Zararli dasturiy vositalarni aniqlash

219 
 
ham ushbu signatura bo’lishi mumkin. Agar qidiriladigan fayllarda bitlar tasodifiy 
bo’lsa,  ushbu  holatning  bo’lish  ehtimoli  1/2
112
  ga  teng  bo’ladi.  Biroq,  kompyuter 
dasturlari  va  ma’lumotlar  ichidagi  bitlar  tasodifiylikdan  yiroq  va  bu  ehtimolni 
yanada  ortishini  anglatadi.  Boshqa  so’z  bilan  aytganda,  biror  fayldan  signatura 
aniqlangan  taqdirda  ham,  uni  qo’shimcha  tekshirish  amalga  oshirilishi  zarurligini 
anglatadi. 
Signaturaga  asoslangan  aniqlash  usuli  virus  aniq  bo’lganda  va  umumiy 
bo’lgan  signaturalar  ajratilgan  holatda  juda  yuqori  samaradorlikka  ega.  Bundan 
tashqari, ushbu usul foydalanuvchi va administratorga minimal yuklamani yuklaydi 
va ulardan faqat signaturalarni saqlab borish va ularni uzluksiz yangilash vazifasini 
qo’yadi. 
Biroq, signaturalar saqlangan faylning hajmi katta bo’lib, 10 yoki 100 minglab 
signaturaga ega fayl yordamida skanerlash juda ko’p vaqt oladi. Bundan tashqari, 
biror aniqlangan virusni kichik o’zgartirish orqali ushbu usulni osonlik bilan aldab 
o’tish mumkin. 
Hozirgi kunda signutaraga asoslangan tanib olish usuli zamonaviy antivirus 
yoki zararli dasturlarga qarshi himoya vositalarida keng qo’llaniladi. Natijada, virus 
yaratuvchilar signaturani aniqlash usulini aylanib o’tish imkoniyatiga ega ko’plab 
usullarni yaratishmoqda.  
O’zgarishni aniqlashga asoslan aniqlash. 
Zararli dasturlar ma’lum manzilda 
joylashishi  sababli,  agar  tizimdagi  biror  joyga  o’zgarish  aniqlansa,  u  holda 
zararlanishni ko’rsatish mumkin. Ya’ni, agar o’zgarishga uchragan faylni aniqlansa, 
u  virus  orqali  zararlangan  bo’lishi  mumkin.  Bu  usulni  o’zgarishni  aniqlashga 
asoslangan usul sifatida ham nomlash mumkin. 
O’zgarishni  qanday  aniqlash  mumkin?  Ushbu  muammoni  yechishda  xesh 
funksiyalar mos yechim bo’ladi. Faraz qilaylik, tizimdagi barcha fayllarni xeshlab, 
xesh qiymatlari xafsiz manzilga saqlangan bo’lsin. U holda vaqti-vaqti bilan ushbu 
faylning  xesh  qiymatlari  qaytadan  xeshlanadi  va  dastlabki  holatdagilari  bilan 
taqqoslanadi. Agar faylning bir yoki bir nechta bitlari o’zgarishga uchragan bo’lsa, 

220 
 
u  holda  xesh  qiymatlar  bir  biriga  mos  kelmaydi  va  natijada  uni  virus  tomonidan 
zararlangan deb qarash mumkin.  
Ushbu  usulning  afzalliklaridan  biri  shuki,  agar  fayl  zararlangan  bo’lsa,  uni 
aniqlash to’liq mumkin. Bundan tashqari, oldin noma’lum bo’lgan zararli dasturni 
aniqlash mumkin (o’zgarish bu – ma’lum yoki nomalum zararli dastur orqali bo’lgan 
o’zgarish). 
Biroq, ushbu usul ko’plab kamchiliklarga ega. Tizimdagi fayllar odatda tez-
tez o’zgarib turadi va buning natijasida yolg’ondan zararlangan deb topilgan holatlar 
soni  ortadi.  Agar  virus  tizimdagi  tez-tez  o’zgaruvchi  fayl  ichiga  joylashtirilgan 
bo’lsa, ushbu usulni osonlik bilan aylanib o’tish mumkin. Bu holda ushbu fayldagi 
o’zgarishni  log  fayl  orqali  aniqlash  ko’p  vaqt  talab  qiladi  va  bu  signaturaga 
asoslangan usul kabi muammolarga olib keladi. 
Anomaliyaga  asoslangan  aniqlash. 
Anomaliyaga  asoslangan  usul  noodatiy 
yoki virusga o’xshash yoki potensial zararli harakatlari yoki xususiyatlarni topishni 
maqsad qiladi. Ushbu g’oya IDS tizimlarida ham foydalaniladi. 
Ushbu usulning fundamental muammosi bu - qaysi holatni normal va qaysi 
holatni  normal  bo’lmagan  deb  topish  hamda  ushbu  ikki  holat  orasidagi  farqni 
aniqlash  hisoblanadi.  Bundan  tashqari,  normal  holatning  o’zgarishi  va  tizim  bu 
holatga moslashish muammosi ham mavjud. Bu esa ushbu usulda juda ham ko’plab 
noto’g’ri signallarni paydo bo’lishiga olib keladi. 
Ushbu  usulning  afzalligi  esa  oldin  noma’lum  bo’lgan  zararli  dasturlarni 
aniqlash  imkonini  beradi.  Biroq,  ushbu  usulda  yuqorida  keltirilgan  kabi  ko’plab 
muammolar  mavjud  va  shuning  uchun  ham  ushbu  usul  hozirda  tadqiqot  olib 
borilayotgan dolzarb sohalardan biri hisoblanadi.  

Download 4,35 Mb.

Do'stlaringiz bilan baham: