Содержание к диссертации
Введение
ГЛАВА 1. Актуальные проблемы защиты информации в среде облачных вычислений и постановка задачи исследования
1.1. Проблема защиты информации в среде облачных вычислений 10
1.2. Анализ современных подходов и технологий защиты информационных ресурсов среды облачных вычислений .17
1.3. Недостатки современных технологий защиты информации в среде облачных вычислений и постановка задачи исследования 25
1.4. Постановка задачи исследования 32
ГЛАВА 2. Модели противодействия скрытым угрозам информационной безопасности в среде облачных вычислений
2.1. Спецификация и формализация требований к защите от скрытых угроз информационной безопасности в среде облачных вычислений 34
2.2. Модель скрытых угроз информационной безопасности в среде облачных вычислений 44
2.3. Модель операций как описание информационных процессов cреды облачных вычислений. 55
2.4.Выводы .66
ГЛАВА 3. Метод и алгоритм противодействия скрытым угрозам информационной безопасности в среде облачных вычислений
3.1. Разработка программно-технических средств контроля процессов информационного взаимодействия приложений и гипервизора .67
3.2. Применение метода предикативной идентификации процессов для защиты от скрытых угроз информационной безопасности 75
3.3. Алгоритм предикативной идентификации и метод его программной реализации в среде облачных вычислений 86
3.4. Выводы 96
ГЛАВА 4. Анализ эффективности применения моделей и метода защиты от скрытых угроз в среде облачных вычислений
4.1. Оценки эффективности, основанные на использовании методов математического моделирования 97
4.2. Эффективность алгоритма предикативного поиска при защите информации в среде OpenStack . 108
4.3. Прототип программного комплекса «Альфа-монитор» и экспериментальные результаты. 118
4.4. Выводы .129
Заключение 131
Перечень сокращений и условных обозначений 132
Список использованной литературы .
- Анализ современных подходов и технологий защиты информационных ресурсов среды облачных вычислений
- Модель скрытых угроз информационной безопасности в среде облачных вычислений
- Применение метода предикативной идентификации процессов для защиты от скрытых угроз информационной безопасности
- Эффективность алгоритма предикативного поиска при защите информации в среде OpenStack .
Введение к работе
Актуальность темы диссертации
Стремительное развитие технологий виртуализации и облачных вычислений
формирует новые источники угроз информационной безопасности, которые часто носят
скрытый характер, что необходимо учитывать при создании нового поколения систем
кибербезопасности. Использование скрытых каналов для организации атак на
компьютерные ресурсы существенно затрудняет возможность противодействовать
угрозам нарушения конфиденциальности, целостности и доступности информационных ресурсов, так как современные шлюзы, межсетевые экраны и системы обнаружения вторжений ориентированы на защиту информации, доступ к которой осуществляется по открытым протоколам и каналам связи. Поэтому для обеспечения безопасности информации в среде облачных вычислений важное значение приобретают средства защиты, позволяющие контролировать потоки данных на различных уровнях информационного взаимодействия, включая контроль транзакций и механизмов инициализации процессов доступа к информационным ресурсам на уровне гипервизоров и гостевых операционных систем (ОС).
Актуальность разработки технологии противодействия попыткам внешних и
внутренних нарушителей изменить состояние защищенности информационных ресурсов
в среде облачных вычислений отмечается многими российскими и зарубежными
учёными, в том числе В.А. Курбатовым, П.Д. Зегждой, А.А. Грушо, Е.Е. Тимониной, В.Ю. Скибой, Н.А. Гайдамакиным, А.А. Гладких, В.С. Заборовским, С. Воглом, Р. Сэйлером, Ф. Мортинелли, Дж. Рутковской и др. В их работах большое внимание уделяется разработке методов противодействия скрытым угрозам и созданию средств защиты информации, в которых учитываются особенности виртуализации аппаратных ресурсов, существенно влияющие на состояние защищенности системных и прикладных программных процессов.
