Содержание к диссертации
Введение
Глава 1. Защищенные компьютерные сети как объект вредоносных воздействий 13
1.1. Особенности построения защищенных компьютерных сетей 13
1.2. Вредоносные программы как инструмент несанкционированного воздействия на информацию в защищенных компьютерных сетях 35
1.3. Принципы распознавания вредоносных программ при: противодействии несанкционированному воздействию на информацию в защищенных компьютерных сетях 45
1.4. Показатель возможностей оценки угроз информационной безопасности элементам защищенных компьютерных сетей 47
1.5. Содержательная и формальная постановка задачи 48
1.6. Выводы 49
Глава 2. Методический подход к распознаванию вредоносных программ при противодействии несанкционированному воздействию на информацию в защищенных компьютерных сетях 51
2.1. Концептуальная модель воздействий злоумышленников на элементы защищенных компьютерных сетей 51
2.2. Анализ способов распознавания вредоносных программ по структурному признаку 61
2.3. Воздействия на информационные ресурсы защищенных компьютерных сетей с помощью вредоносных программ как. объект распознавания 64
2.4. Формирование первичных признаков распознавания 67
2.5. Формирование вторичных признаков распознавания 69
2.6. Формирование признаков распознавания третьей группы 69
2.7. Формирование признаков распознавания четвертой группы 71
2.8. Формирование результирующего признака распознавания 74
2.9. Выводы 87
Глава 3. Способы реализации алгоритмов распознавания вредоносных. программ при противодействии несанкционированным воздействиям на информацию в защищенных компьютерных сетях 89
3.1. Основные направления реализации механизмов идентификации воз действий вредоносных программ в защищенных компьютерных сетях 89
3.2. Традиционные способы идентификации вредоносных программ в защищенных компьютерных сетях 90
3.3. Оптимизационные способы идентификации вредоносных программ в защищенных компьютерных сетях 95
3.4. Анализ механизмов вредоносности 98
3.5. Выводы 101
Глава 4. Оценка эффективности распознавания вредоносных программ при противодействии несанкционированным воздействиям на информацию в защищенных компьютерных сетях 102
4.1. Оценка эффективности распознавания вредоносных программ в условиях неструктурированного подхода 102
4.2. Оценка эффективности распознавания вредоносных программ в условиях структурированного подхода 103
4.3. Выводы 103
Заключение 105
Литература 106
Приложение 120
- Вредоносные программы как инструмент несанкционированного воздействия на информацию в защищенных компьютерных сетях
- Анализ способов распознавания вредоносных программ по структурному признаку
- Традиционные способы идентификации вредоносных программ в защищенных компьютерных сетях
- Оценка эффективности распознавания вредоносных программ в условиях структурированного подхода
Введение к работе
Актуальность темы. Возросшие требования к оперативности информационных процессов в различных областях деятельности современного общества, а также расширение возможностей сетевого построения информационных систем /1/ и внедрение методов распределенной обработки данных за счет реализации теледоступа 121 к вычислительным средствам привело к интегрированию систем обработки информации и систем ее обмена /3/. Результатом такого интегрирования явилось создание компьютерных сетей /4/. Широкое применение сетевых технологий в различных сферах общественной деятельности, в том числе в так называемых критических инфраструктурах, к которым относится деятельность институтов государственной власти /5/, финансовых структур /6/, деятельность в областях военно-промышленного комплекса 111, энергетики /8/, транспорта /9/, а также в областях, оказывающих существенное влияние на экологию /10/, значительно повысило эффективность этих сфер. Несмотря на очевидную разнородность критических инфраструктур их объединяет одно очень важное обстоятельство - значительный ущерб от нарушения безопасности деятельности, в том числе и информационной, в этих сферах /11/. Вытекающая из этого значительная ценность хранимых и обрабатываемых данных в критических инфраструктурах обусловила разработку и совершенствование методов и средств несанкционированного доступа к информации в этих системах с целью противоправного манипулирования данными /12, 13/. Основными противоправными действиями с информацией в таких системах могут быть самые различные формы ее несанкционированной модификации (целенаправленная замена или искажение данных, их удаление) или копирования /14-17/.
Совершенствование методов и средств вредоносного воздействия на информацию в компьютерных сетях привело к адекватному развитию технологий защиты информации и созданию защищенных компьютерных сетей (ЗКС) /18 -26/.
