197
mumkin emas. Sababi, biror virus bo‘lmagan fayl tarkibida ham ushbu
signatura bo‘lishi mumkin. Agar qidiriladigan fayllarda bitlar tasodifiy
bo‘lsa, ushbu holatning bo‘lishi ehtimoli 1/2
112
ga teng bo‘ladi. Biroq,
kompyuter dasturlari va ma’lumotlar ichidagi bitlar tasodifiylikdan yiroq
va bu ehtimolni yanada ortishini anglatadi. Boshqacha aytganda, biror
fayldan signatura aniqlangan taqdirda ham, uni qo‘shimcha tekshirish
amalga oshirilishi zarur.
Signaturaga asoslangan aniqlash usuli virus aniq bo‘lganida va
umumiy bo‘lgan signaturalar ajratilgan holatda
juda yuqori
samaradorlikka ega. Bundan tashqari, ushbu usulga binoan
foydalanuvchi va ma’murga minimal yuklama yuklanadi va ularga faqat
signaturalarni saqlash va uzluksiz yangilash vazifasi qo‘yiladi.
Biroq, signaturalar saqlangan faylning hajmi katta bo‘lib, 10 yoki
100 minglab signaturaga ega fayl yordamida skanerlash juda ko‘p vaqt
oladi. Bundan tashqari, biror aniqlangan virusni kichik o‘zgartirish
orqali ushbu usulni osonlik bilan aldab o‘tish mumkin.
Hozirgi kunda signaturaga asoslangan tanib olish usuli zamonaviy
antivirus yoki zararli dasturlarga qarshi himoya vositalarida keng
qo‘llaniladi.
O‘zgarishlarni aniqlovchi usul.
Zararli dasturlar ma’lum manzilda
joylashganligi sababli, tizimdagi biror joyda o‘zgarish aniqlansa,
zararlangan joyini ko‘rsatish mumkin. Ya’ni, agar o‘zgarishga
uchragan
fayl aniqlansa, u virus orqali zararlangan bo‘lishi mumkin.
O‘zgarishlarni qanday aniqlash mumkin? Ushbu muammoni
yechishda xesh-funksiyalar mos keladi. Faraz qilaylik, tizimdagi barcha
fayllar xeshlanib, xesh qiymatlari xavfsiz manzilda saqlangan bo‘lsin. U
holda vaqti-vaqti bilan ushbu faylning xesh qiymatlari
qaytadan
hisoblanadi va dastlabkilari bilan taqqoslanadi. Agar faylning bir yoki
bir nechta bitlari o‘zgarishga uchragan bo‘lsa, xesh qiymatlar bir biriga
mos kelmaydi va fayl virus tomonidan zararlangan hisoblanadi.
Ushbu usulning afzalliklaridan biri shuki, agar fayl zararlangan
bo‘lsa, uni to‘liq aniqlash mumkin. Bundan tashqari, oldin noma’lum
bo‘lgan zararli dasturni ham aniqlash mumkin.
Biroq, ushbu usul kamchiliklarga ham ega. Tizimdagi fayllar
odatda tez-tez o‘zgarib turadi va natijada yolg‘ondan zararlangan deb
topilgan holatlar soni ortadi. Agar virus tizimdagi tez-tez o‘zgaruvchi
fayl ichiga joylashtirilgan bo‘lsa, ushbu usulni
osonlik bilan aylanib
o‘tish mumkin. Bu holda ushbu fayldagi o‘zgarishni log fayl orqali
198
aniqlash ko‘p vaqt talab qiladi va bu signaturaga asoslangan usuldagi
kabi muammolarga olib keladi.
Anomaliyaga asoslangan aniqlash.
Anomaliyaga asoslangan usul
noodatiy yoki virusga o‘xshash yoki bo‘lishi mumkin bo‘lgan zararli
harakatlarni yoki xususiyatlarni topishni maqsad qiladi. Ushbu g‘oya
IDS tizimlarida ham foydalaniladi.
Ushbu usulning fundamental muammosi - qaysi
holatni normal va
qaysi holatni normal bo‘lmagan deb topish hamda ushbu ikki holat
orasidagi farqni aniqlash hisoblanadi. Bundan tashqari, normal holatning
o‘zgarishi va tizimning bu holatga moslashish muammosi ham mavjud.
Bu esa ko‘plab noto‘g‘ri signallarni paydo bo‘lishiga sabab bo‘ladi.
Ushbu usulning afzalligi sifatida oldin noma’lum bo‘lgan zararli
dasturlarni aniqlash imkonini ko‘rsatish mumkin.
