Signatur antivirusanalys är en av metoderna för antivirusskydd, som består i att identifiera de karakteristiska identifierande egenskaperna för varje virus och söka efter virus genom att jämföra filer med de identifierade egenskaperna. En av de viktiga egenskaperna hos signaturanalys är den exakta bestämningen av typen av virus. Detta gör att du kan ange både signaturer och metoder för att behandla viruset i databasen.
En virussignatur är en uppsättning av vissa egenskaper som gör det möjligt att unikt identifiera förekomsten av ett virus i en fil, inklusive fallet då själva filen är ett virus. En attacksignatur kan vara: en teckensträng, ett semantiskt uttryck på ett speciellt språk, en formell matematisk modell, etc.
Signaturextraktion utförs av experter inom datavirologi, som kan extrahera viruskoden från programkoden och formulera dess karakteristiska egenskaper i den mest sökbara formen. Nästan alla företag som utvecklar antivirusprogram har ett eget team av specialister som analyserar nya virus och fyller på antivirusdatabasen med nya signaturer.
Signaturmetodens operationsalgoritm är baserad på sökningen efter attacksignaturer i källdata som samlas in av nätverket och värdsensorerna för SOA (Intrusion Detection System). När den erforderliga signaturen detekteras, fixar SOA:n faktumet av en informationsattack som motsvarar den hittade signaturen.
Antalet signaturer är inte lika med antalet upptäckta virus, eftersom ofta samma signatur används för att upptäcka en familj av liknande virus.
En av de vanligaste signaturmetoderna för att upptäcka attacker är metoden för kontextuell sökning efter en viss uppsättning tecken i källdata. Med den här metoden kan du effektivt upptäcka attacker baserat på nätverkstrafikanalys, eftersom den här metoden låter dig ställa in parametrarna för signaturen som behöver upptäckas i källdataströmmen mest exakt.
En annan metod är tillståndsanalysmetoden, som genererar attacksignaturer i form av en sekvens av IS-övergångar från en stat till en annan. Dessutom är varje sådan övergång associerad med förekomsten av vissa händelser i IS, som bestäms i parametrarna för attacksignaturen.
Metoder baserade på expertsystem gör det möjligt att beskriva attackmodeller i naturligt språk med hög abstraktionsnivå. Expertsystemet som ligger till grund för metoder av denna typ består av en faktabas och en regelbas. Fakta är de första uppgifterna om IS:s arbete, och reglerna är metoder för logiska slutsatser om en attack baserad på den befintliga basen av fakta. Alla expertsystemregler skrivs i formatet "om <...>, sedan <...>". Den resulterande regelbasen bör beskriva attacksignaturerna som SOA:n ska upptäcka.
Fördelarna med signaturmetoden är:
Nackdelen med signaturmetoden:
För att få en signatur måste du ha ett prov av viruset. Det är omöjligt att skapa en signatur förrän ett nytt virus har analyserats av experter. Från det ögonblick ett virus dyker upp på Internet till det att signaturer släpps går det i genomsnitt flera timmar. Ytterligare skyddsverktyg som används i antivirusprogram, såväl som heuristiska metoder , hjälper till att skydda mot nya virus .