Вместе с тем, совершенствование механизмов защиты информации в ЗКС обусловило и адекватное совершенствование методов их преодоления, что, в свою очередь привело к появлению совершенно нового источника угроз информационной безопасности ЗКС - вредоносных программ /27, 28/. Такие программы разрабатываются как средства преодоления защитных механизмов ЗКС с целью несанкционированного манипулирования информацией. Вредоносные программы проектируются и разрабатываются как программы вирусного типа /29/, что дает возможность использовать такие преимущества компьютерных вирусов как изоморфность структуры, способность создавать собственные копии и проявлять себя лишь при определенных параметрах вычислительной среды /30-33/. Эти свойства значительно затрудняют возможность их обнаружения и подавления, и как следствие - ставит такие программы в разряд одного из самых совершенных, на сегодняшний день, инструментов противоправных действий в сфере компьютерной информации /34, 35/.
Целевое назначение вредоносных программ - обеспечение- действий, направленных на несанкционированное воздействие на информацию. Следует заметить, что такое воздействие, в общем случае, является многоэтапным, что, в свою очередь, ставит зависимость форм применения вредоносных программ от этапов воздействия на информацию в ЗКС /36/.
Анализ стратегий несанкционированного воздействия на информацию в ЗКС позволяет установить закономерность между функциональным обликом вредоносных программ и этапами воздействия на ЗКС, в рамках которого эти программы используются /37, 38/.
К настоящему времени в теории информационной безопасности сложился ряд направлений противодействия вредоносным программам, основанных на так называемых антивирусных технологиях /39, 40/. Вместе с тем, разрабатываемые в соответствии с данными технологиями средства ориентированы на те типы компьютерных вирусов, функции которых являются типовыми и, в некотором роде, универсальными /41/. Такие антивирусные средст-
ва являются стандартными и охватывают целые классы компьютерных вирусов /42/. Что касается вредоносных программ, применяемых для несанкционированного воздействия на информацию в ЗКС, то для их идентификации и анализа степени представляемой угрозы информационным ресурсам ЗКС требуются нестандартные подходы /43 - 47/. Несмотря на то, что совершенствование методов противодействия вредоносным воздействиям на информацию в ЗКС стало чрезвычайно актуальной проблемой, специальные исследования, связанные с разработкой таких подходов носят крайне ограниченный характер.
Изложенное дает основание утверждать, что задача распознавания вредоносных программ при противодействии несанкционированному воздействию на информацию в ЗКС является чрезвычайно актуальной, а связанные с этим направлением вопросы нуждаются в проработке как в методическом, так и в прикладном плане. Это свидетельствует об актуальности диссертационной работы.
Объект исследования. Вредоносные программы в информационной среде защищенных компьютерных сетях.
Предмет исследования. Алгоритмизация распознавания вредоносных программ для оценки степени угрозы информационным ресурсам ЗКС.
Цель диссертационной работы..Исходя из того, что известные антивирусные средства не идентифицируют взаимосвязь особенностей построения вредоносных программ и этапов реализации вредоносного воздействия на ЗКС целью диссертационной работы является исследование и разработка алгоритмов распознавания вредоносных программ для оценки степени угрозы информационным ресурсам ЗКС.
Основные задачи. Для достижения поставленной цели в работе необходимо решить следующие задачи:
1, Проанализировать особенности функционирования ЗКС и их элементов в условиях воздействия вредоносных программ.
2. Разработать методический подход к распознаванию вредоносных
программ и оценке степени угрозы информационным ресурсам ЗКС.
Обосновать варианты применения способов идентификации и анализа вредоносных программ.
Оценить эффективность распознавания вредоносных программ при противодействии несанкционированному доступу к информации в ЗКС.
Методы исследования. В работе использованы методы системного анализа, теории распознавания образов, математического моделирования и теории информационной безопасности.
Научная новизна. Результаты, полученные в диссертации при решении перечисленных задач состоит в следующем:
Разработан новый способ анализа степени угроз информационной безопасности элементам ЗКС, основанный на использовании теории распознавания образов и обеспечивающий адекватную оценку угроз воздействия вредоносных программ на данные элементы.
Впервые сформулированы основные принципы распознавания угроз информационной безопасности элементам ЗКС.
Разработаны новые алгоритмы анализа признаков распознавания воздействия вредоносных программ на элементы ЗКС.
Практическая ценность полученных результатов.
Содержащиеся в диссертации методические рекомендации использованы при обосновании содержания отдельных пунктов тематической карточки и технического задания на НИР «Р-подпись» и «Методист», выполняемых в интересах Гостехкомиссии России.
