Zararli dasturiy vositalarni aniqlash. Zararli dasturiy vositalarni aniqlashda asosan uchta yondashuvdan foydalaniladi. Birinchisi va eng keng tarqalgani signaturagaasoslangananiqlashbo’lib, zararli dasturda namoyon bo’lgan shablon yoki signaturani topishga asoslanadi. Ikkinchi yondashuv o’zgarishni aniqlashga asoslangan bo’lib, o’zgarishga uchragan fayllarni aniqlaydi. O’zgarishi kutilmagan fayl o’zgarganda zararlangan deb topiladi. Uchinchi yondashuv anomaliyaga asoslanganbo’lib, noodatiy yoki virusga o’xshash fayllarni va holatlarni aniqlashga asoslanadi.
Signaturaga asoslangan aniqlash. Signatura bu – fayldan topilgan bitlar qatori bo’lib, maxsus belgilarni o’z ichiga oladi. Bu o’rinda ularning xesh qiymatlari ham signatura sifatida xizmat qilishi mumkin. Biroq, bu usul kam moslashuvchanlik darajasiga ega bo’lib, virus yozuvchilar tomonidan osonlik bilan chetlanib o’tilishi mumkin.
Masalan, W32/Beast virusi (1999 yilda aniqlangan Microsoft Word hujjatini zararlashga qaratilgan virus) uchun 83EB 0274 EBOE 740A 81EB 0301 0000 signaturasi foydalanilgan. Bu holda tizimdagi barcha fayllar ichida ushbu signatura qidiriladi. Biroq, biror fayl ichidan ushbu signatura aniqlangan vaqtda ham to’liq virusni topdik deb aytish mumkin emas. Sababi, biror virus bo’lmagan fayl tarkibida
ham ushbu signatura bo’lishi mumkin. Agar qidiriladigan fayllarda bitlar tasodifiy bo’lsa, ushbu holatning bo’lish ehtimoli 1/2112 ga teng bo’ladi. Biroq, kompyuter dasturlari va ma’lumotlar ichidagi bitlar tasodifiylikdan yiroq va bu ehtimolni yanada ortishini anglatadi. Boshqa so’z bilan aytganda, biror fayldan signatura aniqlangan taqdirda ham, uni qo’shimcha tekshirish amalga oshirilishi zarurligini anglatadi.
Signaturaga asoslangan aniqlash usuli virus aniq bo’lganda va umumiy bo’lgan signaturalar ajratilgan holatda juda yuqori samaradorlikka ega. Bundan tashqari, ushbu usul foydalanuvchi va administratorga minimal yuklamani yuklaydi va ulardan faqat signaturalarni saqlab borish va ularni uzluksiz yangilash vazifasini qo’yadi.
Biroq, signaturalar saqlangan faylning hajmi katta bo’lib, 10 yoki 100 minglab signaturaga ega fayl yordamida skanerlash juda ko’p vaqt oladi. Bundan tashqari, biror aniqlangan virusni kichik o’zgartirish orqali ushbu usulni osonlik bilan aldab o’tish mumkin.
Hozirgi kunda signutaraga asoslangan tanib olish usuli zamonaviy antivirus yoki zararli dasturlarga qarshi himoya vositalarida keng qo’llaniladi. Natijada, virus yaratuvchilar signaturani aniqlash usulini aylanib o’tish imkoniyatiga ega ko’plab usullarni yaratishmoqda.
O’zgarishni aniqlashga asoslan aniqlash.Zararli dasturlar ma’lum manzilda joylashishi sababli, agar tizimdagi biror joyga o’zgarish aniqlansa, u holda zararlanishni ko’rsatish mumkin. Ya’ni, agar o’zgarishga uchragan faylni aniqlansa, u virus orqali zararlangan bo’lishi mumkin. Bu usulni o’zgarishni aniqlashga asoslangan usul sifatida ham nomlash mumkin.
O’zgarishni qanday aniqlash mumkin? Ushbu muammoni yechishda xesh funksiyalar mos yechim bo’ladi. Faraz qilaylik, tizimdagi barcha fayllarni xeshlab, xesh qiymatlari xafsiz manzilga saqlangan bo’lsin. U holda vaqti-vaqti bilan ushbu faylning xesh qiymatlari qaytadan xeshlanadi va dastlabki holatdagilari bilan taqqoslanadi. Agar faylning bir yoki bir nechta bitlari o’zgarishga uchragan bo’lsa,
u holda xesh qiymatlar bir biriga mos kelmaydi va natijada uni virus tomonidan zararlangan deb qarash mumkin.
Ushbu usulning afzalliklaridan biri shuki, agar fayl zararlangan bo’lsa, uni aniqlash to’liq mumkin. Bundan tashqari, oldin noma’lum bo’lgan zararli dasturni aniqlash mumkin (o’zgarish bu – ma’lum yoki nomalum zararli dastur orqali bo’lgan o’zgarish).
