Signaturbaserad detektion

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 2 januari 2019; kontroller kräver 9 redigeringar .

Signaturbaserad detektering  är en metod för drift av antivirus och intrångsdetekteringssystem , där ett program, när man tittar på en fil eller ett paket , hänvisar till en ordbok över kända virus som sammanställts av författarna till programmet. Om någon del av koden för programmet som visas matchar den kända koden ( signaturen ) för viruset i ordboken, kan antivirusprogrammet vidta en av följande åtgärder:

  1. Ta bort den infekterade filen.
  2. Skicka filen till "karantän" (det vill säga gör den otillgänglig för körning för att förhindra ytterligare spridning av viruset).
  3. Försök att återställa filen genom att ta bort själva viruset från filens brödtext.

För att uppnå en tillräckligt långvarig framgång med denna metod är det nödvändigt att regelbundet uppdatera ordlistan över kända virus med nya definitioner (främst online ). Medborgerliga och tekniskt kunniga användare, som har upptäckt ett nytt virus "live", kan skicka den infekterade filen till antivirusprogramutvecklare, som kommer att studera viruset, extrahera dess signatur och sedan inkludera den mottagna signaturen av det nya viruset i ordboken.

Antivirusprogram baserade på ordboksdefinitionen av virus skannar vanligtvis filer när datorsystemet skapar, öppnar, stänger eller skickar filer med e-post . Således kan virus upptäckas direkt efter att de kommit in i datorn och innan de kan orsaka någon skada. Det bör noteras att systemadministratören kan ställa in ett schema för antivirusprogrammet, enligt vilket alla filer på hårddisken kan ses (skannas).

Även om antivirusprogram baserade på en ordboksdefinition av ett virus under normala omständigheter kan vara ganska effektiva för att stoppa datorutbrott, försöker virusförfattare ligga ett halvt steg före sådana antivirusprogram genom att skapa "oligomorfa", " polymorfa " och de senaste " metamorfa " » virusen där delar av koden är omskriven, modifierad, krypterad eller förvrängd så att det är omöjligt att hitta en matchning med definitionen i virusordboken.

En metod för hårdvaruskanning är att skanna dataströmmen längs vägen med en speciell enhet som kallas en kontextsamprocessor. [ett]

Skapande och distribution av signaturer

Antivirussignaturer skapas som ett resultat av noggrann analys av flera kopior av en fil som tillhör ett virus. Signaturen bör endast innehålla unika rader från denna fil, så specifik att den garanterar minsta möjliga risk för falska positiva  - huvudprioriteten för alla antivirusföretag.

Signaturutveckling är en manuell process som är svår att automatisera. Trots mycket forskning om automatisk signaturgenerering [1] [2] gör den ökande polymorfismen (och "metamorfismen") av virus och attacker syntaktiska signaturer meningslösa. Antivirusföretag tvingas släppa ett stort antal signaturer för alla varianter av samma virus, och om det inte vore för Moores lag skulle ingen modern dator kunna avsluta genomsökningen av ett stort antal filer med en sådan mängd signaturer i en rimlig tid. Så i mars 2006 kände Norton Antivirus-skannern till 72 131 virus, och programdatabasen innehöll cirka 400 000 signaturer. [2]

I sin nuvarande form måste signaturdatabaser uppdateras regelbundet, eftersom de flesta antivirus inte kan upptäcka nya virus på egen hand. Varje ägare av signaturbaserad programvara är dömd till ett regelbundet beroende av signaturuppdateringar, vilket är grunden för antivirus- och IDS-leverantörernas affärsmodell .

Snabb leverans av nya signaturer till användare är också en stor utmaning för programvaruleverantörer. Moderna virus och maskar sprids med sådan hastighet att när signaturen släpps och levereras till användarnas datorer kan epidemin redan ha nått sin topp och täckt hela världen . Enligt publicerade data tar signaturleveransen från 11 till 97 timmar, beroende på tillverkare, [3] medan, teoretiskt sett, kan ett virus ta över hela Internet på mindre än 30 sekunder. [3]

I de flesta säkerhetsprogram är signaturdatabasen kärnan i produkten – den mest tidskrävande och värdefulla delen. Det är därför de flesta leverantörer föredrar att hålla sina signaturer privata - även om det finns ett antal programvara med öppen källkod inom detta område (t.ex. ClamAV ), såväl som forskning om omvänd konstruktion av egenutvecklade signaturer. [4] Virusbulletinen publicerade regelbundet nya virussignaturer fram till år 2000 .

Fördelar och nackdelar med syntaktiska signaturer

Den heuristiska skanningsmetoden är utformad för att förbättra skannrars förmåga att applicera signaturer och känna igen modifierade virus i de fall där signaturen inte matchar huvuddelen av ett okänt program med 100 %. [4] Denna teknik används dock mycket noggrant i moderna program, eftersom den kan öka antalet falska positiva.

Anteckningar

  1. Arkiverad kopia (länk ej tillgänglig) . Hämtad 30 juni 2010. Arkiverad från originalet 7 november 2012. 
  2. Virusdefinitioner och säkerhetsuppdateringar - Symantec Corp. Hämtad 17 mars 2006. Arkiverad från originalet 15 mars 2006.
  3. Hur man använder internet på fritiden . Hämtad 17 mars 2006. Arkiverad från originalet 6 april 2006.
  4. Arkiverad kopia . Hämtad 17 mars 2006. Arkiverad från originalet 8 februari 2006.

Se även