Введение к работе
Актуальность темы диссертации. Проблема своевременного выявления новых, ранее неизвестных, вредоносных программ (ВП) является одним из важнейших направлений исследований в области информационной безопасности. В силу очевидных причин, в решении данной задачи анализ файловых объектов (ФО) имеет определяющее значение. Наряду с традиционными, сигнатурными методами выявления вредоносных ФО, в последнее десятилетие активно используются эвристические подходы. Данная группа подходов опирается на формально недоказуемые правила (эвристики), чье практическое использование показало свою применимость для выявления образцов потенциально вредоносных файловых объектов (ПВФО), имеющих явное сходство с известными вредоносными ФО.
Разработка и использование эвристических подходов продолжает оставаться объектом активных дискуссий на специализированных конференциях и в тематических изданиях. Вызвано это, в первую очередь, сложностью и изменчивостью ВП и, как следствие, их общей методологии выявления. Одним из перспективных направлений в эвристическом выявлении ПВФО является поиск устойчивых структурных и поведенческих паттернов ФО, косвенно идентифицирующих программные средства, используемые для их автоматического создания злоумышленниками. Это сопряжено с необходимостью накопления и обработки больших массивов данных, представляющих структуру и заложенный в ФО функционал с различных сторон.
Одним из способов решения задачи выделения из больших массивов данных эвристик для выявления ПВФО является использование методов интеллектуального анализа данных (ИАД). Эта концепция впервые была обозначена Кефартом и др. в середине 90-х годов XX века, а исследования Столфо, Шульца и др. в начале 2000-х годов задали направление дальнейших поисков в этом направлении.
Несмотря на получение в последние десять лет рядом авторских коллективов ценных результатов, данная тема продолжает оставаться объектом интенсивных исследований. В последние годы наблюдается, с одной стороны, взрывной рост количества ВП, развитие методов реализации вредоносного функционала, усложнение средств доставки ВП на атакуемые объекты, а, с другой стороны, эволюция подходов к пассивному и активному противодействию программно-аппаратными средствами защиты информации.
Перечисленные аспекты эволюции ВП обуславливают нерентабельность процессов обработки доступных массивов данных экспертами и аналитиками вручную и с использованием автоматизированных
средств. Это, в свою очередь, определяет необходимость формирования новых подходов к автоматическому выявлению ПВФО с учетом требований к характеристикам точности, производительности и ресурсопотребления.
Научная задача. Разработка модельно-методического аппарата для построения систем выявления потенциально вредоносных файловых объектов, основанного на формировании с помощью интеллектуального анализа данных структурных и поведенческих признаков, свойственных программным средствам автоматического создания вредоносных программ.
Объект исследования. Вредоносные файловые объекты и современные подходы к их обнаружению и идентификации.
Предмет исследования. Модели и методики выявления потенциально вредоносных файловых объектов на основе интеллектуального анализа данных.
Основной целью диссертационного исследования является повышение защищенности компьютерных систем за счет совершенствования процессов противодействия вредоносным программам на основе разработки новых методик, моделей и алгоритмов выявления потенциально вредоносных файловых объектов. Должно быть обеспечено улучшение и дополнение существующих подходов к выявлению ПВФО за счет улучшения показателей точности принятия решения и(или) снижения общей временной сложности процедур подготовки данных и выделения из них знаний. Для достижения цели исследования поставлены и решены следующие задачи:
-
Анализ современных подходов к осуществлению атак на объекты информационной инфраструктуры посредством использования ВП. Обзор основных подходов к выявлению ВП, основанных на интерпретации поведенческих данных, оценки репутации и анализе ФО.
-
Исследование существующих методов своевременного выявления вредоносных и потенциально вредоносных ФО. Анализ подходов к формированию систем их автоматического выявления.
-
Анализ и уточнение обобщенной модели процесса создания эвристических систем выявления ПВФО на основе ИАД, исследование жизненного цикла систем данного класса, формулировка их основных ограничений и требований к ним.
-
Разработка архитектуры системы, предназначенной для исследования эффективности методик выявления ПВФО на основе методов ИАД.
-
Анализ существующих моделей представления ФО и их применимости в системах эвристического обнаружения ВП на основе ИАД.
-
Дополнение существующего набора моделей представления ФО и разработка на их основе методик выявления ПВФО на основе ИАД.
-
Оценивание разработанных методик и сравнение их с существующими подходами к созданию систем выявления ПВФО на основе ИАД.
Результаты, выносимые на защиту:
-
Методика выявления потенциально вредоносных исполняемых программных модулей на основе статических позиционно-зависимых данных.
-
Методика выявления потенциально вредоносных исполняемых программных модулей на основе динамических низкоуровневых данных.
-
Методика выявления потенциально вредоносных электронных документов на основе статических структурных данных.
-
Архитектура и программная реализация системы оценивания методик выявления ПВФО на основе методов ИАД.
Научная новизна исследования заключается в следующем:
-
Методика выявления потенциально вредоносных исполняемых программных модулей на основе статических позиционно-зависимых данных отличается от известных направленностью на анализ произвольных блоков данных, расположенных относительно некоторой стартовой позиции. Такая особенность позволяет объединить в рамках обобщенного пространства атрибутов значения и позиции отдельных элементов в заданном участке анализируемого ФО. Другой особенностью данной методики является возможность преобразования выявленных паттернов, свойственных ПВФО, в традиционные описания сигнатур.
