Сигнатурный антивирусный анализ – это один из методов антивирусной защиты, заключающийся в выявлении характерных идентифицирующих свойств каждого вируса и поиске вирусов при сравнении файлов с выявленными свойствами. Одним из важных свойств сигнатурного анализа является точное определение типа вируса. Это позволяет занести в базу как сигнатуры, так и способы лечения вируса.
Сигнатурой вируса называют совокупность тех или иных свойств, позволяющих однозначно идентифицировать нахождение вируса в файле, включая тот случай, когда сам файл является вирусом. В качестве сигнатуры атаки могут выступать: строка символов, семантическое выражение на специальном языке, формальная математическая модель и др.
Выделением сигнатур занимаются эксперты в области компьютерной вирусологии, которые способны выделить код вируса из кода программы и сформулировать его характерные свойства в наиболее удобной для поиска форме. Практически в каждой компании, которая занимается разработкой антивирусных программ, есть своя группа специалистов, анализирующая новые вирусы и пополняющая антивирусную базу новыми сигнатурами.
Алгоритм работы сигнатурного метода основан на поиске сигнатур атак в исходных данных, собранных сетевыми и хостовыми датчиками СОА (системы обнаружения атак). При обнаружении искомой сигнатуры, СОА фиксирует факт информационной атаки, которая соответствует найденной сигнатуре.
Количество сигнатур не равно количеству обнаруживаемых вирусов, так как часто для обнаружения семейства похожих вирусов используется одна и та же сигнатура.
Одним из наиболее распространённых сигнатурных методов выявления атак является метод контекстного поиска определённого множества символов в исходных данных. Данный метод позволяет эффективно выявлять атаки на основе анализа сетевого трафика, поскольку данный метод позволяет наиболее точно задать параметры сигнатуры, которую необходимо выявить в потоке исходных данных.