Zararli dasturiy vositalarni aniqlash




Download 3,33 Mb.
Pdf ko'rish
bet107/133
Sana20.05.2024
Hajmi3,33 Mb.
#244665
1   ...   103   104   105   106   107   108   109   110   ...   133
Bog'liq
Kiberxavfsizlik asoslari (21.04.2021)

Zararli dasturiy vositalarni aniqlash. 
Zararli dasturiy vositalarni 
aniqlashda asosan uchta yondashuvdan foydalaniladi. Birinchisi va eng 
keng tarqalgani 
signaturaga asoslangan aniqlash
bo‘lib, zararli 
dasturdagi shablon yoki signaturani topishga asoslanadi. Ikkinchi 
yondashuv 
o‘zgarishlarni aniqlashga 
asoslangan bo‘lib, o‘zgarishga 
uchragan fayllarni aniqlaydi. O‘zgarishi kutilmagan fayl o‘zgarganida 
zararlangan deb topiladi. Uchinchi yondashuv 
anomaliyaga asoslangan

noodatiy yoki virusga o‘xshash fayllarni va holatlarni aniqlashga 
asoslanadi.
Signaturaga asoslangan aniqlash. 
Signatura bu – faylda topilgan 
bitlar qatori bo‘lib, maxsus belgilarni o‘z ichiga oladi. Bu o‘rinda 
ularning xesh qiymatlari ham signatura sifatida xizmat qilishi mumkin. 
Biroq, bu usul kam moslashuvchanlik darajasiga ega bo‘lib, virus 
yozuvchilari tomonidan osongina chetlanib o‘tilishi mumkin. 
Masalan, W32/Beast virusi (1999 yilda aniqlangan Microsoft 
Word hujjatini zararlashga qaratilgan virus) uchun 83EB 0274 EBOE 
740A 81EB 0301 0000 signaturasi foydalanilgan. Bu holda tizimdagi 
barcha fayllar ichida ushbu signatura qidiriladi. Biroq, biror fayl ichida 
ushbu signatura aniqlangan vaqtda ham to‘liq virusni topdik deb aytish 


197 
mumkin emas. Sababi, biror virus bo‘lmagan fayl tarkibida ham ushbu 
signatura bo‘lishi mumkin. Agar qidiriladigan fayllarda bitlar tasodifiy 
bo‘lsa, ushbu holatning bo‘lishi ehtimoli 1/2
112
ga teng bo‘ladi. Biroq, 
kompyuter dasturlari va ma’lumotlar ichidagi bitlar tasodifiylikdan yiroq 
va bu ehtimolni yanada ortishini anglatadi. Boshqacha aytganda, biror 
fayldan signatura aniqlangan taqdirda ham, uni qo‘shimcha tekshirish 
amalga oshirilishi zarur. 
Signaturaga asoslangan aniqlash usuli virus aniq bo‘lganida va 
umumiy bo‘lgan signaturalar ajratilgan holatda juda yuqori 
samaradorlikka ega. Bundan tashqari, ushbu usulga binoan 
foydalanuvchi va ma’murga minimal yuklama yuklanadi va ularga faqat 
signaturalarni saqlash va uzluksiz yangilash vazifasi qo‘yiladi. 
Biroq, signaturalar saqlangan faylning hajmi katta bo‘lib, 10 yoki 
100 minglab signaturaga ega fayl yordamida skanerlash juda ko‘p vaqt 
oladi. Bundan tashqari, biror aniqlangan virusni kichik o‘zgartirish 
orqali ushbu usulni osonlik bilan aldab o‘tish mumkin. 
Hozirgi kunda signaturaga asoslangan tanib olish usuli zamonaviy 
antivirus yoki zararli dasturlarga qarshi himoya vositalarida keng 
qo‘llaniladi.
O‘zgarishlarni aniqlovchi usul. 
Zararli dasturlar ma’lum manzilda 
joylashganligi sababli, tizimdagi biror joyda o‘zgarish aniqlansa, 
zararlangan joyini ko‘rsatish mumkin. Ya’ni, agar o‘zgarishga uchragan 
fayl aniqlansa, u virus orqali zararlangan bo‘lishi mumkin.
O‘zgarishlarni qanday aniqlash mumkin? Ushbu muammoni 
yechishda xesh-funksiyalar mos keladi. Faraz qilaylik, tizimdagi barcha 
fayllar xeshlanib, xesh qiymatlari xavfsiz manzilda saqlangan bo‘lsin. U 
holda vaqti-vaqti bilan ushbu faylning xesh qiymatlari qaytadan 
hisoblanadi va dastlabkilari bilan taqqoslanadi. Agar faylning bir yoki 
bir nechta bitlari o‘zgarishga uchragan bo‘lsa, xesh qiymatlar bir biriga 
mos kelmaydi va fayl virus tomonidan zararlangan hisoblanadi.
Ushbu usulning afzalliklaridan biri shuki, agar fayl zararlangan 
bo‘lsa, uni to‘liq aniqlash mumkin. Bundan tashqari, oldin noma’lum 
bo‘lgan zararli dasturni ham aniqlash mumkin. 
Biroq, ushbu usul kamchiliklarga ham ega. Tizimdagi fayllar 
odatda tez-tez o‘zgarib turadi va natijada yolg‘ondan zararlangan deb 
topilgan holatlar soni ortadi. Agar virus tizimdagi tez-tez o‘zgaruvchi 
fayl ichiga joylashtirilgan bo‘lsa, ushbu usulni osonlik bilan aylanib 
o‘tish mumkin. Bu holda ushbu fayldagi o‘zgarishni log fayl orqali 


198 
aniqlash ko‘p vaqt talab qiladi va bu signaturaga asoslangan usuldagi 
kabi muammolarga olib keladi. 
Anomaliyaga asoslangan aniqlash. 
Anomaliyaga asoslangan usul 
noodatiy yoki virusga o‘xshash yoki bo‘lishi mumkin bo‘lgan zararli 
harakatlarni yoki xususiyatlarni topishni maqsad qiladi. Ushbu g‘oya 
IDS tizimlarida ham foydalaniladi. 
Ushbu usulning fundamental muammosi - qaysi holatni normal va 
qaysi holatni normal bo‘lmagan deb topish hamda ushbu ikki holat 
orasidagi farqni aniqlash hisoblanadi. Bundan tashqari, normal holatning 
o‘zgarishi va tizimning bu holatga moslashish muammosi ham mavjud. 
Bu esa ko‘plab noto‘g‘ri signallarni paydo bo‘lishiga sabab bo‘ladi. 
Ushbu usulning afzalligi sifatida oldin noma’lum bo‘lgan zararli 
dasturlarni aniqlash imkonini ko‘rsatish mumkin.

Download 3,33 Mb.
1   ...   103   104   105   106   107   108   109   110   ...   133




Download 3,33 Mb.
Pdf ko'rish