Результаты исследований, проведенных данными авторами, позволяют сделать вывод о том, что перспективным направлением совершенствования технологий защиты информации в среде облачных вычислений является разработка методов противодействия угрозам, реализуемым с помощью процессов, в которых субъекты и объекты информационного взаимодействия могут использовать различные каналы передачи данных, в том числе и скрытые. Для борьбы с такими угрозами требуется разработка новых средств защиты информации, основанных на методах оперативной идентификации потенциальных уязвимостей, возникающих как на уровне процессов контроля доступа к ресурсам гостевых ОС, так и на уровне системных вызовов гипервизоров, которые при определенных условиях могут сами становиться источниками различных видов разрушающих воздействий.
Особую опасность для среды облачных вычислений представляют разрушающие
воздействия, которые нарушают функционирование подсистем гипервизора, отвечающих
за планирование задач и верификацию команд на их соответствие требованиям
информационной безопасности. Возникающие угрозы необходимо не только оперативно
выявлять, но и блокировать используемые злоумышленниками неавторизованные каналы
информационных воздействий, которые в среде облачных вычислений обычно
реализуются в скрытых для гостевых ОС режимах. Для создания средств контроля
доступа, повышающих эффективность обнаружения и блокирования скрытых угроз,
требуются модели безопасности информационных ресурсов, учитывающие
специфические свойства потенциальных угроз, активный характер субъектов и объектов
взаимодействия, включая особенности выполнения операций на уровне всех компонентов
гипервизора. С учетом вышесказанного, противодействие скрытым угрозам
информационной безопасности в среде облачных вычислений, направленных на модификацию программных кодов, подмену субъектов и объектов информационного обмена, нарушение целостности и доступности ресурсов, блокирование доступа и навязывание ложной информации, является актуальной научно-технической задачей, решению которой посвящена данная диссертационная работа.
Целью исследования является разработка моделей и метода противодействия скрытым угрозам информационной безопасности в среде облачных вычислений.
Для достижения поставленной цели в диссертационной работе были решены следующие задачи:
-
Разработана модель скрытых угроз информационной безопасности, учитывающая активный характер субъектов и объектов информационного взаимодействия.
-
Разработана модель операций, происходящих с данными при их обработке в среде облачных вычислений, позволяющая формализовать описание информационных процессов в виде мультиграфа транзакций.
-
Разработан метод противодействия скрытым угрозам, основанный на использовании модели операций и оценке уровня информационной безопасности проводимых транзакций.
-
Разработан алгоритм предикативной идентификации скрытых угроз, основанный на использовании матрицы инциденций мультиграфа транзакций и правил, отражающих требования политики безопасности для гостевых ОС и подсистем гипервизора.
-
Создан опытный образец программного обеспечения «Монитор-Альфа» и проведена его апробация при защите от скрытых угроз информационной безопасности в среде облачных вычислений.
Методы исследования: для решения сформулированных задач использовался аппарат теории графов, теории алгоритмов, теории вероятностей, теории игр, методы защиты информации и компьютерного реверс-инжиниринга.
Объект исследования: скрытые угрозы информационной безопасности в среде облачных вычислений.
Предмет исследования: модели, методы и алгоритмы обнаружения скрытых угроз на уровне гипервизора среды облачных вычислений и гостевых операционных систем виртуальных машин (ВМ).
Научная новизна работы результатов диссертации заключается в разработке:
-
Модели скрытых угроз информационной безопасности, в которой учитывается активный характер субъектов и объектов информационного взаимодействия.
-
Модели операций, позволяющей представить формализованное описание информационных процессов в среде облачных вычислений в виде мультиграфа транзакций.
-
Метода противодействия скрытым угрозам, основанного на контроле транзакций, отвечающих требованиям политики безопасности.