Biroq, ushbu usul ko’plab kamchiliklarga ega. Tizimdagi fayllar odatda tez- tez o’zgarib turadi va buning natijasida yolg’ondan zararlangan deb topilgan holatlar soni ortadi. Agar virus tizimdagi tez-tez o’zgaruvchi fayl ichiga joylashtirilgan bo’lsa, ushbu usulni osonlik bilan aylanib o’tish mumkin. Bu holda ushbu fayldagi o’zgarishni log fayl orqali aniqlash ko’p vaqt talab qiladi va bu signaturaga asoslangan usul kabi muammolarga olib keladi.
Anomaliyaga asoslangan aniqlash. Anomaliyaga asoslangan usul noodatiy yoki virusga o’xshash yoki potensial zararli harakatlari yoki xususiyatlarni topishni maqsad qiladi. Ushbu g’oya IDS tizimlarida ham foydalaniladi.
Ushbu usulning fundamental muammosi bu - qaysi holatni normal va qaysi holatni normal bo’lmagan deb topish hamda ushbu ikki holat orasidagi farqni aniqlash hisoblanadi. Bundan tashqari, normal holatning o’zgarishi va tizim bu holatga moslashish muammosi ham mavjud. Bu esa ushbu usulda juda ham ko’plab noto’g’ri signallarni paydo bo’lishiga olib keladi.
Ushbu usulning afzalligi esa oldin noma’lum bo’lgan zararli dasturlarni aniqlash imkonini beradi. Biroq, ushbu usulda yuqorida keltirilgan kabi ko’plab muammolar mavjud va shuning uchun ham ushbu usul hozirda tadqiqot olib borilayotgan dolzarb sohalardan biri hisoblanadi.
murakkablik va hujumni aniqlay olmaslik imkoni bilan ta’minlaydi.
WWW Security FAQ da: “DDOS hujumi bir yoki ko’plab nishonlar uchun kelishilgan DOS hujumni ko’plab kompyuterlar orqali amalga oshiradi. Mijoz- server texnologiyasidan foydalangan holda, jinoyatchi hujum platformasi sifatida xizmat qiluvchi ko’plab kompyuterlar orqali DOS hujumini samaradorligini oshiradi” kabi aniqlik kiritilgan.
Agar o’z vaqtida DDOS hujumiga sabab bo’luvchi holatlar tekshirilmasa, qisqa vaqtda Internet xizmatlaridan foydalanish darajasi yo’q qilinishi mumkin.
Zararli hujumlar. Zararli dasturiy vositalar foydalanuvchini ruxsatisiz hujumchi kabi g’arazli amallarni bajarishni maqsad qilgan vosita hisoblanib, ular yuklanuvchi kod (.exe), aktiv kontent, skript yoki boshqa ko’rinishda bo’lishi mumkin. Hujumchi zararli dasturiy vositalardan foydalangan holda tizim xafsizligini obro’sizlantirishi, kompyuter amallarini buzishi, maxfiy axborotni to’plashi, veb saytdagi kontentlarni modifikasiyalashi, o’chirishi yoki qo’shishi, foydalanuvchi kompyuteri boshqaruvini qo’lga kiritishi mumkin. Bundan tashqari, zararli dasturlar, hukumat tashkilotlaridan va korporativ tashkilotlardan katta hajmdagi maxfiy axborotni olish uchun ham foydalanilishi mumkin. Zararli dasturlarning hozirda quyidagi ko’rinishlari keng tarqalgan:
viruslar: o’zini o’zi ko’paytiradigan programma bo’lib, o’zini boshqa programma ichiga, kompyuterning yuklanuvchi sektoriga yoki hujjat ichiga biriktiradi;
troyan otlari: bir qarashda yaxshi va foydali kabi ko’rinuvchi dasturiy vosita sifatida o’zini ko’rsatsada, yashiringan zararli koddan iborat bo’ladi;
Adware: marketing maqsadida yoki reklamani namoyish qilish uchun foydalanuvchini ko’rish rejimini kuzatib boruvchi dasturiy ta’minot;
Spyware: foydalanuvchi ma’lumotlarini qo’lga kirituvchi va uni hujumchiga yuboruvchi dasturiy kod;
Rootkits: ushbu zararli dasturiy vosita operasion tizim tomonidan aniqlanmasligi uchun o’z harakatlarini yashiradi;
Backdoors:zararli dasturiy kodlar bo’lib, hujumchiga autentifikasiyani amalga oshirmasdan aylanib o’tib tizimga kirish imkonini beradi, masalan, administrator parolisiz imtiyozga ega bo’lish;
mantiqiy bombalar: zararli dasturiy vosita bo’lib, biror mantiqiy shart qanoatlantirilgan vaqtda o’z harakatini amalga oshiradi.
Botnet: Internet tarmog’idagi obro’sizlantirilgan kompyuterlar bo’lib, taqsimlangan hujumlarni amalga oshirish uchun hujumchi tomonidan foydalaniladi;
Ransomware: mazkur zararli dasturiy ta’minot qurbon kompyuterida mavjud qimmatli fayllarni shifrlaydi yoki qulflab qo’yib, to’lov amalga oshirilishini talab qiladi.