Respublikasi axborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent axborot
Zararli dasturiy vositalarni aniqlash
|
|
Zararli dasturiy vositalarni aniqlash.
Zararli dasturiy vositalarni aniqlashda asosan uchta yondashuvdan foydalaniladi. Birinchisi va eng keng tarqalgani signaturaga asoslangan aniqlash bo’lib, zararli dasturda namoyon bo’lgan shablon yoki signaturani topishga asoslanadi. Ikkinchi yondashuv o’zgarishni aniqlashga asoslangan bo’lib, o’zgarishga uchragan fayllarni aniqlaydi. O’zgarishi kutilmagan fayl o’zgarganda zararlangan deb topiladi. Uchinchi yondashuv anomaliyaga asoslangan bo’lib, noodatiy yoki virusga o’xshash fayllarni va holatlarni aniqlashga asoslanadi. Signaturaga asoslangan aniqlash. Signatura bu – fayldan topilgan bitlar qatori bo’lib, maxsus belgilarni o’z ichiga oladi. Bu o’rinda ularning xesh qiymatlari ham signatura sifatida xizmat qilishi mumkin. Biroq, bu usul kam moslashuvchanlik darajasiga ega bo’lib, virus yozuvchilar tomonidan osonlik bilan chetlanib o’tilishi mumkin. Masalan, W32/Beast virusi (1999 yilda aniqlangan Microsoft Word hujjatini zararlashga qaratilgan virus) uchun 83EB 0274 EBOE 740A 81EB 0301 0000 signaturasi foydalanilgan. Bu holda tizimdagi barcha fayllar ichida ushbu signatura qidiriladi. Biroq, biror fayl ichidan ushbu signatura aniqlangan vaqtda ham to’liq virusni topdik deb aytish mumkin emas. Sababi, biror virus bo’lmagan fayl tarkibida 219 ham ushbu signatura bo’lishi mumkin. Agar qidiriladigan fayllarda bitlar tasodifiy bo’lsa, ushbu holatning bo’lish ehtimoli 1/2 112 ga teng bo’ladi. Biroq, kompyuter dasturlari va ma’lumotlar ichidagi bitlar tasodifiylikdan yiroq va bu ehtimolni yanada ortishini anglatadi. Boshqa so’z bilan aytganda, biror fayldan signatura aniqlangan taqdirda ham, uni qo’shimcha tekshirish amalga oshirilishi zarurligini anglatadi. Signaturaga asoslangan aniqlash usuli virus aniq bo’lganda va umumiy bo’lgan signaturalar ajratilgan holatda juda yuqori samaradorlikka ega. Bundan tashqari, ushbu usul foydalanuvchi va administratorga minimal yuklamani yuklaydi va ulardan faqat signaturalarni saqlab borish va ularni uzluksiz yangilash vazifasini qo’yadi. Biroq, signaturalar saqlangan faylning hajmi katta bo’lib, 10 yoki 100 minglab signaturaga ega fayl yordamida skanerlash juda ko’p vaqt oladi. Bundan tashqari, biror aniqlangan virusni kichik o’zgartirish orqali ushbu usulni osonlik bilan aldab o’tish mumkin. Hozirgi kunda signutaraga asoslangan tanib olish usuli zamonaviy antivirus yoki zararli dasturlarga qarshi himoya vositalarida keng qo’llaniladi. Natijada, virus yaratuvchilar signaturani aniqlash usulini aylanib o’tish imkoniyatiga ega ko’plab usullarni yaratishmoqda. O’zgarishni aniqlashga asoslan aniqlash. Zararli dasturlar ma’lum manzilda joylashishi sababli, agar tizimdagi biror joyga o’zgarish aniqlansa, u holda zararlanishni ko’rsatish mumkin. Ya’ni, agar o’zgarishga uchragan faylni aniqlansa, u virus orqali zararlangan bo’lishi mumkin. Bu usulni o’zgarishni aniqlashga asoslangan usul sifatida ham nomlash mumkin. O’zgarishni qanday aniqlash mumkin? Ushbu muammoni yechishda xesh funksiyalar mos yechim bo’ladi. Faraz qilaylik, tizimdagi barcha fayllarni xeshlab, xesh qiymatlari xafsiz manzilga saqlangan bo’lsin. U holda vaqti-vaqti bilan ushbu faylning xesh qiymatlari qaytadan xeshlanadi va dastlabki holatdagilari bilan taqqoslanadi. Agar faylning bir yoki bir nechta bitlari o’zgarishga uchragan bo’lsa, 220 u holda xesh qiymatlar bir biriga mos kelmaydi va natijada uni virus tomonidan zararlangan deb qarash mumkin. Ushbu usulning afzalliklaridan biri shuki, agar fayl zararlangan bo’lsa, uni aniqlash to’liq mumkin. Bundan tashqari, oldin noma’lum bo’lgan zararli dasturni aniqlash mumkin (o’zgarish bu – ma’lum yoki nomalum zararli dastur orqali bo’lgan o’zgarish). Biroq, ushbu usul ko’plab kamchiliklarga ega. Tizimdagi fayllar odatda tez- tez o’zgarib turadi va buning natijasida yolg’ondan zararlangan deb topilgan holatlar soni ortadi. Agar virus tizimdagi tez-tez o’zgaruvchi fayl ichiga joylashtirilgan bo’lsa, ushbu usulni osonlik bilan aylanib o’tish mumkin. Bu holda ushbu fayldagi o’zgarishni log fayl orqali aniqlash ko’p vaqt talab qiladi va bu signaturaga asoslangan usul kabi muammolarga olib keladi. Anomaliyaga asoslangan aniqlash. Anomaliyaga asoslangan usul noodatiy yoki virusga o’xshash yoki potensial zararli harakatlari yoki xususiyatlarni topishni maqsad qiladi. Ushbu g’oya IDS tizimlarida ham foydalaniladi. Ushbu usulning fundamental muammosi bu - qaysi holatni normal va qaysi holatni normal bo’lmagan deb topish hamda ushbu ikki holat orasidagi farqni aniqlash hisoblanadi. Bundan tashqari, normal holatning o’zgarishi va tizim bu holatga moslashish muammosi ham mavjud. Bu esa ushbu usulda juda ham ko’plab noto’g’ri signallarni paydo bo’lishiga olib keladi. Ushbu usulning afzalligi esa oldin noma’lum bo’lgan zararli dasturlarni aniqlash imkonini beradi. Biroq, ushbu usulda yuqorida keltirilgan kabi ko’plab muammolar mavjud va shuning uchun ham ushbu usul hozirda tadqiqot olib borilayotgan dolzarb sohalardan biri hisoblanadi. Yüklə Dostları ilə paylaş:
|