Содержащиеся в диссертационной работе методические результаты и практические рекомендации использованы Главным управлением внутренних дел Воронежской области при разработке ряда программных средств обеспечения информационной безопасности компьютерной сети ГУВД.
Разработанные в диссертации методики использованы при разработке учебных пособий «Оценка информационной безопасности телекоммуникационных систем» и «Исследование эффективности систем защиты информации от несанкционированного доступа» для курсантов и слушателей Воронежского института Министерства внутренних дел Российской Федерации, курсантов Военного института радиоэлектроники Министерства обороны Российской Федерации, а также для студентов Московского государственного технического университета им. Н.Э. Баумана.
Результаты работы использованы при выполнении НИР «Р-подпись» и «Методист», при разработке учебных.пособий «Оценка информационной безопасности телекоммуникационных систем» и «Исследование эффективности систем защиты информации от несанкционированного доступа» для курсантов и слушателей образовательных учреждений высшего профессионального образования МВД России, а также при проведении оперативных мероприятий в информационной сфере.
Результаты диссертационной работы внедрены:
в Региональном учебно-научном центре «Безопасность» при Московском государственном техническом университете им. Н.Э. Баумана;
в Военном институте радиоэлектроники Министерства обороны Российской Федерации;
в Воронежском институте Министерства внутренних дел Российской Федерации;
в Главном управлении внутренних дел Воронежской области;
Внедрение результатов подтверждается соответствующими актами.
Апробация работы. Основные методические и практические результаты исследований докладывались на следующих конференциях:
1. III Всероссийской научно-практической конференции «Охрана - 99» -Воронеж, 1999 г./35/.
Межвузовской научно-практической конференции Воронежской высшей школы МВД России - Воронеж, 1999 г. /93/.
Межвузовской научно-практической конференции «Современные
проблемы противодействия преступности» - Воронеж, 2001 г. /115/.
Межвузовской научно-практической конференции «Методы и способы повышения эффективности радиоэлектронных средств охраны» - Воронеж, 2001 г./64/.
IV Всероссийской научно-практической конференции «Охрана -2003». - Воронеж, 2003 г. /88/.
Всероссийской научно-практической конференции «Современные проблемы борьбы с преступностью» - Воронеж, 2003 г. /99/.
XII научно-техническая конференция «Системы безопасности - СБ-2003» Международного форума информатизации - Москва, 2003 г. /90/.
Пятой Всероссийской конференции «Инфофорум - 5» - Москва, 2003 г./91/.
Публикации. По теме диссертации опубликовано 20 научных работ, в том числе два учебных пособия.
В работах, опубликованных в соавторстве, приведенных в конце автореферата, лично автором предложено: в [1] рассматривать методику оценки защищенности компьютерных систем от угроз их информационной безопасности как процедуру формирования иерархической структуры показателей; в [2] использовать для оценки эффективности систем защиты информации от несанкционированного доступа комбинацию не более двух случайных величин; в [3] рассматривать классификацию компьютерных вирусов исходя из их вредоносности; в [4] оценку объема программного обеспечения производить на основе метрик Холстеда; в [5] при формировании показателей защищенности компьютерных сетей использовать временные характеристики средств противодействия вредоносным программам; в [6] ряд технических решений по реализации функций анализа проявления вредоносности иссле-
дуемых программ; в [8] учитывать криминалистические модели совершения компьютерных преступлений при анализе последствий воздействия угроз несанкционированного доступа к информации в компьютерных системах; в [9] анализ последствий воздействия вредоносных программ в компьютерных системах осуществлять с позиций оценки уязвимости элементов этих систем; в [10] использовать некоторые типы дизассемблеров для получения наиболее достоверных исходных кодов вредоносных программ; в [11] рассматривать используемые вредоносными программами системные функции.и прерывания в качестве следообразующих признаков; в [12] ряд вариантов оценки соответствия анализируемых функций вредоносных программ этапам их применения; в [13] рассматривать аналитическую разведку как технический способ сбора информации; в [14] акцентировать внимание на некоторых уязвимых, с точки зрения использования вредоносными программами, функциях операционных систем; в [15] рассматривать процесс оценки угроз элементам ЗКС исходя из возможностей распознавания функций применяемых вредоносных программ; в [17] использовать в качестве первичных признаков распознавания вредоносных: программ статистические характеристики средств противодействия таким программам; в [18] использовать ряд процедур антивирусного мониторинга для идентификации исследовательских функций вредоносных, программ; в [20] конечное число вариантов организации несанкционированного доступа к информации в ЗКС. Основные положения, выносимые на защиту:
Задачу адекватной оценки угроз информационной безопасности элементов ЗКС целесообразно ставить как задачу синтеза алгоритмов распознавания воздействий вредоносных программ на элементы ЗКС и решать с использованием разработанных в диссертации методов.
