Открыть сервис

Доктрина сигнатур

Доктрина сигнатур — это концепция в области информационной безопасности, предполагающая обнаружение вредоносного программного обеспечения (ВПО) и аномальной активности на основе анализа уникальных признаков (сигнатур), характерных для известных угроз. Сигнатура представляет собой эталонный образец — фрагмент кода, хеш-сумму файла, последовательность сетевых пакетов или поведенческий паттерн, — который однозначно идентифицирует конкретную вредоносную программу или её вариант. Данный подход является одним из старейших и наиболее распространённых методов защиты, лежащих в основе работы антивирусных программ и систем обнаружения вторжений (IDS).

История развития

Зарождение концепции

Первые упоминания о сигнатурном анализе относятся к концу 1980-х годов, когда начали появляться компьютерные вирусы. В 1987 году американский программист Джон Макафи (John McAfee) основал компанию McAfee, предложившую антивирусное решение, основанное на сканировании файлов на предмет известных вирусных сигнатур. В том же году немецкий программист Бернд Фикс (Bernd Fix) создал программу для удаления вируса Vienna, что стало одним из первых примеров практического применения сигнатурного метода.

Расцвет в 1990-е годы

С распространением персональных компьютеров и интернета в 1990-х годах количество вирусов и троянов резко возросло. Антивирусные компании, такие как «Лаборатория Касперского» (основана в 1997 году в России), Norton (Symantec) и Dr.Web, активно развивали базы сигнатур. Обновление баз данных происходило вручную или через регулярные загрузки с серверов производителей. К концу десятилетия сигнатурный метод стал доминирующим в индустрии защиты информации.

Кризис и адаптация в 2000-е годы

В начале XXI века злоумышленники начали активно использовать полиморфные и метаморфные вирусы, способные изменять свой код при каждом заражении, что делало традиционные сигнатуры неэффективными. В ответ на это разработчики внедрили эвристический анализ и эмуляцию кода, позволяющие обнаруживать неизвестные варианты угроз. Однако ядро защиты по-прежнему составляли сигнатуры. В 2000-х годах появились облачные базы сигнатур, что ускорило обновление и снизило нагрузку на локальные ресурсы.

Современное состояние

В 2010-2020-х годах доктрина сигнатур столкнулась с вызовом со стороны сложных целевых атак (APT) и программ-вымогателей (ransomware), которые часто используют уникальные, ранее не встречавшиеся методы. В ответ на это сигнатурный анализ стал дополняться поведенческим анализом, машинным обучением и технологиями песочниц (sandbox). Тем не менее, сигнатуры остаются обязательным элементом многоуровневой защиты, особенно в корпоративных системах и государственных информационных системах (ГИС) в Российской Федерации.

Классификация сигнатур

По типу обнаруживаемого объекта

  • Файловые сигнатуры — основаны на хеш-суммах (MD5, SHA-1, SHA-256) исполняемых файлов, библиотек или документов. Наиболее простой и быстрый метод, но неэффективный против модифицированных копий.
  • Сетевые сигнатуры — описывают характерные последовательности пакетов, заголовков или payload (например, строка «GET /virus.exe»). Используются в системах предотвращения вторжений (IPS) и межсетевых экранах.
  • Поведенческие сигнатуры — фиксируют последовательность действий (например, попытка записи в системный реестр Windows или создание файла с определённым именем). Применяются в проактивной защите.
  • Кодовые сигнатуры — фрагменты машинного кода или байт-кода, характерные для конкретного вредоносного ПО. Используются в эвристических анализаторах.

По способу формирования

  • Статические сигнатуры — создаются вручную аналитиками или автоматически на основе анализа образца ВПО. Не изменяются до следующего обновления базы.
  • Динамические сигнатуры — генерируются в реальном времени на основе данных из облачных репозиториев (например, Kaspersky Security Network). Позволяют реагировать на новые угрозы в течение минут.

Устройство и принцип работы

Сигнатурный анализ включает несколько этапов:

  1. Сбор образцов — вредоносные программы изолируются в лабораторных условиях (песочницах) или собираются через honeypot-ловушки.
  2. Извлечение сигнатуры — аналитики выделяют уникальный фрагмент кода, хеш или поведенческий паттерн, который не встречается в легитимном ПО. Для полиморфных вирусов может использоваться нормализация кода.
  3. Добавление в базу — сигнатура заносится в базу данных, которая распространяется на устройства пользователей через обновления.
  4. Сканированиеантивирус или IDS сравнивает проверяемые объекты с сигнатурами. При совпадении (match) объект классифицируется как вредоносный.
  5. Реакция — в зависимости от настроек выполняется блокировка, карантин или удаление угрозы.

