Podpisová antivirová analýza je jednou z metod antivirové ochrany, která spočívá v identifikaci charakteristických identifikačních vlastností každého viru a vyhledávání virů porovnáním souborů s identifikovanými vlastnostmi. Jednou z důležitých vlastností analýzy signatur je přesné určení typu viru. To vám umožňuje zadávat do databáze signatury i metody léčby viru.
Signatura viru je soubor určitých vlastností, které umožňují jednoznačně identifikovat přítomnost viru v souboru, včetně případu, kdy je samotný soubor virem. Signatura útoku může být: řetězec znaků, sémantický výraz ve speciálním jazyce, formální matematický model atd.
Extrakce podpisu je prováděna odborníky v oboru počítačové virologie, kteří dokážou z kódu programu extrahovat kód viru a formulovat jeho charakteristické vlastnosti v co nejvyhledatelnější podobě. Téměř každá společnost, která vyvíjí antivirové programy , má svůj tým specialistů, kteří analyzují nové viry a doplňují antivirovou databázi novými signaturami.
Operační algoritmus metody signatur je založen na vyhledávání signatur útoku ve zdrojových datech shromážděných síťovými a hostitelskými senzory SOA (Intrusion Detection System). Když je detekován požadovaný podpis, SOA opraví fakt informačního útoku, který odpovídá nalezenému podpisu.
Počet signatur se nerovná počtu detekovaných virů, protože často se stejná signatura používá k detekci rodiny podobných virů.
Jednou z nejběžnějších signaturních metod pro detekci útoků je metoda kontextového vyhledávání určité množiny znaků ve zdrojových datech. Tato metoda umožňuje efektivně detekovat útoky na základě analýzy síťového provozu, protože tato metoda umožňuje nejpřesněji nastavit parametry signatury, kterou je třeba detekovat ve zdrojovém datovém toku.
Další metodou je metoda analýzy stavu, která generuje signatury útoku ve formě sekvence přechodů IS z jednoho stavu do druhého. Každý takový přechod je navíc spojen s výskytem určitých událostí v IS, které jsou určeny v parametrech signatury útoku.
Metody založené na expertních systémech umožňují popisovat modely útoků v přirozeném jazyce s vysokou mírou abstrakce. Expertní systém, který je základem metod tohoto typu, se skládá z faktické báze a báze pravidel. Fakta jsou výchozími údaji o práci IS a pravidla jsou metodami logického usuzování o útoku na základě existující základny faktů. Všechna pravidla expertního systému jsou psána ve formátu "pokud <...>, pak <...>". Výsledná základna pravidel by měla popisovat signatury útoku, které by SOA měla detekovat.
Výhody podpisové metody jsou:
Nevýhoda metody podpisu:
Abyste získali podpis, musíte mít vzorek viru. Je nemožné vytvořit signaturu, dokud nebude nový virus analyzován odborníky. Od okamžiku, kdy se na internetu objeví virus, do okamžiku uvolnění signatur uplyne v průměru několik hodin. Další ochranné nástroje používané v antivirových programech a také heuristické metody pomáhají chránit před novými viry .