При обработке данных распознавания угроз информационной безопасности элементов ЗКС целесообразно использовать предложенные в диссертации способы:
детектирования вредоносных программ;
анализа вредоносных программ.
3. Применение разработанного в диссертации способа распознавания степени угрозы информационной безопасности элементу ЗКС позволяет обеспечить вероятность распознавания не менее 0.75, что значительно превышает значение данного показателя в условиях традиционного анализа.
Структура и объем работы. Диссертация состоит из введения, четырех глав, изложенных на 115 страницах машинописного текста, 19 рисунков, 4 таблиц, заключения и библиографического списка использованной литературы, содержащего 117 наименований.
Тема: "ИССЛЕДОВАНИЕ И РАЗРАБОТКА АЛГОРИТМОВ РАСПОЗНАВАНИЯ ВРЕДОНОСНЫХ
ПРОГРАММ ПРИ ПРОТИВОДЕЙСТВИИ НЕСАНКЦИОНИРОВАННОМУ ВОЗДЕЙСТВИЮ НА
ИНФОРМАЦИОННЫЕ РЕСУРСЫ ЗАЩИЩЕННЫХ КОМПЬЮТЕРНЫХ СЕТЕЙ"
Актуальность задачи определяется:
1. Возрастанием влияния безопасности КС на эффективность их фу нкци онирования. 2.Возрастанием значимости вредоносных программ как источника угроз информационной безопасности КС 3. Низким уровнем проработки вопросов оценки угроз информационной безопасности КС
Постановка задачи
Применительно к заданным условиям функционирования ЗКС, входящим ее состав элементов и номенклатуре антивирусных средств разработать алгоритмы оценки информационной
безопасности элементам ЗКС на основе распознавания вредоносных
программ как инструмента
несанкционированного воздействия
на информацию.
Цель исследования: Исследовать и разработать алгоритмы распознавания вредоносных программ для оценки степени угрозы информационным ресурсам ЗКС.
Задачи исследования:
И. Проанализированы особенности функционирования ЗКС и их элементов е условиях воздействия вредоносных программ.
Разработан методический подход к распознаванию вредоносных программ и оценке степени угрозы информационным ресурсам ЗКС.
Обоснованы алгоритмы идентификации и анализа вредоносных программ.
Теоретические основы исследования
Общая теория систем
Теория; распознавания
Системный анализ
Теория
информационной
безопасности
Теория
моделирования
систем
Теория вероятностей
Содержание методик
Методиче с к и й подход к распозна вэнию вредоное
Н Ы X
программ
Методика
синтеза
иерархической
структуры
признаков эаспознавани; вредоносных
программ
Методика
оценки
степени
угрозы
информацией
ным ресурсам
Методика обоснования показателя эффективном и оценки угроз информацион
ной безопасности
Методика моделирования для оценки эффективности
протиВОДЄЙСТ
вия угрозам информацион
ной' безопасности
Методика
вероятностной
апрокоимации
результатов
распознавания
Методика
оценки
эфф актив ноет
и анализа
угроз
Классическая основа
Методы
распознавай»!
образов .
Методы построения растущих пирамидальных сетей
Методы анапнаї
угроз информационно йбезопасности
Имитационное моделирование
Аналитическое моделирование
Методы
ітатистическоії
апроксимации
Теория графов
Результаты
При обосновании содержания отдельных пунктов тематической карточки и технического задания на НИР "Р-лодпись' и "Методист", выполняемых в интересах Гостехкомиссии России.
В учебном процессе МГТУ им. Н.Э. Баумана, БИМбДиВИРЭ.
исследовании
реализованы:
Поастический, результат; разработан способ -^Х" 3. В материалах в-ыи нвучно-
оценки угроз информационной S\f практических конференций
безопасности, Позволяющий ^^уг 4. В отчетах во 3 НИР.
обеспечить вероятность/О''- в 9 статьях региональной и вуэовсилй печати распознавания уг\/^ в- в ДВУ учебных пособиях.
не иенее//'^ 7- ПРИ разработке ряда программны» средств
0.75^0^ обеспечения информационной безопасности
компьютерной сети ГУВД.Баронежпюй области.
