоинствами сигнатурного метода являются:
- высокая производительность;
- малое число ошибок второго рода;
- обоснованность решений.
Недостаток сигнатурного метода:
- непригоден для защиты от новых вирусов;
Для того, чтобы получить сигнатуру, необходимо иметь образец вируса. Невозможно создать сигнатуру до тех пор, пока новый вирус не попал на анализ к экспертам. С момента появления вируса в сети Интернет и до момента выпуска сигнатур в среднем проходит несколько часов. В защите от новых вирусов помогают дополнительные средства защиты, используемые в антивирусных программах, а также эвристические методы.