Основным недостатком метода является задержка между появлением новой угрозы и выпуском сигнатуры (zero-day vulnerability). В российских реалиях это особенно актуально для систем класса «Сертифицированные средства антивирусной защиты» (например, Dr.Web, Kaspersky Endpoint Security), которые проходят сертификацию ФСТЭК России и требуют регулярного обновления баз.

Применение в информационной безопасности

Антивирусное программное обеспечение

Большинство антивирусных решений, включая российские продукты (Kaspersky, Dr.Web, 360 Total Security, Avast), используют сигнатурный анализ как первый уровень защиты. В соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» и приказами ФСТЭК, в государственных учреждениях РФ обязательно применение антивирусов с актуальными сигнатурными базами.

Системы обнаружения и предотвращения вторжений (IDS/IPS)

Сетевые сигнатуры лежат в основе продуктов класса IDS/IPS, таких как Snort, Suricata, а также российских разработок (например, «СёрчИнформ» или «Рубикон»). Они позволяют выявлять атаки на веб-приложения (SQL-инъекции, XSS) и распространение вредоносного ПО по протоколам HTTP, FTP, SMB.

Защита конечных точек (EDR)

Современные системы EDR (Endpoint Detection and Response) сочетают сигнатурный анализ с поведенческим. Например, в российском решении «Kaspersky Endpoint Security» сигнатуры используются для быстрого детектирования известных угроз, а поведенческий анализатор — для выявления аномалий.

Критическая информационная инфраструктура (КИИ)

В Российской Федерации объекты КИИ (энергетика, транспорт, связь, банковский сектор) обязаны использовать сертифицированные средства защиты, включающие сигнатурные базы. Это регламентируется Федеральным законом № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и приказами ФСТЭК.

Критика и ограничения

Основные недостатки

  • Неспособность обнаруживать zero-day угрозы — сигнатура создаётся только после анализа образца, что даёт злоумышленникам временное окно для атаки.
  • Высокая нагрузка на ресурсы — сканирование больших объёмов данных (например, баз данных или архивов) может замедлять работу системы.
  • Ложные срабатывания — несовершенные сигнатуры могут блокировать легитимное ПО, особенно если оно использует общие библиотеки или техники упаковки.
  • Уязвимость к обфускации — полиморфные и метаморфные вирусы, а также шифрование кода делают статические сигнатуры бесполезными.

Альтернативы и дополнения

В ответ на ограничения доктрины сигнатур были разработаны:

  • Эвристический анализ — оценка подозрительности кода без точного совпадения с сигнатурой.
  • Машинное обучение — модели, обученные на больших выборках вредоносного и легитимного ПО.
  • Поведенческий анализ — мониторинг действий программы в реальном времени.
  • Белые списки — разрешение только проверенного ПО (например, в российских системах «Astra Linux» и «Ред ОС»).

Тем не менее, полный отказ от сигнатур в ближайшее время маловероятен из-за их простоты, скорости и низкой стоимости внедрения.

Интересные факты

  • Первая в истории сигнатура была создана в 1988 году для вируса «Brain» (пакистанского происхождения) и представляла собой последовательность байт в загрузочном секторе дискеты.
  • В 2017 году атака вируса-вымогателя WannaCry затронула более 200 000 компьютеров в 150 странах. Сигнатура для его обнаружения была выпущена только через несколько часов после начала эпидемии, что продемонстрировало ограниченность доктрины сигнатур.
  • В России разработка сигнатурных баз является лицензируемым видом деятельности в области технической защиты информации (лицензия ФСТЭК).
  • Крупнейшая база сигнатур принадлежит компании «Лаборатория Касперского» и насчитывает более 100 миллионов уникальных записей (по состоянию на 2024 год).

Источники

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  2. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  3. Приказы ФСТЭК России: № 21 (2013), № 31 (2014), № 239 (2021) — требования к средствам антивирусной защиты.
  4. Безруков А. В., Морозов А. В. «Сигнатурный анализ вредоносного программного обеспечения: теория и практика». — М.: Горячая линия – Телеком, 2020.
  5. McAfee J. «Computer Virus: A High-Tech Disease». — 1987.
  6. Kaspersky Lab. «Kaspersky Security Network: принципы работы». — 2023.
  7. Dr.Web. «Методы обнаружения вредоносных программ». — 2022.
  8. Snort Project. «Snort User Manual». — 2023.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →