Allekirjoitus-, heuristiikka- ja käyttäytymispohjainen tunnistaminen virustorjuntaohjelmassa ja tunnistamisen ongelmat
Ukkonen, Otto (2024)
2024
Tieto- ja sähkötekniikan kandidaattiohjelma - Bachelor's Programme in Computing and Electrical Engineering
Informaatioteknologian ja viestinnän tiedekunta - Faculty of Information Technology and Communication Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2024-10-23
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202409038507
https://urn.fi/URN:NBN:fi:tuni-202409038507
Tiivistelmä
Virustorjuntaohjelmia (engl. antivirus software) käytetään haittaohjelmien (engl. malware), kuten virusten estämiseen, havaitsemiseen ja poistamiseen. Tämän tutkimuksen tavoitteena oli selvittää, miten virustorjuntaohjelmat tunnistavat haittaohjelmia ja minkälaisia ongelmia tunnistaminen sisältää. Tutkimus on tehty kirjallisuuskatsauksena ja aineisto koostuu vuosien 2012 ja 2024 välillä julkaistuista vertaisarvioiduista tutkimuksista, käytännön verkkosivuista ja nettijulkaisuista.
. Tässä tutkielmassa tutkitaan virustorjuntaohjelmien erilaisia tunnistusmenetelmiä kuten allekirjoituspohjainen tunnistaminen (engl. signature-based detection), heuristiikkapohjainen tunnistaminen (engl. heuristic-based detection) ja käyttäytymispohjainen tunnistaminen (engl. behavior-based detection). Tutkielmassa käydään myös lävitse tunnistamisen ongelmia kuten väärä positiivinen (engl. false positive) ja tunnistusmenetelmien rajoitteita.
Tutkielmassa tulee esille virustorjuntaohjelmien jatkuvan kehityksen tarve, joka johtuu internetin käytön yleistymisestä sekä haittaohjelmien lisääntyvästä määrästä ja monipuolisuudesta. Tutkielmassa havaittiin virustorjuntaohjelmien eri tunnistusmenetelmien toimivan vaihtelevasti erilaisiin haittaohjelmiin. Haittaohjelmien monipuolisuuden ja määrän takia tarvitaan erilaisiin haittaohjelmiin toimivia tunnistusmenetelmiä. Täydellinen virustorjuntaohjelma pystyisi tunnistamaan ja poistamaan turvallisesti kaikki haittaohjelmat.
Tutkimuksen tuloksena havainnollistuu erilaisten tunnistusmenetelmien toimintaa ja tunnistusmenetelmien ongelmia. Yksi tärkeimmistä ongelmista on väärät positiiviset eli turvallisen tiedoston merkkaaminen haittaohjelmaksi. Tutkimuksen tuloksen avulla pystytään näkemään virustorjuntaohjelmien tunnistusominaisuuden monipuolisuuden ja eri menetelmien kerrostamisen tärkeyttä. Tunnistusmenetelmien kerrostaminen mahdollistaa paremman tunnistustarkkuuden. Tarkkuuden parantuminen näkyy väärien positiivisien vähentymisenä ja onnistuneen haittaohjelmien tunnistuksen todennäköisyyden kasvuna. Tutkimuksen perusteella voidaan olettaa, että virustorjuntaohjelmien haittaohjelmien tunnistamista täytyy kehittää jatkuvasti, johtuen uusien tai muokattujen haittaohjelmien ilmestymisestä.
. Tässä tutkielmassa tutkitaan virustorjuntaohjelmien erilaisia tunnistusmenetelmiä kuten allekirjoituspohjainen tunnistaminen (engl. signature-based detection), heuristiikkapohjainen tunnistaminen (engl. heuristic-based detection) ja käyttäytymispohjainen tunnistaminen (engl. behavior-based detection). Tutkielmassa käydään myös lävitse tunnistamisen ongelmia kuten väärä positiivinen (engl. false positive) ja tunnistusmenetelmien rajoitteita.
Tutkielmassa tulee esille virustorjuntaohjelmien jatkuvan kehityksen tarve, joka johtuu internetin käytön yleistymisestä sekä haittaohjelmien lisääntyvästä määrästä ja monipuolisuudesta. Tutkielmassa havaittiin virustorjuntaohjelmien eri tunnistusmenetelmien toimivan vaihtelevasti erilaisiin haittaohjelmiin. Haittaohjelmien monipuolisuuden ja määrän takia tarvitaan erilaisiin haittaohjelmiin toimivia tunnistusmenetelmiä. Täydellinen virustorjuntaohjelma pystyisi tunnistamaan ja poistamaan turvallisesti kaikki haittaohjelmat.
Tutkimuksen tuloksena havainnollistuu erilaisten tunnistusmenetelmien toimintaa ja tunnistusmenetelmien ongelmia. Yksi tärkeimmistä ongelmista on väärät positiiviset eli turvallisen tiedoston merkkaaminen haittaohjelmaksi. Tutkimuksen tuloksen avulla pystytään näkemään virustorjuntaohjelmien tunnistusominaisuuden monipuolisuuden ja eri menetelmien kerrostamisen tärkeyttä. Tunnistusmenetelmien kerrostaminen mahdollistaa paremman tunnistustarkkuuden. Tarkkuuden parantuminen näkyy väärien positiivisien vähentymisenä ja onnistuneen haittaohjelmien tunnistuksen todennäköisyyden kasvuna. Tutkimuksen perusteella voidaan olettaa, että virustorjuntaohjelmien haittaohjelmien tunnistamista täytyy kehittää jatkuvasti, johtuen uusien tai muokattujen haittaohjelmien ilmestymisestä.
Kokoelmat
- Kandidaatintutkielmat [8918]