El análisis antivirus de firmas es uno de los métodos de protección antivirus, que consiste en identificar las propiedades identificativas características de cada virus y buscar virus comparando archivos con las propiedades identificadas. Una de las propiedades importantes del análisis de firmas es la determinación exacta del tipo de virus. Esto le permite ingresar firmas y métodos de tratamiento del virus en la base de datos.
Una firma de virus es un conjunto de ciertas propiedades que permiten identificar de manera única la presencia de un virus en un archivo, incluso en el caso de que el archivo en sí sea un virus. Una firma de ataque puede ser: una cadena de caracteres, una expresión semántica en un lenguaje especial, un modelo matemático formal, etc.
La extracción de firmas la llevan a cabo expertos en el campo de la virología informática, que pueden extraer el código del virus del código del programa y formular sus propiedades características en la forma más buscable. Casi todas las empresas que desarrollan programas antivirus tienen su propio equipo de especialistas que analizan los nuevos virus y rellenan la base de datos antivirus con nuevas firmas.
El algoritmo de funcionamiento del método de firma se basa en la búsqueda de firmas de ataque en los datos de origen recopilados por la red y los sensores host del SOA (Sistema de detección de intrusos). Cuando se detecta la firma requerida, la SOA corrige el hecho de un ataque de información que corresponde a la firma encontrada.
El número de firmas no es igual al número de virus detectados, porque a menudo se utiliza la misma firma para detectar una familia de virus similares.
Uno de los métodos de firma más comunes para detectar ataques es el método de búsqueda contextual de un determinado conjunto de caracteres en los datos de origen. Este método le permite detectar ataques de manera efectiva en función del análisis del tráfico de la red, ya que este método le permite establecer con mayor precisión los parámetros de la firma que debe detectarse en el flujo de datos de origen.
Otro método es el método de análisis de estado, que genera firmas de ataque en forma de una secuencia de transiciones IS de un estado a otro. Además, cada transición de este tipo está asociada con la ocurrencia de ciertos eventos en el IS, que se determinan en los parámetros de la firma del ataque.
Los métodos basados en sistemas expertos permiten describir modelos de ataque en lenguaje natural con un alto nivel de abstracción. El sistema experto que subyace a los métodos de este tipo consta de una base de hechos y una base de reglas. Los hechos son los datos iniciales sobre el trabajo del SI, y las reglas son métodos de inferencia lógica sobre un ataque basados en la base de hechos existente. Todas las reglas del sistema experto están escritas en el formato "si <...>, entonces <...>". La base de reglas resultante debe describir las firmas de ataque que la SOA debe detectar.
Las ventajas del método de firma son:
Desventaja del método de firma:
Para obtener una firma, debe tener una muestra del virus. Es imposible crear una firma hasta que un nuevo virus haya sido analizado por expertos. Desde el momento en que aparece un virus en Internet hasta el momento en que se liberan las firmas pasan, en promedio, varias horas. Las herramientas de protección adicionales utilizadas en los programas antivirus, así como los métodos heurísticos , ayudan a proteger contra nuevos virus .