Az aláírás víruskereső elemzése a vírusvédelem egyik módszere, amely az egyes vírusok jellemző azonosító tulajdonságainak azonosításából és víruskeresésből áll az azonosított tulajdonságokkal rendelkező fájlok összehasonlításával . Az aláírás-elemzés egyik fontos tulajdonsága a vírus típusának pontos meghatározása. Ez lehetővé teszi a szignatúrák és a víruskezelési módszerek megadását az adatbázisban.
A vírusszignatúra bizonyos tulajdonságok összessége, amelyek lehetővé teszik a vírus jelenlétének egyedi azonosítását egy fájlban, beleértve azt az esetet is, amikor maga a fájl vírus. A támadás aláírása lehet: karaktersorozat, szemantikai kifejezés egy speciális nyelven, formális matematikai modell stb.
Az aláírás-kinyerést a számítógépes virológia területén jártas szakemberek végzik, akik képesek a programkódból kinyerni a víruskódot és a legkereshetőbb formában megfogalmazni annak jellemző tulajdonságait. Szinte minden vírusirtó programokat fejlesztő cégnek van saját szakembergárdája, akik elemzik az új vírusokat, és új aláírásokkal töltik fel az antivírus adatbázist.
Az aláírási módszer működési algoritmusa a SOA (Intrusion Detection System) hálózati és gazdagép érzékelői által gyűjtött forrásadatokban támadási szignatúrák keresésén alapul. A szükséges aláírás észlelésekor a SOA rögzíti a talált aláírásnak megfelelő információs támadás tényét.
A szignatúrák száma nem egyenlő az észlelt vírusok számával, mert gyakran ugyanazt az aláírást használják hasonló víruscsalád kimutatására.
A támadások észlelésének egyik legáltalánosabb aláírási módszere a kontextus szerinti keresés a forrásadatokban egy bizonyos karakterkészletre. Ez a módszer lehetővé teszi a támadások hatékony észlelését a hálózati forgalom elemzése alapján, mivel ezzel a módszerrel lehet a legpontosabban beállítani a forrás adatfolyamban észlelni kívánt aláírás paramétereit.
Egy másik módszer az állapotelemző módszer, amely támadási aláírásokat generál az IS egyik állapotból a másikba való átmenet sorozata formájában. Ezenkívül minden ilyen átmenet bizonyos események bekövetkezéséhez kapcsolódik az IS-ben, amelyeket a támadás aláírásának paraméterei határoznak meg.
A szakértői rendszerekre épülő módszerek lehetővé teszik a támadási modellek természetes nyelven, magas absztrakciós fokú leírását. Az ilyen típusú módszerek alapjául szolgáló szakértői rendszer egy ténybázisból és egy szabálybázisból áll. A tények az IS munkájának kiinduló adatai, a szabályok pedig a támadásra vonatkozó logikai következtetés módszerei a meglévő tények alapján. Minden szakértői rendszerszabály "ha <...>, akkor <...>" formátumban van megírva. Az eredményül kapott szabálybázisnak le kell írnia azokat a támadási szignatúrákat, amelyeket a SOA-nak észlelnie kell.
Az aláírási módszer előnyei a következők:
Az aláírási módszer hátránya:
Az aláírás megszerzéséhez rendelkeznie kell egy vírusmintával. Lehetetlen aláírást létrehozni, amíg egy új vírust nem elemeznek a szakértők. A vírus interneten való megjelenésétől az aláírások megjelenéséig átlagosan több óra telik el. A víruskereső programokban használt további védelmi eszközök, valamint a heurisztikus módszerek segítenek az új vírusok elleni védelemben .