219
ham ushbu signatura bo’lishi mumkin. Agar qidiriladigan fayllarda bitlar tasodifiy
bo’lsa, ushbu holatning bo’lish ehtimoli 1/2
112
ga teng bo’ladi. Biroq,
kompyuter
dasturlari va ma’lumotlar ichidagi bitlar tasodifiylikdan yiroq va bu ehtimolni
yanada ortishini anglatadi. Boshqa so’z bilan aytganda,
biror fayldan signatura
aniqlangan taqdirda ham, uni qo’shimcha tekshirish amalga oshirilishi zarurligini
anglatadi.
Signaturaga asoslangan aniqlash usuli virus aniq bo’lganda
va umumiy
bo’lgan signaturalar ajratilgan holatda juda yuqori samaradorlikka ega. Bundan
tashqari, ushbu usul foydalanuvchi va administratorga minimal yuklamani yuklaydi
va ulardan faqat signaturalarni saqlab borish va ularni uzluksiz yangilash vazifasini
qo’yadi.
Biroq, signaturalar saqlangan faylning hajmi katta bo’lib, 10 yoki 100 minglab
signaturaga ega fayl yordamida skanerlash juda ko’p vaqt oladi. Bundan tashqari,
biror aniqlangan virusni kichik o’zgartirish orqali ushbu usulni osonlik bilan aldab
o’tish mumkin.
Hozirgi kunda signutaraga asoslangan tanib olish usuli zamonaviy antivirus
yoki zararli dasturlarga qarshi himoya vositalarida keng qo’llaniladi. Natijada, virus
yaratuvchilar signaturani aniqlash usulini aylanib o’tish imkoniyatiga ega ko’plab
usullarni yaratishmoqda.
O’zgarishni aniqlashga asoslan aniqlash.
Zararli dasturlar ma’lum manzilda
joylashishi sababli, agar tizimdagi biror joyga o’zgarish aniqlansa,
u holda
zararlanishni ko’rsatish mumkin. Ya’ni, agar o’zgarishga uchragan faylni aniqlansa,
u virus orqali zararlangan bo’lishi mumkin. Bu usulni o’zgarishni aniqlashga
asoslangan usul sifatida ham nomlash mumkin.
O’zgarishni qanday aniqlash mumkin? Ushbu muammoni yechishda xesh
funksiyalar mos yechim bo’ladi. Faraz qilaylik, tizimdagi barcha fayllarni xeshlab,
xesh qiymatlari xafsiz manzilga saqlangan bo’lsin. U holda vaqti-vaqti bilan ushbu
faylning xesh qiymatlari qaytadan xeshlanadi va dastlabki
holatdagilari bilan
taqqoslanadi. Agar faylning bir yoki bir nechta bitlari o’zgarishga uchragan bo’lsa,
220
u holda xesh qiymatlar bir biriga mos kelmaydi va natijada uni virus tomonidan
zararlangan deb qarash mumkin.
Ushbu usulning afzalliklaridan biri shuki, agar fayl zararlangan bo’lsa, uni
aniqlash to’liq mumkin. Bundan tashqari, oldin noma’lum bo’lgan zararli dasturni
aniqlash mumkin (o’zgarish bu – ma’lum yoki nomalum zararli dastur orqali bo’lgan
o’zgarish).
Biroq, ushbu usul ko’plab kamchiliklarga ega. Tizimdagi fayllar odatda tez-
tez o’zgarib turadi va buning natijasida yolg’ondan zararlangan deb topilgan holatlar
soni ortadi. Agar virus tizimdagi tez-tez o’zgaruvchi
fayl ichiga joylashtirilgan
bo’lsa, ushbu usulni osonlik bilan aylanib o’tish mumkin. Bu holda ushbu fayldagi
o’zgarishni log fayl orqali aniqlash ko’p vaqt talab qiladi va bu signaturaga
asoslangan usul kabi muammolarga olib keladi.
Anomaliyaga asoslangan aniqlash.
Anomaliyaga asoslangan usul noodatiy
yoki virusga o’xshash yoki potensial zararli harakatlari yoki xususiyatlarni topishni
maqsad qiladi. Ushbu g’oya IDS tizimlarida ham foydalaniladi.
Ushbu usulning fundamental muammosi bu - qaysi holatni normal va qaysi
holatni normal bo’lmagan deb topish hamda ushbu
ikki holat orasidagi farqni
aniqlash hisoblanadi. Bundan tashqari, normal holatning o’zgarishi va tizim bu
holatga moslashish muammosi ham mavjud. Bu esa ushbu usulda juda ham ko’plab
noto’g’ri signallarni paydo bo’lishiga olib keladi.
Ushbu usulning afzalligi esa oldin noma’lum bo’lgan
zararli dasturlarni
aniqlash imkonini beradi. Biroq, ushbu usulda yuqorida keltirilgan kabi ko’plab
muammolar mavjud va shuning uchun ham ushbu usul hozirda tadqiqot olib
borilayotgan dolzarb sohalardan biri hisoblanadi.