Содержание к диссертации
Введение
ГЛАВА 1 Анализ задачи выявления аномального поведеншгпроцессов в операционных системах 14
1.1 Введение 14
1.2 Классификация основных признаков атак 17
1.3 Классификация основных источников признаков атак 23
1.4 Классификация методов обнаружения атак 24
1.5 Анализ основных методов обнаружения атак на основе поведения субъектов в операционной системе 28
1.6 Основные принципы построения системы обнаружения аномального поведения процессов в операционной системе 40
Выводы по первой главе 40
ГЛАВА 2. Разработка архитектуры системы обнаружения аномального поведения процессов в микроядерной операционной системе 42
2.1 Задача обнаружения аномального поведения процессов в МОЄ ВС 42
2.2 Нарушение свойств безопасности информации в ОС ВС 45
2.3 Анализ архитектуры исследовательской МОС MINIX
2.3.1 Архитектура процесса в МОС 46
2.3.2 Менеджер процессов 51
2.3.3 Функции микроядра 53
2.3.4 Системное задание 55
2.3.5 Интерфейс системных вызовов 59
2.4 Классификация вредоносных программ 61
2.4.1 Классификация по методике заражения системы 61
2.4.2 Классификация по наносимому ущербу 62
2.4.3 Анализ функциональных и поведенческих характеристик вредоносных программ
2.5 Разработка архитектуры системы обнаружения аномального поведения процессов 78
2.5.1 Статистическая модель процесса в операционной системе 85
2.5.2 Модульная структура СОАПП 86
Выводы по второй главе 88
ГЛАВА 3. Разработка алгоритмов классифкации аномального поведения процессов в микроядерной операционной системе на базе нейронной сети 89
3.1 Задача сбора статистики поведения процессов в МОС ВС 89
3.2 Алгоритм анализа состояния поведения процессов в МОС ВС 96
3.3 Задача классификации поведения процессов на базе нейронной сети 104
Выводы по третьей главе 107
ГЛАВА 4 Реализация системы обнаружения аномального поведения процессов, в микроядерной операционной системе 108
4.1 Реализация модуля сбора статистики поведения процесса 108
4.2 Реализация модуля анализа состояний процессов 111
4.3 Реализация нейросетевого модуля классификации 113
4.4 Сравнительный анализ классификаторов различных типов 116
Заключение 119
Список использованных источников
- Классификация основных источников признаков атак
- Анализ архитектуры исследовательской МОС MINIX
- Алгоритм анализа состояния поведения процессов в МОС ВС
- Реализация нейросетевого модуля классификации
Введение к работе
Актуальность темы
Основной задачей исследований в области защиты информации является совершенствование известных и разработка новых методов, алгоритмов обеспечения безопасности информации в процессе ее сбора, хранения, обработки, передачи и распространения. В документе «Приоритетные проблемы научных исследований в области обеспечения информационной безопасности Российской Федерации» приведен список приоритетных направлений научных исследований, в числе которых под номером 63 указано следующее: «Исследование проблем обнаружения компьютерных атак на информационно-телекоммуникационные системы и противодействия компьютерному нападению». Статистика по числу инцидентов в области информационной безопасности, приводимая в различных Интернет-изданиях, показывает, что многие методы проведения атак на информационные системы (ИС) в некоторых случаях не удается распознать с использованием существующих средств защиты информации. Этот недостаток может привести к нарушению конфиденциальности, целостности или доступности информации. Возникают задачи, связанные с созданием методов и алгоритмов, способных достоверно распознавать новые типы атак и предупреждать их распространение в ИС.
Одним из уязвимых мест ИС является программное обеспечение. Большинство атак направлено на использование существующих известных уязвимостей прикладного и системного программного обеспечения. Существующие средства защиты информации достаточно эффективно справляются с обнаружением известных типов атак на основе их сигнатур. В то же время существует иной класс атак, для которых сигнатуры не известны. Обнаружение и предотвращение атак с неизвестными сигнатурами наиболее сложная и нетривиальная задача. К сложному по архитектуре и реализации системному программному обеспечению относятся операционные системы.