Положения, выносимые на защиту:
1. Модель скрытых угроз информационной безопасности в среде облачных вычислений, учитывающая активный характер субъектов и объектов информационного взаимодействия.
-
Модель операций, происходящих с данными при их обработке в среде облачных вычислений, позволяющая представить формализованное описание безопасных информационных процессов в виде мультиграфа транзакций.
-
Метод противодействия скрытым угрозам в среде облачных вычислений, основанный на контроле транзакций, отвечающих требованиям выбранной политики безопасности.
-
Алгоритм идентификации скрытых угроз, основанный на предикативном анализе мультиграфа транзакций и верификации команд, выполнение которых не нарушает требований безопасности на уровне процессов гостевой ОС и гипервизора среды облачных вычислений.
Обоснованность и достоверность представленных в диссертационной работе научных положений обеспечивается проведением анализа исследований в данной области и апробацией полученных результатов в печатных трудах и докладах на всероссийских и международных научных конференциях.
Практическая значимость работы. Результаты исследований, полученные в ходе
выполнения диссертационной работы, были успешно апробированы автором при
создании VIPNet ОfficeFirewall 3.0(ОАО «ИнфоТеКС»), при создании модуля
проактивной защиты программного продукта «Антивирус Касперского», при разработке
авторского программного комплекса «Монитор-Альфа», при выполнении ряда
договорных научно-исследовательских работ со стороны заказчика (ЗАО РНТ, ФГУП НИИ «Квант», НПО РУСНЕТ, НПО ФРАКТЕЛ), а также в учебном процессе и научных исследованиях на кафедре «Телематика» ФГБОУ ВПО «СПбГПУ» по дисциплинам «Сети ЭВМ и телекоммуникаций» и «Методы и средства защиты компьютерной информации».
Апробация и публикация результатов работы.
Основные результаты исследования обсуждались на Общероссийской научно-
технической конференции Информационная безопасность регионов России, Санкт-
Петербург, 2013 г.; на научном семинаре Центра подготовки специалистов компании
«ИнфоТеКС», Москва, 2012 г.; на научном семинаре Департамента антивирусных
исследований компании «Лаборатория Касперского», Москва, 2012 г.; на научно-
практической конференции MicroSoft «Современные подходы в построении защищенных
систем», Москва, 2011 г.; на международном семинаре компании IBM «Новые
технологии в области создания защищенных ОС», Москва, 2008 г.; на IV межвузовской
конференции молодых ученых, Санкт-Петербург, 2007 г.; на XI научно-практической
конференции «Теория и технология программирования и защиты информации», Санкт-
Петербург, 2007 г.; на научно-технической конференции «День антивирусной
безопасности», Санкт-Петербург, 2007 г.; на XXXVII научной и учебно-методической
конференции СПбГУ ИТМО, Санкт-Петербург, 2008 г.; на 9 Международной научно-
практической конференции, Таганрог, 2008 г.
Основные результаты и положения работы опубликованы в 20 научных статьях, в том числе
10 статей в изданиях, входящих в перечень Высшей аттестационной комиссии
Министерства образования и науки Российской Федерации.
Структура и объем диссертационной работы. Диссертационная работа объемом 144 машинописные страницы, содержит введение, четыре главы и заключение, список литературы, содержащий 91 наименование, и 1 приложение. Общий объём работы – 144 страницы, 20 рисунков и 17 таблиц.
Анализ современных подходов и технологий защиты информационных ресурсов среды облачных вычислений
Принцип «невидимости» основан на том, что существуют недокументированные состояния в системе, которые никак не различимы для монитора безопасности и которые позволяют вредоносному кода маскироваться под штатный процесс.
Под определением «руткиты» понимается набор утилит или специальный модуль ядра, которые злоумышленник использует для скрытого встраивания в операционные системы пользователей вредоносного программного обеспечения(ВПО).
Под вредоносностью понимается способность программ нанести ущерб вычислительной системе посредством блокирования, хищения, уничтожения и несанкционированной передачи информации.
