Signaturbaseret detektion er en metode til drift af antivirus og indtrængningsdetektionssystemer , hvor et program, når man ser en fil eller pakke , refererer til en ordbog over kendte vira, som er kompileret af programmets forfattere. Hvis en sektion af koden for det program, der vises, matcher den kendte kode ( signatur ) for virussen i ordbogen, kan antivirusprogrammet udføre en af følgende handlinger:
For at opnå en tilstrækkelig langsigtet succes med denne metode er det nødvendigt med jævne mellemrum at opdatere ordbogen over kendte vira med nye definitioner (hovedsageligt online ). Borgerbevidste og teknisk kyndige brugere, der har opdaget en ny virus "live", kan sende den inficerede fil til antivirussoftwareudviklere, som vil studere virussen, udtrække dens signatur og derefter inkludere den modtagne signatur af den nye virus i ordbogen.
Antivirusprogrammer baseret på ordbogsdefinitionen af virus scanner normalt filer, når computersystemet opretter, åbner, lukker eller e-mailer filer . Således kan vira opdages umiddelbart efter, de kommer ind i computeren , og før de kan forårsage nogen skade. Det skal bemærkes, at systemadministratoren kan opsætte en tidsplan for antivirusprogrammet, hvorefter alle filer på harddisken kan ses (scannes).
Selvom antivirusprogrammer baseret på ordbogsdefinition af en virus under normale omstændigheder kan være ret effektive til at stoppe computerudbrud, forsøger virusforfattere at være et halvt skridt foran sådanne antivirusprogrammer ved at skabe "oligomorfe", " polymorfe " og de nyeste " metamorfe " » vira, hvor dele af koden er omskrevet, modificeret, krypteret eller forvrænget, så det er umuligt at finde et match med definitionen i virusordbogen.
En metode til hardwarescanning er at scanne datastrømmen undervejs med en speciel enhed kaldet en kontekst-coprocessor. [en]
Antivirussignaturer skabes som et resultat af omhyggelig analyse af flere kopier af en fil, der tilhører én virus. Signaturen bør kun indeholde unikke linjer fra denne fil, så specifik, at den garanterer mindst mulig mulighed for falske positiver - hovedprioriteten for ethvert antivirusfirma.
Signaturudvikling er en manuel proces, der er svær at automatisere. På trods af megen forskning i automatisk signaturgenerering [1] [2] gør den stigende polymorfi (og "metamorfi") af vira og angreb syntaktiske signaturer meningsløse. Antivirusvirksomheder er tvunget til at frigive et stort antal signaturer for alle varianter af den samme virus, og hvis det ikke var for Moores lov , ville ingen moderne computer være i stand til at afslutte scanningen af et stort antal filer med så mange signaturer i en rimelig tid. Så i marts 2006 kendte Norton Antivirus-scanneren til 72.131 vira, og programdatabasen indeholdt omkring 400.000 signaturer. [2]
I sin nuværende form skal signaturdatabaser opdateres regelmæssigt, da de fleste antivirus ikke er i stand til at opdage nye vira på egen hånd. Enhver ejer af signaturbaseret software er dømt til en regelmæssig afhængighed af signaturopdateringer, som er grundlaget for antivirus- og IDS-leverandørernes forretningsmodel .
Rettidig levering af nye signaturer til brugere er også en stor udfordring for softwareleverandører. Moderne vira og orme spredes med en sådan hastighed, at på det tidspunkt, hvor signaturen frigives og leveres til brugernes computere, kan epidemien allerede have nået sit højdepunkt og dækket hele verden . Ifølge offentliggjorte data tager signaturleveringen fra 11 til 97 timer, afhængigt af producenten, [3] , mens en virus teoretisk kan overtage hele internettet på mindre end 30 sekunder. [3]
I de fleste sikkerhedssoftware er signaturdatabasen kernen i produktet – den mest tidskrævende og værdifulde del. Dette er grunden til, at de fleste leverandører foretrækker at holde deres signaturer private - selvom der findes en række open source-software på dette område (f.eks . ClamAV ), samt forskning i omvendt konstruktion af proprietære signaturer. [4] Virus Bulletin udgav jævnligt nye virussignaturer frem til år 2000 .
Den heuristiske scanningsmetode er designet til at forbedre scannernes evne til at anvende signaturer og genkende modificerede vira i tilfælde, hvor signaturen ikke matcher kroppen af et ukendt program med 100 %. [4] Denne teknologi bruges dog meget omhyggeligt i moderne programmer, da den kan øge antallet af falske positiver.