Существует множество классификаций типов операционных систем и областей их практического применения. Как показал анализ, выделяют три типа операционных систем: монолитные, микроядерные и гибридные. Монолитные и гибридные архитектуры в основном применяются в серверных многопользовательских системах и персональных компьютерах общего назначения. К основным особенностям указанных архитектур следует отнести высокую сложность реализации и подверженность к нестабильной работе в случае нарушения работоспособности отдельных программ, входящих в состав операционной системы (драйверы устройств, подгружаемые модули ядра и т.п.). К достоинствам относится их универсальность. Микроядерные операционные системы в большинстве случаев имеют практическую применимость в классе встраиваемых систем. Под встроенными системами понимаются механические или электронные устройства, управляемые вычислителем, встроенным в само устройство. Примеры встраиваемых систем: автоматизированные системы управления технологическими процессами, технические системы защиты информации, бортовые компьютеры летательных аппаратов,
SCADA-системы, телекоммуникационные устройства, платежные терминалы и т.п. Область применения встраиваемых систем расширяется с каждым годом. В некоторых случаях возможна интеграция их в сетевые приложения. С точки зрения информационной безопасности во встраиваемых системах применение распространенных средств защиты информации оказывается малоэффективным ввиду специфики встраиваемых систем, области их приложений и ограниченной номенклатуры используемых программных средств. В результате анализа выяснилось, что известные типы атак также могут нарушать безопасность микроядерных операционных систем встраиваемых устройств. В данной работе рассматривается задача обеспечения безопасности микроядерных операционных систем на примере встраиваемых систем, обладающими внешними интерфейсами взаимодействия.
Вопросам обнаружения атак на различные компоненты ИС посвящены исследования В. И. Васильева, Д. Денинг, А. В. Лукацкого, А. В. Мельникова, Ю. В. Романец, С. Форестер, В. Ф. Шаньгина, и др. Несмотря на это область исследования безопасности встраиваемых систем недостаточно проработана: к нерешенным задачам можно отнести анализ в реальном времени аномального поведения вычислительных процессов микроядерных операционных систем. В результате анализа выяснилось, также, что при разработке систем обнаружения атак в недостаточной мере используются потенциал нейросетевых классификаторов. Таким образом, задача разработки эффективных методов и алгоритмов обнаружения атак на ИС с микроядерными операционными системами является актуальной.
Цель и задачи исследования
Объектом исследования в работе является обеспечение основных свойств информационной безопасности вычислительных процессов в микроядерной операционной системе (МОС). В качестве предмета исследования рассматриваются методы и алгоритмы распознавания аномального поведения вычислительных процессов на основе технологий искусственных нейронных сетей.
Целью исследования является повышение защищенности микроядерных операционных систем на основе методов и алгоритмов распознавания аномального поведения процессов.
Для достижения поставленной цели в работе были сформулированы следующие задачи:
1. Разработка принципов построения системы обнаружения аномаль
ного поведения вычислительных процессов микроядерных операционных
систем.
2. Разработка модели вычислительного процесса в микроядерной
операционной системе на основе сбора статистики штатного поведения вы
числительных процессов, необходимой для решения задачи распознавания
аномального поведения вычислительных процессов и выявления новых ти
пов атак с неизвестными сигнатурами.
3. Разработка метода и алгоритмов для нейросетевой системы обна-
ружения аномального поведения вычислительных процессов в микроядерной операционной системе.
Разработка исследовательского прототипа нейросетевой системы обнаружения аномального поведения вычислительных процессов в микроядерной операционной системе, реализующей функции сбора статистической информации о поведении вычислительных процессов и классификацию состояний на основе самообучаемой нейронной сети.
Оценка эффективности предложенного метода и алгоритмов на базе микроядерной операционной системы.
Методы исследования
При работе над диссертацией использовались: методология защиты информации, методы системного анализа, теория множеств, теория вероятности, теория моделирования дискретных систем, теория нейронных сетей. Для оценки эффективности предлагаемых решений использовались методы математического и имитационного моделирования.
Основные научные результаты, полученные автором и выносимые на защиту
Принципы построения системы обнаружения аномального поведения вычислительных процессов в микроядерной операционной системе, для осуществления сбора статистической информации о поведении системных процессов на уровне микроядра и распознавания класса поведения на основе нейросетевого классификатора.
Модель вычислительного процесса в микроядерной операционной системе на основе сбора статистики штатного поведения вычислительных процессов.
Метод и алгоритмы обнаружения аномального поведения вычислительных процессов на основе иерархической структуры микроядерной операционной системы, модели вычислительного процесса и нейронных сетей.
Методика обнаружения аномального поведения вычислительных процессов в микроядерной операционной системе на базе нейронной сети.
Обоснованность и достоверность результатов диссертации
Обоснованность результатов, полученных в диссертационной работе, базируется на использовании апробированных научных положений и методов исследования, корректным применением математического аппарата, согласованности новых результатов с известными теоретическим положениями.
Достоверность полученных теоретических положений и выводов подтверждается результатами имитационного моделирования, апробации и промышленного внедрения предложенных алгоритмов обнаружения аномального поведения процессов.
Практическая ценность работы
1. Обеспечивается повышение эффективности решения задач защиты информации в микроядерной операционной системе.
Разработан алгоритм обнаружения аномального поведения вычислительных процессов в микроядерной операционной системе на базе нейронной сети, позволяющий решать задачи обеспечения информационной безопасности.
Результаты исследования приняты к внедрению в виде программного прототипа для анализа поведения вычислительных процессов телекоммуникационного оборудования в Уфимский филиал ОАО «Вымпелком» (Билайн).
Связь исследований с научными программами
Исследования выполнялись с 2006 г. по 2010 г. на кафедре вычислительной техники и защиты информации Уфимского государственного авиационного технического университета, в том числе в рамках гранта РФФИ № 07-08-00386 «Методы и алгоритмы интеллектуального управления информационной безопасностью высшего учебного заведения» (2007-2009 гг.)
Апробация работы
Основные научные и практические результаты диссертационной работы докладывались и обсуждались на следующих конференциях:
2-я региональная зимняя школа-семинар аспирантов и молодых ученых. Интеллектуальные системы обработки информации и управления, Уфа, 2007;
XXXIII Международная молодежная научная конференция «Гага-ринские чтения». Научные труды в 8 томах, Москва, 2007 г.;
Всероссийская молодежная научная конференция с международным участием «IX Королевские чтения», Самара, 2007 г.
10, 11, 12 Международные научные конференции «Компьютерные науки и информационные технологии» (CSIT), Красноусольск, 2007 г., Анта-лия, Турция 2008, Крит, Греция, 2009;
Всероссийская молодежная научная конференция «Мавлютовские чтения», Уфа, 2007 г., 2008 г., 2009 г.;
Всероссийская научно-техническая конференция с международным участием «Актуальные проблемы информационной безопасности. Теория и практика использования программно-аппаратных средств», Самара, 2008 г.;
4-я региональная зимняя школа-семинар аспирантов и молодых ученых. Интеллектуальные системы обработки информации и управления, Уфа,
2009 г.;
Всероссийская научно-техническая конференция студентов, аспирантов и молодых ученых, г. Томск, 2009 г.;
III Международная научно-практическая конференция «Актуальные проблемы безопасности информационных технологий», Красноярск, 2009 г.;
Научно-техническая конференция «Свободный полет», Уфа, 2010 г.
Зимняя школа-семинар молодых ученых и аспирантов, Уфа,
2010 г.
Публикации
Результаты диссертационной работы отражены в 16 публикациях: в 11 научных статьях, в том числе 1 статья в рецензируемом журнале из списка периодических изданий, рекомендованных ВАК, в 5 тезисах докладов в материалах международных и российских конференций.
Структура и объем работы
Диссертационная работа состоит из введения, четырех глав, заключения, приложений, библиографического списка и изложена на 154 страницах машинописного текста. Библиографический список включает 82 наименования литературы.
Классификация основных источников признаков атак
Широко распространенным признаком атак является повтор определенных событий в системе. Злоумышленник при условии недостаточной информации о системе при проведении атакиповторяет определенные действия для получения несанкционированного доступа1 к системе. Примерами таких» действий могут являться: - сканирование: открытых неуязвимых портов; - подбор пароля:
Существенным, недостатком, данного; признака: является ТОЇ чтої злоумышленник может быть - осведомлен об уязвимых; ш открытых: портах ві системе, а также осуществил перехват пароля иным способом. В этом/случае по-второв І данных событий: в системе не происходит. Анализ данного признака можно осуществлять.следующими методами[-25]; - контроль пороговых значений;. - контроль,временных интервалов;: - контроль шаблонов;
В;случае метода:контроля:пороговых значений -контролируетсящекото- рьш порог, позволяющий отличить санкционированные повторы от несанкционированных. Несанкционированные повторы могут соответствовать, как обычным ошибкам, так и атакам: В?любом случае все превышения порогового уровня будут обнаружены. Недостатком контроля пороговыхзначенийяв-ляетсятоі что неправильный выбор порогового значения можетПрИВЄСТИ:ЛИ-боюпроблеме false negative, либо.кпроблеме false positive. Иными; словами, в случае задания:слишком малого значения-порога контроль сведется к;очень, частым срабатываниям системы обнаружения атак, т.е. к.ложному обнаружению: В? случае задания слишком большой величины некоторые атаки могут остаться необнаруженными.
Примером контроля временных интервалов: может служить метод обнаружения сканирования портов; В этом случае оценке подвергается: число обращений к порту некоторого сервиса за определенный промежуток времени. В І случае превышения заданного временного интервала сигнализируется попытка атаки на систему. Недостатком данного подхода являются также проблемы пропуска атаки или ложных срабатываний в случае неправильно подобранных временных интервалов. Кроме того; существуют автоматизированные методььобхода метода контроля временных интервалов, реализовант ные в: программе nmap [wvw.nrhap.org];; при котором: программа; способна-осуществлять, сканирование системы за: достаточно большой-: промежуток времени, указанныйшользователем, не превышаязаданный порог.
Метод шаблоновшналогичен: методу генерации: сигнатур-для: вредонос ного кода, используемого в:антивирусных средствах защиты. В; данном слу чае для: определенных известных типов, атак, создается некоторое:описание атаки с указанием;, например, портов, сервисов.» иных данных, содержащих ся; в: полях сетевых протоколов стека ТЄЕ/ІРІ При; совпадении данных; со держащихся в. сетевом: пакете;,с шаблоном- сигнализируется наличие;атаки. Недостатком данного? метода является то; что= необходимо поддерживать в актуальном; состоянии базу шаблонов; содержащую все известные атаки, а также отсутствие способности к обнаружению1 новых атак- с: неизвестным шаблоном., "
Признак «некорректные команды» характеризуется тем; что при взаимодействий двух участников информационного обмена заранее известны» ответы со стороны. ПО на определенные типы запросов. При нарушении:последовательности команд или их семантики) возникает ситуации аналогичная той, при которой происходит подмена одного из участников информационного обмена, что может сигнализировать об ошибке в ПО, либо наличии ата-т ки. Недостатком подобных систем является.то, что последовательностьи семантика, взаимодействия: ПО во многих случаях не известна, что может приводить как к ложным срабатываниям, так и к пропускам атак.
Хотя любой из представленных в классификации признаков атаки является некоторой уязвимостью системы, в. [25]: выделено использование средств обнаружения уязвимостейв признак атаки. Так как на этапе исследования системы использование автоматизированных средств анализа уязвимых мест злоумышленником во многих случаях может сигнализировать об атаке. Выделяется два аспекта обнаружения таких средств: - обнаружение использования средств сканирования; - обнаружения факта реализации атаки. Недостатком данного подхода является то; что1 санкционированное применение автоматизированных средств анализа уязвимостей может вызывать ложные срабатывания защитных средств, что в целом ухудшает эффективность защиты. Несоответствующие параметры сетевого трафика включают в себя многие характеристики сетевого соединения: - параметры входящего трафика; - параметры исходящего трафика; - непредвиденные адреса пакетов; - непредвиденные параметры сетевых пакетов; - аномалиичсетевоготрафика.