-
Методика выявления потенциально вредоносных исполняемых программных модулей на основе динамических низкоуровневых данных основывается на выявлении средств создания, упаковки и защиты стартового кода исполняемых ФО за счет ввода процедур сбора информации о выполняемых непрерывных последовательностях инструкций (блоках трансляции). В отличие от традиционных динамических подходов к формированию поведенческого профиля приложений за счет анализа его взаимодействия с операционной системой, данная методика сфокусирована на обобщении знаний о внутренней логике стартового кода анализируемых исполняемых объектов с обобщением на уровне отдельных непрерывных последовательностей инструкций.
-
Методика выявления потенциально вредоносных электронных документов на основе статических структурных данных ориентирована на выявление структурных паттернов, свойственных программным пакетам автоматической генерации вредоносного содержимого, входящих в состав пакетов эксплуатации уязвимостей. В отличие от традиционных методов выявления вредоносных документов на базе ряда структурных и поведенческих аномалий как самого документа, так и вложенного в него кода, данная методика нацелена на быстрый анализ структурных особенностей документа без учета типовых индикаторов их потенциальной опасности.
4. Архитектура системы оценивания методик выявления ПВФО основана на разработанных методиках и допускает проведение экспериментов по оцениванию сторонних моделей представления потенциально вредоносных файловых контейнеров за счет гибкости и расширяемости заложенных в нее моделей процессов и выбранных средств поддержки вычислений.
Обоснованность и достоверность положений, представленных в диссертационной работе, обеспечены проведением предварительного анализа результатов существующих исследований в данной предметной области. Результаты анализа использовались при формировании плана исследований и перечня необходимых на практике входных данных. Полученные практические положения находятся в непротиворечивом состоянии с результатами актуальных работ исследовательского сообщества. Основные теоретические положения работы изложены в печатных трудах и докладах на научных конференциях.
Практическая значимость результатов исследования.
Разработанные методики позволяют улучшить показатели точности и ресурсопотребления процессов автоматического эвристического выявления ВП за счет ввода новых подходов к поиску структурных и поведенческих паттернов, свойственных вредоносным ФО. Проведенные исследования позволили разработать архитектуру и прототип программного комплекса, поддерживающего операции обучения и верификации систем выявления ПВФО, построенных на основе методов ИАД. Осуществлена практическая проверка разработанных методик выявления и идентификации потенциально опасных файловых контейнеров. Ее результаты на практике показали возможность выявления набора эвристик, основанных на идентификации структурных и поведенческих паттернов, используемых программными средствами создания ВП, и их использования для выявления ПВФО.
Реализация результатов работы. Результаты, полученные в диссертационной работе, использованы в рамках следующих научно-исследовательских работ: «Управление информацией и событиями безопасности в инфраструктурах услуг (MASSIF)», проект Седьмой рамочной программы (FP7) Европейского Сообщества, контракт № 257475, 2010-2013 гг.; «Математические модели, методы и алгоритмы проактивной защиты от вредоносного программного обеспечения в компьютерных сетях и системах», проект по программе фундаментальных исследований Отделения нанотехнологий и информационных технологий РАН «Архитектура, системные решения, программное обеспечение, стандартизация и информационная безопасность информационно-вычислительных комплексов новых поколений», 2009-2011 гг.; «Модели и методы построения и поддержки функционирования интеллектуальных адаптивных систем защиты
информации, основывающиеся на моделировании поведения систем защиты, реализации верифицированных политик безопасности, оценке защищенности и проактивном мониторинге», грант РФФИ № 07-01-00547, 2007-2009 гг.; «Математические модели активного анализа уязвимостей, обнаружения вторжений и противодействия сетевым атакам в компьютерных сетях, основывающиеся на многоагентных технологиях», проект по программе фундаментальных исследований Отделения нанотехнологий и информационных технологий РАН, 2003-2008 гг. и др.
Апробация результатов работы. Основные положения и результаты диссертационной работы были представлены на следующих научных конференциях: Санкт-Петербургская Международная Конференция «Региональная Информатика» (Санкт-Петербург, 2008, 2010); Санкт-Петербургская Межрегиональная Конференция «Информационная безопасность регионов России» (Санкт-Петербург, 2009, 2011); Общероссийская Научно-Техническая Конференция «Методы и Технические Средства Обеспечения Безопасности Информации» (Санкт-Петербург, 2009, 2010, 2011); Международная Конференция «Рускрипто» (Моск. область, 2009, 2010, 2011); IV International Workshop «Information Fusion and Geographical Information Systems» (Санкт-Петербург, 2009); Международная Научная Конференция по Проблемам Безопасности и Противодействия Терроризму (Москва, 2009, 2010); XVIII Euromicro International Conference on Parallel, Distributed and Network-Based Processing (Пиза, Италия, 2010); VI International Conference «Mathematical Methods, Models and Architectures for Computer Network Security» (Санкт-Петербург, 2012).
Публикации. По материалам диссертационного исследования было опубликовано 25 работ, в том числе 6 статей в ведущих периодических изданиях перечня ВАК на соискание ученой степени доктора и кандидата наук («Системы высокой доступности», «Информационные технологии и вычислительные системы», «Проблемы информационной безопасности. Компьютерные системы», «Известия вузов. Приборостроение» и «Труды СПИИРАН»).
Структура и объем диссертационной работы. Диссертационная работа включает введение, три главы, заключение, словарь терминов и список литературы (162 наименования). Общий объем работы - 180 страниц машинописного текста; включает 58 рисунков и 39 таблиц.
Похожие диссертации на Методики выявления потенциально вредоносных файловых объектов на основе интеллектуального анализа данных
