Signature anti-virus analyysi on yksi virustorjuntamenetelmistä, joka koostuu kunkin viruksen tunnusomaisten tunnisteominaisuuksien tunnistamisesta ja virusten etsimisestä vertaamalla tunnistettujen ominaisuuksien tiedostoja . Yksi allekirjoitusanalyysin tärkeistä ominaisuuksista on virustyypin tarkka määrittäminen. Näin voit syöttää tietokantaan sekä allekirjoituksia että viruksen hoitomenetelmiä.
Virustunniste on joukko tiettyjä ominaisuuksia, joiden avulla on mahdollista tunnistaa yksiselitteisesti viruksen esiintyminen tiedostossa, mukaan lukien tapaus, jossa tiedosto itsessään on virus. Hyökkäysallekirjoitus voi olla: merkkijono, semanttinen lauseke erityisellä kielellä, muodollinen matemaattinen malli jne.
Allekirjoituksen poiminnan suorittavat tietokonevirologian asiantuntijat, jotka osaavat erottaa viruskoodin ohjelmakoodista ja muotoilla sen tunnusomaiset ominaisuudet haetavimmassa muodossa. Lähes jokaisella virustorjuntaohjelmia kehittävällä yrityksellä on oma asiantuntijatiimi, joka analysoi uusia viruksia ja täydentää virustorjuntatietokantaa uusilla allekirjoituksilla.
Allekirjoitusmenetelmän toiminta-algoritmi perustuu hyökkäystunnisteiden etsimiseen SOA:n (Intrusion Detection System) verkon ja isäntäantureiden keräämistä lähdetiedoista. Kun tarvittava allekirjoitus havaitaan, SOA korjaa löydettyä allekirjoitusta vastaavan tietohyökkäyksen tosiasian.
Allekirjoitusten määrä ei ole yhtä suuri kuin havaittujen virusten määrä, koska usein samaa allekirjoitusta käytetään samanlaisten virusten perheen havaitsemiseen.
Yksi yleisimmistä allekirjoitusmenetelmistä hyökkäysten havaitsemiseksi on tapa kontekstuaalista hakua tietylle merkkijoukolle lähdetiedoissa. Tämän menetelmän avulla voit havaita tehokkaasti verkkoliikenneanalyysiin perustuvat hyökkäykset, koska tällä menetelmällä voit määrittää tarkimmin lähdetietovirrasta tunnistettavan allekirjoituksen parametrit.
Toinen menetelmä on tila-analyysimenetelmä, joka luo hyökkäysallekirjoituksia IS-siirtymien sarjana tilasta toiseen. Lisäksi jokainen tällainen siirtymä liittyy tiettyjen tapahtumien esiintymiseen IS:ssä, jotka määritetään hyökkäyksen allekirjoituksen parametreissä.
Asiantuntijajärjestelmiin perustuvat menetelmät mahdollistavat hyökkäysmallien kuvaamisen luonnollisella kielellä korkealla abstraktiolla. Tällaisten menetelmien taustalla oleva asiantuntijajärjestelmä koostuu faktapohjasta ja sääntöpohjasta. Faktat ovat lähtötietoa IS:n toiminnasta, ja säännöt ovat menetelmiä loogisten päätelmien tekemiseksi hyökkäyksestä olemassa olevan faktapohjan perusteella. Kaikki asiantuntijajärjestelmän säännöt on kirjoitettu muodossa "jos <...>, niin <...>". Tuloksena olevan sääntökannan tulee kuvata hyökkäysallekirjoitukset, jotka SOA:n tulee havaita.
Allekirjoitusmenetelmän edut ovat:
Allekirjoitusmenetelmän haittapuoli:
Allekirjoituksen saamiseksi sinulla on oltava näyte viruksesta. Allekirjoituksen luominen on mahdotonta ennen kuin asiantuntijat ovat analysoineet uuden viruksen. Siitä hetkestä, kun virus ilmestyy Internetiin, siihen hetkeen, kun allekirjoitukset julkaistaan, kuluu keskimäärin useita tunteja. Virustentorjuntaohjelmissa käytetyt lisäsuojaustyökalut sekä heuristiset menetelmät auttavat suojaamaan uusia viruksia vastaan .