Среда облачных вычислений - это совокупность вычислительных ресурсов в виде виртуальных машин, предоставляемых пользователю с помощью общих сервисов доступа. Физический уровень облачной системы состоит из аппаратных ресурсов, которые необходимы для обеспечения предоставляемых сервисов, и, как правило, включает серверы, системы хранения и сетевые компоненты. Рассматриваемые облачные системы относятся к типу «инфраструктура как сервис», и для них характерно наличие гипервизора для управления вычислительными ресурсами, который рассматривается как дополнительный источник уязвимостей, список которых с каждым годом увеличивается. Применение технологий облачных вычислений определяет необходимость рассмотрения возможных способов дестабилизирующих воздействий, приводящих к нарушению функционирования компонентов информационной среды.
Характерной особенностью современной среды облачных вычислений является активный характер субъектов и объектов информационного взаимодействия. Это позволяет рассматривать целевую функцию системы безопасности как сохранение конфиденциальности, целостности и доступности программных и инфраструктурных сервисов, предоставляемых в режиме удаленного доступа в условиях динамического изменения состояния вычислительных ресурсов. В современных антивирусах, обманных системах защиты и сканерах безопасности не учитываются угрозы, которые реализуются внутри периметра безопасности, Разработчики программно-технических средств защиты руководствуются собственными представлениями о создании прототипа продукта, используя традиционные шаблоны реализации механизмов безопасности, именно поэтому зачастую представленные на рынке средств защиты информации (СЗИ) обладают множеством общеизвестных уязвимостей даже в условиях применения новейших технологий. Построение перспективных механизмов обеспечения безопасности в среде облачных вычислений связывается не с защитой от выявленных уязвимостей, а заключается в возможности предотвращения новых неизвестных методов проведения атак, в разработке новых моделей угроз и методов предотвращения или отражения компьютерных атак на информационные ресурсы, которые используют возможности предикативной идентификации скрытых каналов и потенциально опасных процессов информационного взаимодействия.
В сложившихся условиях развития рыночной экономики специалистами в разных странах все большее внимание уделяется вопросам разработки средств защиты, позволяющих противодействовать угрозам информационной безопасности со стороны злоумышленников, на основе единого концептуального подхода, сочетающего в себе преимущества разных методов защиты информации. Развитие средств, методов и форм автоматизации процессов обработки информации и массовое применение персональных компьютеров, обслуживаемых неподготовленными в специальном отношении пользователями, делают информационный процесс уязвимым по ряду показателей [6].
Причины, обуславливающие возникновения уязвимостей в среде облачных вычислений, следующие: - объем обрабатываемой информации постоянно увеличивается с учетом расширения информационного пространства сетей общего и специального назначения; - в современных вычислительных комплексах используются программно-технические средства, различных по своей архитектуре, функциональным возможностям и целевого назначения; - доступ к ресурсам вычислительных комплексов получает все большее число пользователей, операторов в связи с применением Internet-технологий; - за счет использования новых, не прошедших длительную апробацию в различных социальных структурах технологий увеличивается вероятность возникновения новых классов уязвимостей; - низкий уровень компьютерной грамотности пользователей, недостаточная квалификация системных администраторов; - использование передачи информации с использованием Wi-Fi сетей беспроводного доступа, что значительно упрощает злоумышленника процесс несанкционированного съема информации, распространяемой за пределы контролируемой зоны.
Для подтверждения сказанного следует посмотреть на Рис. 1.1.-3. Количество опубликованных за период с 2006 по 2013 годы атак, использующих функциональные уязвимости всех современных ОС (Windows, Linux, Mac OS, QNX, Solaris, VMS ).
