Zararli dasturiy vositalarni aniqlash




Download 4,35 Mb.
Pdf ko'rish
bet101/149
Sana10.09.2024
Hajmi4,35 Mb.
#270811
1   ...   97   98   99   100   101   102   103   104   ...   149
Bog'liq
kiberxavfsizlik-asoslari

Zararli dasturiy vositalarni aniqlash. 
Zararli dasturiy vositalarni aniqlashda 
asosan uchta yondashuvdan foydalaniladi. Birinchisi va eng keng tarqalgani 
signaturaga asoslangan aniqlash
bo’lib, zararli dasturda namoyon bo’lgan shablon 
yoki signaturani topishga asoslanadi. Ikkinchi yondashuv 
o’zgarishni aniqlashga 
asoslangan bo’lib, o’zgarishga uchragan fayllarni aniqlaydi. O’zgarishi kutilmagan 
fayl o’zgarganda zararlangan deb topiladi. Uchinchi yondashuv 
anomaliyaga 
asoslangan
bo’lib, noodatiy yoki virusga o’xshash fayllarni va holatlarni aniqlashga 
asoslanadi.
Signaturaga asoslangan aniqlash. 
Signatura bu – fayldan topilgan bitlar 
qatori bo’lib, maxsus belgilarni o’z ichiga oladi. Bu o’rinda ularning xesh qiymatlari 
ham signatura sifatida xizmat qilishi mumkin. Biroq, bu usul kam moslashuvchanlik 
darajasiga ega bo’lib, virus yozuvchilar tomonidan osonlik bilan chetlanib o’tilishi 
mumkin. 
Masalan, W32/Beast virusi (1999 yilda aniqlangan Microsoft Word hujjatini 
zararlashga qaratilgan virus) uchun 83EB 0274 EBOE 740A 81EB 0301 0000 
signaturasi foydalanilgan. Bu holda tizimdagi barcha fayllar ichida ushbu signatura 
qidiriladi. Biroq, biror fayl ichidan ushbu signatura aniqlangan vaqtda ham to’liq 
virusni topdik deb aytish mumkin emas. Sababi, biror virus bo’lmagan fayl tarkibida 


219 
ham ushbu signatura bo’lishi mumkin. Agar qidiriladigan fayllarda bitlar tasodifiy 
bo’lsa, ushbu holatning bo’lish ehtimoli 1/2
112
ga teng bo’ladi. Biroq, kompyuter 
dasturlari va ma’lumotlar ichidagi bitlar tasodifiylikdan yiroq va bu ehtimolni 
yanada ortishini anglatadi. Boshqa so’z bilan aytganda, biror fayldan signatura 
aniqlangan taqdirda ham, uni qo’shimcha tekshirish amalga oshirilishi zarurligini 
anglatadi. 
Signaturaga asoslangan aniqlash usuli virus aniq bo’lganda va umumiy 
bo’lgan signaturalar ajratilgan holatda juda yuqori samaradorlikka ega. Bundan 
tashqari, ushbu usul foydalanuvchi va administratorga minimal yuklamani yuklaydi 
va ulardan faqat signaturalarni saqlab borish va ularni uzluksiz yangilash vazifasini 
qo’yadi. 
Biroq, signaturalar saqlangan faylning hajmi katta bo’lib, 10 yoki 100 minglab 
signaturaga ega fayl yordamida skanerlash juda ko’p vaqt oladi. Bundan tashqari, 
biror aniqlangan virusni kichik o’zgartirish orqali ushbu usulni osonlik bilan aldab 
o’tish mumkin. 
Hozirgi kunda signutaraga asoslangan tanib olish usuli zamonaviy antivirus 
yoki zararli dasturlarga qarshi himoya vositalarida keng qo’llaniladi. Natijada, virus 
yaratuvchilar signaturani aniqlash usulini aylanib o’tish imkoniyatiga ega ko’plab 
usullarni yaratishmoqda.
O’zgarishni aniqlashga asoslan aniqlash. 
Zararli dasturlar ma’lum manzilda 
joylashishi sababli, agar tizimdagi biror joyga o’zgarish aniqlansa, u holda 
zararlanishni ko’rsatish mumkin. Ya’ni, agar o’zgarishga uchragan faylni aniqlansa, 
u virus orqali zararlangan bo’lishi mumkin. Bu usulni o’zgarishni aniqlashga 
asoslangan usul sifatida ham nomlash mumkin. 
O’zgarishni qanday aniqlash mumkin? Ushbu muammoni yechishda xesh 
funksiyalar mos yechim bo’ladi. Faraz qilaylik, tizimdagi barcha fayllarni xeshlab, 
xesh qiymatlari xafsiz manzilga saqlangan bo’lsin. U holda vaqti-vaqti bilan ushbu 
faylning xesh qiymatlari qaytadan xeshlanadi va dastlabki holatdagilari bilan 
taqqoslanadi. Agar faylning bir yoki bir nechta bitlari o’zgarishga uchragan bo’lsa, 


220 
u holda xesh qiymatlar bir biriga mos kelmaydi va natijada uni virus tomonidan 
zararlangan deb qarash mumkin.
Ushbu usulning afzalliklaridan biri shuki, agar fayl zararlangan bo’lsa, uni 
aniqlash to’liq mumkin. Bundan tashqari, oldin noma’lum bo’lgan zararli dasturni 
aniqlash mumkin (o’zgarish bu – ma’lum yoki nomalum zararli dastur orqali bo’lgan 
o’zgarish). 
Biroq, ushbu usul ko’plab kamchiliklarga ega. Tizimdagi fayllar odatda tez-
tez o’zgarib turadi va buning natijasida yolg’ondan zararlangan deb topilgan holatlar 
soni ortadi. Agar virus tizimdagi tez-tez o’zgaruvchi fayl ichiga joylashtirilgan 
bo’lsa, ushbu usulni osonlik bilan aylanib o’tish mumkin. Bu holda ushbu fayldagi 
o’zgarishni log fayl orqali aniqlash ko’p vaqt talab qiladi va bu signaturaga 
asoslangan usul kabi muammolarga olib keladi. 
Anomaliyaga asoslangan aniqlash. 
Anomaliyaga asoslangan usul noodatiy 
yoki virusga o’xshash yoki potensial zararli harakatlari yoki xususiyatlarni topishni 
maqsad qiladi. Ushbu g’oya IDS tizimlarida ham foydalaniladi. 
Ushbu usulning fundamental muammosi bu - qaysi holatni normal va qaysi 
holatni normal bo’lmagan deb topish hamda ushbu ikki holat orasidagi farqni 
aniqlash hisoblanadi. Bundan tashqari, normal holatning o’zgarishi va tizim bu 
holatga moslashish muammosi ham mavjud. Bu esa ushbu usulda juda ham ko’plab 
noto’g’ri signallarni paydo bo’lishiga olib keladi. 
Ushbu usulning afzalligi esa oldin noma’lum bo’lgan zararli dasturlarni 
aniqlash imkonini beradi. Biroq, ushbu usulda yuqorida keltirilgan kabi ko’plab 
muammolar mavjud va shuning uchun ham ushbu usul hozirda tadqiqot olib 
borilayotgan dolzarb sohalardan biri hisoblanadi.

Download 4,35 Mb.
1   ...   97   98   99   100   101   102   103   104   ...   149




Download 4,35 Mb.
Pdf ko'rish