Allekirjoitukseen perustuva tunnistus

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 2. tammikuuta 2019 tarkistetusta versiosta . tarkastukset vaativat 9 muokkausta .

Allekirjoituspohjainen tunnistus  on virustentorjunta- ja tunkeutumisen havaitsemisjärjestelmien toimintatapa , jossa ohjelma viittaa tiedostoa tai pakettia tarkastellessaan ohjelman tekijöiden laatimaan tunnettujen virusten sanakirjaan. Jos jokin tarkasteltavan ohjelman koodin osa vastaa sanakirjassa olevaa viruksen tunnettua koodia ( allekirjoitusta ), virustorjuntaohjelma voi suorittaa jonkin seuraavista toimista:

  1. Poista tartunnan saanut tiedosto.
  2. Lähetä tiedosto "karanteeniin" (eli tee siitä poissa käytöstä viruksen leviämisen estämiseksi).
  3. Yritä palauttaa tiedosto poistamalla itse virus tiedoston rungosta.

Jotta tällä menetelmällä saavutettaisiin riittävän pitkäaikainen menestys, tunnettujen virusten sanakirjaa on päivitettävä säännöllisesti uusilla määritelmillä (pääasiassa verkossa ). Kansalaismieliset ja teknisesti taitavat käyttäjät, jotka ovat löytäneet uuden viruksen "livenä", voivat lähettää tartunnan saaneen tiedoston virustorjuntaohjelmistojen kehittäjille, jotka tutkivat viruksen, poimivat sen allekirjoituksen ja sisällyttävät sitten vastaanotetun uuden viruksen allekirjoituksen sanakirja.

Virusten sanakirjan määritelmään perustuvat virustorjuntaohjelmat skannaavat yleensä tiedostoja, kun tietokonejärjestelmä luo, avaa, sulkee tai lähettää tiedostoja sähköpostitse . Siten virukset voidaan havaita heti, kun ne tulevat tietokoneeseen ja ennen kuin ne voivat aiheuttaa haittaa. On huomattava, että järjestelmänvalvoja voi asettaa virustorjuntaohjelmalle aikataulun, jonka mukaan kaikkia kiintolevyllä olevia tiedostoja voidaan tarkastella (skannata).

Vaikka viruksen sanakirjamääritelmään perustuvat virustorjuntaohjelmat voivat normaaleissa olosuhteissa olla varsin tehokkaita tietokoneepidemioiden pysäyttämisessä, virusten tekijät yrittävät pysyä puoli askelta edellä tällaisia ​​virustorjuntaohjelmia luomalla "oligomorfisia", " polymorfisia " ja uusimmat " metamorfiset " » virukset, joissa koodin osia kirjoitetaan uudelleen, muutetaan, salataan tai vääristetään niin, että on mahdotonta löytää vastinetta virussanakirjan määritelmään.

Eräs laitteistoskannausmenetelmä on skannata tietovirta matkan varrella erityisellä laitteella, jota kutsutaan kontekstin apuprosessoriksi. [yksi]

Allekirjoitusten luominen ja jakelu

Virustorjunta-allekirjoitukset luodaan yhdelle virukselle kuuluvan tiedoston useiden kopioiden huolellisen analyysin tuloksena. Allekirjoituksen tulee sisältää vain ainutlaatuisia rivejä tästä tiedostosta, jotka ovat niin tarkkoja, että taataan mahdollisimman vähän vääriä positiivisia  tuloksia - mikä on kaikkien virustorjuntayritysten tärkein prioriteetti.

Allekirjoituksen kehittäminen on manuaalinen prosessi, jota on vaikea automatisoida. Huolimatta paljon automaattista allekirjoitusten luomista koskevasta tutkimuksesta [1] [2] virusten ja hyökkäysten lisääntyvä polymorfismi (ja "metamorfismi") tekee syntaktisista allekirjoituksista merkityksettömiä. Virustorjuntayritykset joutuvat julkaisemaan suuren määrän allekirjoituksia saman viruksen kaikille muunnelmille, ja ilman Mooren lakia mikään nykyaikainen tietokone ei pystyisi suorittamaan loppuun suuren määrän tiedostojen skannausta, joissa on näin suuri allekirjoitusten massa. kohtuullinen aika. Joten maaliskuussa 2006 Norton Antivirus -skanneri tiesi noin 72 131 viruksesta ja ohjelmatietokanta sisälsi noin 400 000 allekirjoitusta. [2]

Nykyisessä muodossaan allekirjoitustietokannat on päivitettävä säännöllisesti, koska useimmat virustorjuntaohjelmat eivät pysty havaitsemaan uusia viruksia itsestään. Jokainen allekirjoituspohjaisten ohjelmistojen omistaja on tuomittu säännölliseen riippuvuuteen allekirjoitusten päivityksistä, mikä on virustorjunta- ja IDS-toimittajien liiketoimintamallin perusta.

Uusien allekirjoitusten oikea-aikainen toimittaminen käyttäjille on myös suuri haaste ohjelmistotoimittajille. Nykyaikaiset virukset ja madot leviävät niin vauhdilla, että kun allekirjoitus julkaistaan ​​ja toimitetaan käyttäjien tietokoneille, epidemia saattaa olla jo saavuttanut huippunsa ja kattanut koko maailman . Julkaistujen tietojen mukaan allekirjoitusten toimittaminen kestää valmistajasta riippuen 11-97 tuntia, [3] kun taas teoriassa virus voi vallata koko Internetin alle 30 sekunnissa. [3]

Useimmissa tietoturvaohjelmistoissa allekirjoitustietokanta on tuotteen ydin – aikaa vievin ja arvokkain osa. Tästä syystä useimmat toimittajat haluavat pitää allekirjoituksensa yksityisinä - vaikka tällä alueella on useita avoimen lähdekoodin ohjelmistoja (esim . ClamAV ), sekä tutkimusta omistusoikeudellisten allekirjoitusten käänteissuunnittelusta . [4] Virus Bulletin julkaisi säännöllisesti uusia virustunnisteita vuoteen 2000 asti .

Syntaktisten allekirjoitusten edut ja haitat

Heuristinen skannausmenetelmä on suunniteltu parantamaan skannerien kykyä käyttää allekirjoituksia ja tunnistaa muunnettuja viruksia tapauksissa, joissa allekirjoitus ei vastaa tuntemattoman ohjelman runkoa 100%. [4] Tätä tekniikkaa käytetään kuitenkin erittäin huolellisesti nykyaikaisissa ohjelmissa, koska se voi lisätä väärien positiivisten tulosten määrää.

Muistiinpanot

  1. Arkistoitu kopio (linkki ei saatavilla) . Haettu 30. kesäkuuta 2010. Arkistoitu alkuperäisestä 7. marraskuuta 2012. 
  2. Virusmääritykset ja tietoturvapäivitykset - Symantec Corp. Haettu 17. maaliskuuta 2006. Arkistoitu alkuperäisestä 15. maaliskuuta 2006.
  3. Internetin käyttäminen vapaa-ajalla . Haettu 17. maaliskuuta 2006. Arkistoitu alkuperäisestä 6. huhtikuuta 2006.
  4. Arkistoitu kopio . Haettu 17. maaliskuuta 2006. Arkistoitu alkuperäisestä 8. helmikuuta 2006.

Katso myös