Рис.В.1. Структура диссертационного исследования
Вредоносные программы как инструмент несанкционированного воздействия на информацию в защищенных компьютерных сетях
В основу проектирования вредоносных программ, как инструмента противоправных действий в защищенной информационной среде положен ряд принципов компьютерной вирусологии, основными из которых являются обеспечение активности, лшвучести и комбинируемое.
Активность достигается созданием условий, когда вредоносная про грамма всегда получает управление на себя, те, процессор должен начать выполнять команды, относящиеся к коду вредоносной программы раньше команд любой прикладной или системной программы.
Такими условиями являются следующие: вредоносная программа должна находиться:в оперативной, памяти до начала работы программы, которая является целью воздействия, и, следовательно, должна быть загружена раньше или одновременно с основной; вредоносная программа должна активизироваться по некоторому общему как для себя, так и для остальных программ событию, т,е при выполнении ряда условий, в программно-аппаратной среде управление должно быть передано на вредоносную программу.
Перечисленные условия достигаются путем анализа и обработки вредоносной программой общих относительно вредоносной и прикладной программы воздействий на вычислительный процесс (выделенных прерываний, операций с портами и т.д.).
Постоянная активность вредоносной программы обеспечивается технологией резидентности: Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы.
Особенностью реализации нерезидентных вирусов, в отличие от резидентных является то, что они активны довольно непродолжительное время -только в момент запуска зараженной программы. Для своего распространения оьщ ищут на диске незараженньте файлы и записываются в них. После того, как код вируса передает управление программе-носителю, влияние вируса на работу операционной системы сводится к нулю вплоть до очередного запуска какой-либо зараженной программы.
Свойство живучести вредоносных программ обеспечивается тремя механизмами: самодублированием, ассоциированием с другими программами и скрытностью.
Самодублирование вредоносной программы представляет собой процесс воспроизведения своего собственного кода в оперативной или внешней памяти компьютера. Этим свойством обладают вирусы» разрабатываемые по репликативной технологии.
Ассоциирование вредоносной программы с другой программой представляет собой процесс интеграции своего кода либо его части в код другой программы таким образом, чтобы при некоторых условиях управление передалось на вредоносную программу.
Ассоциирование вредоносных программ с другими программами реализуется по технологиям файловых, загрузочных, макро- и сетевых вирусов.
Технология файловых вирусов является, на сегодняшний день, наиболее распространенным способом реализации ассоциативных свойств вредоносных программ. Особенностью файловых вирусов является то, что они либо различными способами внедряются в выполняемые файлы, либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).
Особенностью загрузочных вирусов является то, что они ассоциируются с загрузчиками операционных систем. При заражении дисков загрузочные вирусы "подставляют" свой код вместо программ, получающих управление при загрузке операционной системы. Принцип заражения стандартный - вирус копирует в код своего загрузчика системную информацию, хранящуюся в первоначальном загрузчике и "заставляет" операционную систему при ее перезапуске считать в память и передать управление не коду загрузчика, а коду вируса.
С учетом того, что системный загрузчик имеет вполне определенное место размещения во внешней памяти компьютера, а загрузочный вирус может иметь различную длину, современная технология таких вирусов позволяет реализовывать различные варианты размещения во внешней памяти, как системного загрузчика, так и самого вируса.
Вместе с тем технология загрузочных вирусов имеет существенный недостаток - два загрузочных вируса одновременно не могут использовать одни и те же дисковые сектора для размещения своего кода или данных.. В результате код или данные первого вируса оказываются испорченными при заражении вторым вирусом, и операционная система либо зависает при загрузке, либо зацикливается (что также приводит к ее зависанию).
Особенностью технологии макро-вирусов является то, что они ассоциируются с файлами-документами, электронными таблицами и базами данных наиболее популярных макро-систем формирования, хранения и обработки данных. Макро-вирусы являются программами на языках (макро-языках), встроенных в эти системы. Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие.
Для существования вирусов в конкретной системе необходимо наличие встроенного в нее макро-языка с возможностями: 1) привязки программы на макро-языке к конкретному файлу; 2) копирования макро-программ из одного файла в другой; 3) возможность получения управления макро-программой без вмешательства пользователя (автоматические или стандартные макросы).