Модель скрытых угроз информационной безопасности в среде облачных вычислений
Для среды облачных вычислений одной из главных проблем управления является неравномерность запроса ресурсов со стороны клиентов. Для сглаживания неравномерности предоставления сервисов, т. е. распределения ресурсов между реальным аппаратным обеспечением и облачным программным обеспечением, используют промежуточный слой серверной виртуализации. Серверы, выполняющие приложения, виртуализируются. Балансировка нагрузки осуществляется как средствами программного обеспечения, так и средствами распределения виртуальных серверов по физическим узлам. Виртуализация в среде облачных вычислений позволяет получить доступ к потенциально большому количеству вычислительных мощностей без больших расходов на запуск ресурсоемких вычислений.
Основой построения облачных сервисов является гипервизор. Под гипервизором обычно понимают программу или аппаратную схему, обеспечивающую одновременное исполнение нескольких операционных систем на одном сервере виртуализации. Гипервизор позволяет изолировать различные ОС друг от друга. Условно можно разделить гипервизоры на два типа: «тяжелые» и «легкие». «Тяжелый» гипервизор Xen(kvm) предоставляет ОС, запущенным под его управлением сервис виртуальной машины, эмулируя реальное аппаратное обеспечение. «Легкий» гипервизор Linux Container (LXC) – система виртуализации на уровне операционной системы для запуска нескольких изолированных экземпляров ОС Linux. Ключевым преимуществом «тяжелого» гипервизора по сравнению с LXC является возможность, с помощью сервиса виртуальных машин, поддерживать работу нескольких различных ОС на одном сервере виртуализации. Однако необходимость трансляции команд одной ОС в команды другой может отрицательно сказаться на производительности приложений.
При использовании LXC нет необходимости трансляции команд между операционными системами, что должно сказаться на производительности в лучшую сторону, однако отсутствие сервиса виртуальных машин ограничивает использование LXC рамками одной операционной системы.
При объединении виртуальных машин на физических серверах растут требования к производительности работы сети на платформе. Однако вместо реализации работы сети виртуальных машин на физическом уровне платформы можно также виртуализировать их локальное взаимодействие.
Технологии облачны х вычислений (cloud computing), в большей степени являясь средством предоставления пользователю инфраструктур вычислительных ресурсов общего назначения, не могут полностью заменить технологические средства при организации вычислений на территориально-распределенных кластерных системах.
О днако представляется ценным использование облачных технологий для решения следующих вопросов организации вычислений : предоставление по запросу пользователя вычислителя с необходимой архитектурой, ОС и другими параметрами; изоляция пользовательских программ и данных на уровне виртуальных машин; квотирование вычислительных ресурсов со стороны администраторов вычислительной системы (ограничение сверху параметров создаваемого виртуального кластера). Основное назначение ПО данного уровня следующее: скрытие от пользователя топологических особенностей распределенной системы; гарантированное отсутствие несанкционированного доступа к ресурсам среды облачных вычислений за счет использования грид технологий для межкластерного взаимодействия; прозрачный доступ к ресурсам среды облачных вычислений, состоящего из вычислительных ресурсов нескольких серверов, входящих в состав территориально-распределенной системы обработки информации; возможность создания трасс обработки специальной информации высокой сложности и большой вложенности, за счет предоставления пользователю полной свободы по управлению вычислительными ресурсами в рамках предоставляемого интерфейса; предоставление задачам совокупных вычислительных ресурсов нескольких вычислительных систем.
Имеются проблемы реализации рассматриваемой технологии. Так как каждая информационная система, входящая в состав территориально-распределенной системы обработки, функционирует под управлением главного сервера, то при совместном использовании вычислительных ресурсов нескольких серверов требуется решать проблемы синхронизации очередей (организация общей очереди) заданий.
В среде облачных вычислений создается виртуальный вычислитель с заявленными параметрами и развернутым на нем ПО, реализующий выбранный способ обработки. При этом пользователю гарантируются:
Применение метода предикативной идентификации процессов для защиты от скрытых угроз информационной безопасности
Определение 1. Контекст выполнения запроса – это дерево реберных графов для каждого узла мультиграфа транзакций с идентификатором context_id и набором меток s ,Ord,Context_type.
