|
Zararli dasturiy vositalarni aniqlash. Zararli dasturiy vositalarni aniqlashda asosan uchta yondashuvdan foydalaniladi. Birinchisi va eng keng tarqalgani signaturaga asoslangan aniqlash bo‘lib, zararli dasturdagi shablon yoki signaturani topishga asoslanadi. Ikkinchi yondashuv o‘zgarishlarni aniqlashga asoslangan bo‘lib, o‘zgarishga uchragan fayllarni aniqlaydi. O‘zgarishi kutilmagan fayl o‘zgarganida zararlangan deb topiladi. Uchinchi yondashuv anomaliyaga asoslangan, noodatiy yoki virusga o‘xshash fayllarni va holatlarni aniqlashga asoslanadi.
Signaturaga asoslangan aniqlash. Signatura bu – faylda topilgan bitlar qatori bo‘lib, maxsus belgilarni o‘z ichiga oladi. Bu o‘rinda ularning xesh qiymatlari ham signatura sifatida xizmat qilishi mumkin. Biroq, bu usul kam moslashuvchanlik darajasiga ega bo‘lib, virus yozuvchilari tomonidan osongina chetlanib o‘tilishi mumkin.
Masalan, W32/Beast virusi (1999 yilda aniqlangan Microsoft Word hujjatini zararlashga qaratilgan virus) uchun 83EB 0274 EBOE 740A 81EB 0301 0000 signaturasi foydalanilgan. Bu holda tizimdagi barcha fayllar ichida ushbu signatura qidiriladi. Biroq, biror fayl ichida ushbu signatura aniqlangan vaqtda ham to‘liq virusni topdik deb aytish mumkin emas. Sababi, biror virus bo‘lmagan fayl tarkibida ham ushbu signatura bo‘lishi mumkin. Agar qidiriladigan fayllarda bitlar tasodifiy bo‘lsa, ushbu holatning bo‘lishi ehtimoli 1/2112 ga teng bo‘ladi. Biroq, kompyuter
dasturlari va ma’lumotlar ichidagi bitlar tasodifiylikdan yiroq va bu ehtimolni yanada ortishini anglatadi. Boshqacha aytganda, biror fayldan signatura aniqlangan taqdirda ham, uni qo‘shimcha tekshirish amalga oshirilishi zarur.
Signaturaga asoslangan aniqlash usuli virus aniq bo‘lganida va umumiy bo‘lgan signaturalar ajratilgan holatda juda yuqori samaradorlikka ega. Bundan tashqari, ushbu usulga binoan foydalanuvchi va ma’murga minimal yuklama yuklanadi va ularga faqat signaturalarni saqlash va uzluksiz yangilash vazifasi qo‘yiladi.
Biroq, signaturalar saqlangan faylning hajmi katta bo‘lib, 10 yoki 100 minglab signaturaga ega fayl yordamida skanerlash juda ko‘p vaqt oladi. Bundan tashqari, biror aniqlangan virusni kichik o‘zgartirish orqali ushbu usulni osonlik bilan aldab o‘tish mumkin.
Hozirgi kunda signaturaga asoslangan tanib olish usuli zamonaviy antivirus yoki zararli dasturlarga qarshi himoya vositalarida keng qo‘llaniladi.
O‘zgarishlarni aniqlovchi usul. Zararli dasturlar ma’lum manzilda joylashganligi sababli, tizimdagi biror joyda o‘zgarish aniqlansa, zararlangan joyini ko‘rsatish mumkin. Ya’ni, agar o‘zgarishga uchragan fayl aniqlansa, u virus orqali zararlangan bo‘lishi mumkin.
O‘zgarishlarni qanday aniqlash mumkin? Ushbu muammoni yechishda xesh-funksiyalar mos keladi. Faraz qilaylik, tizimdagi barcha fayllar xeshlanib, xesh qiymatlari xavfsiz manzilda saqlangan bo‘lsin. U holda vaqti-vaqti bilan ushbu faylning xesh qiymatlari qaytadan hisoblanadi va dastlabkilari bilan taqqoslanadi. Agar faylning bir yoki bir nechta bitlari o‘zgarishga uchragan bo‘lsa, xesh qiymatlar bir biriga mos kelmaydi va fayl virus tomonidan zararlangan hisoblanadi.
Ushbu usulning afzalliklaridan biri shuki, agar fayl zararlangan bo‘lsa, uni to‘liq aniqlash mumkin. Bundan tashqari, oldin noma’lum bo‘lgan zararli dasturni ham aniqlash mumkin.
Biroq, ushbu usul kamchiliklarga ham ega. Tizimdagi fayllar odatda tez-tez o‘zgarib turadi va natijada yolg‘ondan zararlangan deb topilgan holatlar soni ortadi. Agar virus tizimdagi tez-tez o‘zgaruvchi fayl ichiga joylashtirilgan bo‘lsa, ushbu usulni osonlik bilan aylanib o‘tish mumkin. Bu holda ushbu fayldagi o‘zgarishni log fayl orqali aniqlash ko‘p vaqt talab qiladi va bu signaturaga asoslangan usuldagi kabi muammolarga olib keladi.
Anomaliyaga asoslangan aniqlash. Anomaliyaga asoslangan usul noodatiy yoki virusga o‘xshash yoki bo‘lishi mumkin bo‘lgan zararli
harakatlarni yoki xususiyatlarni topishni maqsad qiladi. Ushbu g‘oya IDS tizimlarida ham foydalaniladi.
Ushbu usulning fundamental muammosi - qaysi holatni normal va qaysi holatni normal bo‘lmagan deb topish hamda ushbu ikki holat orasidagi farqni aniqlash hisoblanadi. Bundan tashqari, normal holatning o‘zgarishi va tizimning bu holatga moslashish muammosi ham mavjud. Bu esa ko‘plab noto‘g‘ri signallarni paydo bo‘lishiga sabab bo‘ladi. Ushbu usulning afzalligi sifatida oldin noma’lum bo‘lgan zararli dasturlarni aniqlash imkonini ko‘rsatish mumkin.
Do'stlaringiz bilan baham: |