Данная особенность макро-языков обеспечивает автоматическую обработку данных в компьютерных сетях и позволяет организовать так называемый "автоматизированный документооборот". С другой стороны, возможности макро-языков таких систем позволяют вирусу переносить свой код в другие файлы, и таким образом заражать их:
Макро-вирусы, ассоциируемые с файлами макро-систем, как правило, используют один из трех перечисленных приемов - в вирусе либо присутст вует авто-макрос (авто-функция), либо переопределен один из стандартных системных макросов (ассоциированный с какой-либо макро-функцией), либо макрос вируса вызывается автоматически при нажатии на какую-либо клавишу или комбинацию клавиш.
Анализ способов распознавания вредоносных программ по структурному признаку
С целью проведения оценки способов анализа угроз информационной безопасности элементов ЗКС воспользуемся базовым требованием, в соответствии с которым совокупность признаков распознавания этих угроз должна быть структурированной. Это требование является основополагающим теоретическим положением и базируется на известном положении системного анализа /79 - 81/, в соответствии с которым энтропия структурированной системы элементов связанных одной целью, ниже энтропии совокупности несвязанных элементов. Это обусловливает необходимость выявления взаимосвязей между признаками распознавания, позволяющими представлять их не простой совокупностью, а в виде системы определенным образом связанных элементов оценки угроз информационной безопасности элементов ЗКС.
Второе требование является производным от рассмотренного и уточняет направление структуризации системы распознавания. Содержание этого требования следующее: структура системы распознавания должна представляться в виде многоуровневой иерархической структуры. Уровни иерархии структуры системы распознавания определяются исходя из следующих условий: каждому уровню структуры соответствует конкретный класс свойств вредоносных программ;. каждому уровню структуры соответствует определенная степень обобщения свойств вредоносных программ, причем пргонаки нижнего уровня имеют самую низкую степень обобщения, а показатель верхнего уровня является результирующим; число показателей текущего уровня структуры не должно превышать числа показателей нижнего, по отношению к данному, уровня.
Следует заметить, что термин «многоуровневая структура» относится к структурам с тремя и более уровней. Это предположение основано на восприятии неструктурированной системы распознавания как двухуровневой системы простейшего анализа неупорядоченной совокупности признаков, в которой первый уровень составляют анализируемые признаки, второй - сам анализатор.
Рассматриваемоелребование иерархичности структуры системы распознавания базируется на очевидном предположении, в соответствии с которым обобщение признаков распознавания представляет собой процесс поэтапного обобщения свойств вредоносных программ, начиная с множества признаков, отражающих лишь отдельные частные свойства вредоносных программ и заканчивая одним, результирующим признаком.
На основе сформулированного положения докажем следующее утверждение. Утверждение. При систематизации частных признаков распознавания структура в виде многоуровневой иерархической структуры является предпочтительней.
Доказательство. Рассмотрим два представления совокупности признаков распознавания угроз информационной безопасности элементов ЗКС (рис. 2.2.1) - в неструктурированном виде и в виде трехуровневой иерархической структуры с одной промежуточной степенью обобщения (ПСО),
Как следует из рисунка для случая неструктурированного представления совокупности частных признаков распознавания (ЧПР) угроз информационной безопасности элементов ЗКС (рис: 2.2,1, а) вероятность Р{0) оценки этих угроз с целью получения результирующего признака распознавания (РПР) определяется согласно выражения /82, 83/: признаков распознавания (рис. 2.8,1, б) вероятность Pt0\ распознавания степени угрозы информационной безопасности элементу ЗКС определяется согласно выражения: где Pi - вероятность распознавания 1-го первичного признака (ППРІ), призна ка первого уровня структуры.
Сопоставляя (2.2Л) и (2.2.2) при условии можно сделать вывод, что значение вероятности распознавания степени угрозы для случая структурированного представления совокупности частных признаков распознавания превышает ее значение для случая неструктуриро ванного представления. Это доказывает корректность сформулированного утверждения.
С целью разработки алгоритмов оценки угроз информационной безопасности элементам ЗКС воспользуемся основными положениями теории распознавания /84 - 86/. Для этого сформулируем ряд определении.
Система распознавания угроз информационной безопасности элементов ЗКС - специально сконструированный алгоритм, обеспечивающий, на основе полученной и обработанной информации о признаках угроз, решение задач их оценки и распознавания. При этом, признаки угроз могут быть подразделены на качественные и количественные.
Качественные признаки представляют собой суждения качественного характера. Качественные признаки подразделяются на логические и лингвистические. Логические признаки угроз можно рассматривать как элементарные высказывания принимающие два значения истинности вида «истина» или «ложь» с полной определённостью.
Лингвистические признаки рассматриваются, как элементарные высказывания, принимающие одно из нескольких лингвистических значений, характеризующих качество распознаваемого объекта.