Изменение контекста выполнения запроса формализуется в виде матрицы инциденций гипервизора. Неоднозначность переходов объясняется существованием неконтролируемых состояний.
Суть предлагаемого подхода заключается в представлении скрытой угрозы в виде функции предикатов, переменные которые явно инициализируются. Функция предикатов разрешима для всех наборов переменных. Решение задачи противодействия скрытым угрозам формализуется с использованием набора предикатов, что позволяет представить функции оценки допустимости переходов в мультиграфе транзакций в виде набора таблиц правил политики безопасности .
Правила разграничения доступа, составляющие основу политики безопасности, включают в себя и ограничения на механизмы инициализации процессов доступа. В рамках данной модели операций формализованное описание скрытых угроз сводится к появлению контекстно-зависимых переходов в мультиграфе транзакций . 3.2. Применение метода предикативной идентификации процессов для защиты от скрытых угроз информационной безопасности.
Метод основан на том, что набор меток {m} для «раскрашивания» мультиграфа транзакций представляется значениями предикатов s,Ord,context_type. Поэтому каждый запрос пользователей ВМ к информационным ресурсам формально описывается в виде кортежа предикатов (2.3.2) и поля идентификатора Context_id. Изменение контекста выполнения запроса приводит к изменению матрицы инциденций гипервизора. Неоднозначность переходов между узлами мультиграфа объясняется существованием неконтролируемых состояний гипервизора. Однако, как показано в главе 2, связанные с этими состояниями функции предикатов разрешимы для всех наборов контролируемых переменных. Поэтому наряду с описанием информационных процессов с помощью мультиграфа транзакций для каждого отдельного процесса строится граф порожденных им процессов, которые связаны общим идентификационным номером Context_idi и наборами меток. Последовательность шагов для реализации предлагаемого подхода следующая: 1. Сначала создается мультиграф транзакций для заданной среды облачных вычислений на основе предложенной модели операций. 2. Контекст выполнения запроса представляется в виде набора меток {m}. 3. Осуществляется анализ корректности завершения команд.
В результате правила выбранной политики безопасности формулируются в терминах, которые задают последовательность обработки операций и ограничений на повышен ие привилегий процессов на всех уровнях модели, представленной на рис. 2.3.1. При этом на каждом уровне иерархии S1-S8 ведется протоколирование событий и результатов, включая : T – время; Res - результат выполнения операций. Мультиграф транзакций «раскрашивается» с помощью набора меток, а ограничение на повышение привилегий и контроль переходов при изменении контекста задаются значением Pi. = (s, Ord, context_type). Для контроля выполнения потоков, порождаемых субъектами доступа, реализуется принцип наименьших привилегий
Переменная s явным образом не переопределяется при формировании транзакций(обращений к системным модулям ядра). Переменная s не только определяет системные дескрипторы, но и идентифицирует контекст процессов-потоков ( см. Рис. 3.2.1 ) Если бит s = 0, то процесс получает статус System с делегированием максимального уровня полномочий(возможность выполнять привилегированные команды процессора), если бит s = 1, то процессу приписывается статус обычного приложения.
Набор меток {m} для «раскрашивания» мультиграфа представляют собой значения предикатов (s, Ord, context_type). Каждый запрос пользователей ВМ формально описывается в виде кортежа данных s,Ord, Context_type и поля идентификатора Context_id.. Поле Ord было названо автором от сокращения французского слова Ordinance – приказ, подчинение. Ord – поле, которое инициализирует статус потока ядра и определяет, будет ли запущенный процесс-поток базовым или порожденным. Если полю Ord присваивается значение 0, то объект описывает базовый(роди тельский) процесс(поток), если значение 1, то в системе запускается дочерние(порожденные) процесс(потоки).
