Analiza antivirus de semnătură este una dintre metodele de protecție antivirus, care constă în identificarea proprietăților de identificare caracteristice ale fiecărui virus și căutarea virușilor prin compararea fișierelor cu proprietățile identificate. Una dintre proprietățile importante ale analizei semnăturii este determinarea exactă a tipului de virus. Acest lucru vă permite să introduceți atât semnături , cât și metode de tratare a virusului în baza de date.
O semnătură de virus este un set de anumite proprietăți care fac posibilă identificarea unică a prezenței unui virus într-un fișier, inclusiv în cazul în care fișierul în sine este un virus. O semnătură de atac poate fi: un șir de caractere, o expresie semantică într-un limbaj special, un model matematic formal etc.
Extragerea semnăturii este efectuată de experți în domeniul virologiei computerelor, care sunt capabili să extragă codul virusului din codul programului și să formuleze proprietățile sale caracteristice în cea mai căutată formă. Aproape fiecare companie care dezvoltă programe antivirus are propria echipă de specialiști care analizează noi viruși și completează baza de date antivirus cu noi semnături.
Algoritmul de operare al metodei semnăturii se bazează pe căutarea semnăturilor de atac în datele sursă colectate de senzorii de rețea și gazdă ai SOA (Intrusion Detection System). Când este detectată semnătura necesară, SOA remediază faptul unui atac informațional care corespunde semnăturii găsite.
Numărul de semnături nu este egal cu numărul de viruși detectați, deoarece adesea aceeași semnătură este folosită pentru a detecta o familie de viruși similari.
Una dintre cele mai comune metode de semnătură pentru detectarea atacurilor este metoda de căutare contextuală a unui anumit set de caractere din datele sursă. Această metodă vă permite să detectați eficient atacurile pe baza analizei traficului de rețea, deoarece această metodă vă permite să setați cel mai precis parametrii semnăturii care trebuie detectate în fluxul de date sursă.
O altă metodă este metoda analizei stării, care generează semnături de atac sub forma unei secvențe de tranziții IS de la o stare la alta. Mai mult, fiecare astfel de tranziție este asociată cu apariția anumitor evenimente în IS, care sunt determinate în parametrii semnăturii de atac.
Metodele bazate pe sisteme expert fac posibilă descrierea modelelor de atac în limbaj natural cu un nivel ridicat de abstractizare. Sistemul expert care stă la baza metodelor de acest tip constă dintr-o bază de fapte și o bază de reguli. Faptele sunt datele inițiale despre activitatea SI, iar regulile sunt metode de inferență logică despre un atac bazate pe baza de fapte existentă. Toate regulile sistemului expert sunt scrise în formatul „dacă <...>, atunci <...>”. Baza de reguli rezultată ar trebui să descrie semnăturile de atac pe care SOA ar trebui să le detecteze.
Avantajele metodei semnăturii sunt:
Dezavantajul metodei semnăturii:
Pentru a obține o semnătură, trebuie să aveți o mostră a virusului. Este imposibil să creezi o semnătură până când un nou virus nu a fost analizat de către experți. Din momentul în care un virus apare pe Internet și până în momentul în care sunt eliberate semnăturile, trec, în medie, câteva ore. Instrumentele suplimentare de protecție utilizate în programele antivirus, precum și metodele euristice , ajută la protejarea împotriva noilor viruși .