Количественные признаки это признаки, имеющие количественное выражение. Количественные признаки подразделяются на детерминированные и вероятностные.
Детерминированные признаки - признаки, количественная величина которых носит детерминированный хараетер. Вероятностные (статистические) признаки - признаки, случайные значения которых распределены по различным классам угроз. При этом решение о принадлежности распознаваемой угрозы к тому или иному классу может приниматься только на основании конкретных значений признаков данной угрозы, определенной в результате проведения соответствующих мероприятий мониторинга информационного пространства ЗКС.
Это позволяет алгоритм аналитической обработки данных антивирусного мониторинга ЗКС представить в виде многоуровневой обучающейся системы распознавания /87,88/,
В данной системе априорная информация о признаках угроз определяется на основе косвенного анализа результатов контроля информационного пространства ЗКС. Для такого контроля могут использоваться антивирусные мониторы, средства контроля информационной среды, средства регистрации, системы администрирования сети и т.д., которые могут рассматриваться как специализированные локальные распознающие системы.
Система распознавания представляет собой N - уровневую аналитическую структуру, нижний уровень которой представляется первичными признаками, получаемыми в результате контроля информационного пространства ЗКС, а остальные - в процессе аналитической обработки признаков распознавания. При этом правила формирования иерархических уровней такой системы являются, в определенной степени, стандартными для иерархических систем /89/, а именно, признаки, полученные в результате обработки нижнего уровня структуры являются исходными данными для формирования признаков последующих уровней. Верхний уровень такой структуры формирует результирующий признак, позволяющий оценить степень угрозы информационной безопасности элементам ЗКС.
Традиционные способы идентификации вредоносных программ в защищенных компьютерных сетях
В основу реализации традиционных способов идентификации вредоносных программ в ЗКС положены механизмы детектирования с помощью профессиональных пакетов антивирусных средств. Основными методами при этом являются/41/: сканирование; эвристическое сканирование; CRC-сканирование; антивирусный мониторинг; иммунизация-Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти, а также поиске в них известных и новых (не известных сканеру) вирусов. Для поиска известных вирусов используются так называемые «сигнатуры» - последовательности байтов, однозначно характерные для конкретного вируса.
В общем случае сигнатура - это множество N пар {РІ, ВІ} , Н, ..., N, где Pi- местоположение 1-FO байта, ВІ- значение і-го байта. Но на практике часто используют непрерывные сигнатуры, для которых важны только местоположение первого байта и длина сигнатуры.
Длина сигнатуры должна быть как можно больше, а в идеале - в сигнатуру должна входить вся неизменяемая часть вируса, что гарантирует однозначность идентификации. Вместе с тем это бы значительно увеличило объем антивируса и существенно замедлило бы процесс сканирования. Как правило, целесообразной считается длина сигнатуры от единиц байт до десятков байт - не больше.
Сканеры делятся на резидентные, производящие постоянное сканирование в режиме реального времени, и нерезидентные, обеспечивающие проверку системы только по запросу. Как правило, резидентные сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как нерезидентный сканер способен опознать вирус только во время своего очередного запуска. К достоинствам сканеров всех типов относится их универсальность, к недостаткам - размеры антивирусных баз, которые сканерам приходится включать в себя, и относительно небольшую скорость поиска вирусов.
Используемые во многих антивирусных пакетах алгоритмы анализа последовательности команд с целью формирования некоторой статистики и принятия решений о возможности заражения для каждого проверяемого объекта в известной литературе получили название методов эвристического сканирования. Универсальность методов эвристического сканирования позволяет детектировать большое количество вредоносных программ. Поскольку эвристическое сканирование является во многом вероятностным методом по иска компьютерных вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний. Недостатком методов эвристического сканирования является относительно невысокая скорость поиска вредоносных программ. Следует заметить, что наблюдаемая в последнее время тенденция применения в эвристических сканерах так называемых антивирусных баз, где хранится информация о характерных фрагментах кодов вредоносных программ,, позволяет повысить лишь возможности обнаружения таких программ, в то время как скорость их поиска практически не увеличивается.