Эффективность алгоритма предикативного поиска при защите информации в среде OpenStack .
С одной стороны, S8 является самым низкоуровневым c точки зрения программной спецификации, с другой, - он не включает слой машинно-специфического кода и реализует функционал на самом привилегированном уровне модульной структуры гипервизора. Программный модуль представляет собой расширение среды окружения системных процессов, представляет собой «антируткит» под названием Альфа-монитор (непосредственно взаимодействует с физическим оборудованием на уровне гипервизора и получает управление на этапе инициализации, до загрузки ОС сервера виртуализации). В отличие от аппаратно-программных средств доверенной загрузки данный агент «явно» не использует системные вызовы BIOS (08h /09h /13h/ 21h) на этапе загрузки, демаскируя свое присутствие, а считывает необходимую информацию из внутренних таблиц исполнительного модуля процессора - KPROCESSOR-CID-таблиц. После теста оборудования при первоначальном включении и успешного выполнения BIOS-POST процедуры происходит инициализация физических устройств. Затем управление передается загрузочному устройству. В таблице мастера загрузки хранится информация о загружаемом образе ОС, о кодах файловой системы, ключевых режимах загрузки.
Загрузчик гостевой операционной системы предварительно создает сегменты инициализации, глобальные переменные окружения системных процессов, «нулевые» страницы физической памяти, настраивает указатели на адресное пространство нулевого и третьего колец защиты (макросы USER_LEVEL_SPACE и KERNEL_LEVEL_SPACE, которые задают диапазон сегментов памяти ядра и обычных приложений). На данном этапе формируются дескрипторные таблицы, происходит распознавание PE-структуры загружаемого ядра ОС в среде OpenStack..
Поскольку в нулевом кольце защиты только процессор может изменять контекст выполнения потоков и осуществлять операции «теневого» копирования исполняемого кода во внутренние регистры, подлежащего дальнейшему декодированию в конвейере обработки команд (в противном случае, привилегированный модуль вызовет особый случай нарушения физической защиты). На уровне исполнительного региона процессорного модуля на этапе загрузочной инициализации создается KPROCESSOR-CID-таблица, причем «прямое» обращение к ней вызывает исключение.
Для реализации предлагаемого автором подхода уже на аппаратном стенде необходимо найти возможность корректного встраивания без демаскирования своего присутствия за счет дополнительных аппаратных модулей на плате, файлов конфигурации на съемных носителях: используется только загрузка модуля защиты на уровне гипервизора «антируткита» Альфа-монитор, входящего в состав дистрибутива антивирусного ПО (без установки дополнительного отладочного ПО сторонних производителей) Гипервизор загружает гостевую ОС для расширенного управления защищенным режимом и обеспечивает поддержку аппаратных ядер процессорных модулей разных разработчиков.
Таким образом, на клиентских вычислительных средствах с учетом их разной аппаратной конфигурации «сценарий настройки» выполняет штатная операционная система. Загрузка модуля «антируткита» Альфа-монитор позволяет одновременно подгружать в его адресное пространство дополнительные библиотеки агента контроля и защиты .
При этом даже не нужно вручную активировать режим отладочной сессии, поскольку поддержка отладчика реализована в ядре гостевой ОС и интерфейс межпроцессного взаимодействия (Interception Channel) позволяет динамически подключаться к модулю отладчика за счет прав привилегированного доступа Альфа-монитора в среде OpenStack ( рис. 4.2.1)
При проведении эксперимента необходимо учитывать то обстоятельство, что вредоносный код может переходит из Si Si+1 состояние последовательно или может менять контекст исполняемых процессов, перехватывать обращения к системным функциям и осуществлять «скачки» Si Si+2 , причем значения индексов могут быть четными или нечетными: кратные 2 или 3. Исходя из выше указанных предположений(гипотез) были выбраны следующие весовые коэффициенты и параметры идентификации ( таблица 4.2).