Некоторые антивирусные средства для обнаружения вредоносных программ реализуют алгоритмы, основанные на подсчете контрольных сумм (CRC-сумм) для всех хранимых на носителях файлов и системных сееторов. Информация о контрольных суммах, а также данные о длине файлов, даты их последней модификации и т. д. сводится в базу данных и используется.при последующих запусках CRC-сканеров для сравнения с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о воздействии вредоносной программы. Анализ алгоритмов CRC-сканирования, показывает, что наилучшие возможности по обнаружению вредоносных программ имеют CRC-сканеры, использующие так называемые «антистелс»-алгоритмы. Однако у этого топа антивирусов есть принципиальный недостаток, состоящий в том, что CRC-сканеры не способны обнаружить вредоносную программу в момент ее появления в системе, а делают это лишь через некоторое время, уже после того, как вредоносная программа стала реализо-вьтвать свои функции. CRC-сканеры не могут детектировать вредоносную программу в новых файлах, например в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вредоносные программы, которые используют эту «слабость» CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для CRC-сканеров.
Антивирусные мониторы это резидентные программы, контролирующие возникновение ситуаций, связанных с функционированием вредоносных, программ. К таким ситуациям относятся вызовы на открытие для записи в выполняемые файлы, запись в загрузочные секторы дисков или MBR винчестера, попытки программ остаться резидентно и т. д., то есть вызовы, которые характерны для программ вирусного типа. К достоинствам мониторов относится их способность обнаруживать и блокировать вредоносные программы на самой ранней стадии их проявления; К недостаткам относится большое количество ложных срабатываний, что, видимо, и стало причиной непопулярности подобного рода антивирусных программ среди пользователей,
В последнее время, благодаря своей надежности, появились антивирусные мониторы, выполненные в виде аппаратных компонентов компьютера. Наиболее распространенной является встроенная в BIOS защита от записи в MBR винчестера, а также ряд универсальных аппаратных мониторов. Вместе с тем, сложность настройки и требования аппаратной совместимости таких типов мониторов серьезно сдерживает их применение.
Оценка эффективности распознавания вредоносных программ в условиях структурированного подхода
Анализ механизмов вредоносности вредоносной программы целесообразно осушествлягь с помощью разработанного автором способа, основанного на поиске и идентификации в тексте вредоносной программы исследовательских и деструктивных функций вредоносного воздействия. Оценка эффективности распознавания вредоносных программ в условиях неструктурированной системы распознавания
По аналогии с п. 2.2 условно представим структуру неструктурированной системы распознавания в следующем виде (рис. 4.1.1). Определим значение вероятности Ргл распознавания степени угрозы информационной безопасности элементу ЗКС по совокупности приведенных в диссертации анализируемых признаков для случая, когда условия определенности и неопределенности в оценке значений этих признаков равновероятны. В этом случае значение Pj выражения (2.2.1) составит величину 0.5. Тогда вероят ность г/Л распознавания степени угрозы, для случая неструктурированного представления совокупности частных признаков, согласно (2.2.1), составит Рис. 4.1.1. в условиях многоуровневой иерархической системы распознавания Представим структуру многоуровневой иерархической системы распознавания в следующем виде (рис. 4.2,1). Определим значение вероятности Р(о) распознавания степени угрозы информационной безопасности элементу ЗКС, для тех же условий, что и при рассмотрении неструктурированной системы распознавания (п. 4.1), т.е. для случая, когда условия определенности и неопределенности в оценке значений анализируемых признаков равновероятны (значение Pi выражения (2.2.2) составляет, величину 0,5). Тогда вероят ность А (о) распознавания степени угрозы, для случая структурированного представления совокупности частных признаков, согласно (2.2.2), составит; Сравнив значения, полученные в (4.1.1) и (4.2.1) можно сделать вывод, что применение разработанного способа распознавания угроз позволяет значительно повысить эффективность распознавания. Применение разработанного в диссертации способа распознавания степени угрозы информационной безопасности элементу ЗКС позволяет обеспечить вероятность распознавания порядка 0.75, что значительно превышает значение данного показателя в условиях традиционного анализа. Основные научные результаты, полученные в диссертационной работе, состоят в следующем: 1.
Обоснована возможность оценки угроз информационной безопасности элементам ЗКС на основе их распознавания. 2. Разработана концептуальная модель информационных воздействий злоумышленников на элементы ЗКС. 3. Разработан метод распознавания угроз информационной безопасности элементам ЗКС на основе анализа разнородных признаков воздействия вредоносных программ. 4. Предложены варианты технических решений по построению средств распознавания угроз информационной безопасности элементам ЗКС. Новым практическим результатом, полученным в диссертации является обоснование возмоясности распознавания степени угрозы информационной безопасности элементу ЗКС с вероятностью распознавания не менее 0.75, что значительно превышает значение данного показателя в условиях традиционного анализа.