Примерами первых четырех характеристик сетевых соединений могут служить следующие несанкционированные действия, являющиеся признаками атаки: подмена, внешнего и внутреннего адресов источника; появление в локальной, сети немаршрутизируемых или недоступных адресов извне; совпадение адресов источника и получателя; использование в пакетах запрещенных комбинаций флагов сетевых протоколов; использование зарезервированных полей сетевых протоколов; нестандартныйразмер сетевого пакета; появление в сети большого числа фрагментированных пакетов.
Под аномалиями сетевого трафика понимаются отклонения показателей сетевой активности от эталонных. В качестве эталонных значений могут быть приняты: коэффициент загрузки сети, типичный размер пакета, среднее число фрагментированных пакетов и т.п.[2]
Анализ архитектуры исследовательской МОС MINIX
Вторая подзадача связана непосредственно с методами и алгоритмами распознавания аномальных состояний, так как неполная модель процесса или недостаточность признаков может приводить к уменьшению эффективности используемых подходов в существующих системах обнаружения аномального поведения.
В ВС выделим информационные потоки и модули, характерные для задачи распознавания аномального поведения. ВС В - все системные вызовы, совершаемые ПО при нормальном функционировании ВС; 2? - системные вызовы, которые классифицируются СОАП как допустимые для данного ПО; М - вредоносные системные вызовы, приводящие к нарушению нормального функционирования ВС и могущие привести к возникновению уязвимостей или угроз; М - вредоносные системные вызовы, неверно классифицированные СОАП.
Для обеспечения безопасности МОС необходимо выполнение условий (2.1) - надежная работа ПО, не проявляющего аномалий и (2.2) — увеличение числа обнаруживаемого вредоносного ПО, с неизвестными сигнатурами.
Таким образом, задачу обнаружения аномального поведения процессов в МОС ВС можно свести к задаче классификации состояний процессов в МОС на основе известных признаков. Результаты работы можно использовать для: 1. Выявления вредоносного ПО, могущего воздействовать на конфиденциальность, целостность и доступность информации в ВС.
2. Выявление отклонений работы системного ПО ВС в результате проявления ошибок, содержащихся в коде.
Рассмотрим влияние вредоносного ПО на безопасность информации ВС на системном уровне. В качестве примеров ВС приведем широко распространенное оборудование: - маршрутизаторы; - коммутаторы; - системы NAS (Network Access Storage) и т.п. Отдельными примерамиВС являются системы управления энергетическими комплексами (например, SCADA-системы) и бортовые системы летательных аппаратов, в которых, ввиду критичности своего функционирования, вопросы обеспечения безопасности, стоят наиболее остро.
На сегодняшний день выделено множество видов угроз и целей, направленных как на сложные комплексные ВС, например SCADA-системы, так и на автономные ВС [50].
Во-первых, вредоносное ПО может воздействовать на конфиденциальность информации: при компрометации систем сетевого хранение может происходить кража информации ограниченного распространения.
Во-вторых, целостность ВС также может быть нарушена путем воздействия вредоносного ПО на МОС ВС: подмена таблиц маршрутизации (реконфигурация) в современных коммутаторах или магистральных маршрутизаторах может привести к возникновению таких новых видов угроз как XSS (Cross Site Scripting) с последующим хищением конфиденциальной информации. В-третьих, доступность ВС нарушается вредоносным ПО путем программного отключения или перезагрузки системы, что на магистральном оборудовании может привнести существенные задержки при передаче информации или ее искажение.
Из предлагаемой модели взаимодействия. СОА1И1 с ПО и МОС, представленной на рисунке 2.2 и схемы информационных потоков в ВС видно, что функциональность ВС обеспечивается следующими основными компонентами: - микроядерная операционная система; - программное обеспечение (полезное и вредоносное); - система обнаружения аномального поведения процессов. Рассмотрим архитектуру каждой из компонент в отдельности с точки зрения обеспечиваемой функциональности и поведенческих характеристик.
Проведем анализ архитектуры исследовательской МОС с точки зрения взаимодействия процессов и компонентов МОС MINIX 3. Целью анализа является разработка архитектуры и алгоритмов функционирования модулей СОАПП, взаимодействующих с компонентами МОС MINX 3.
2.3.1 Архитектура процесса в МОС
Как было указано выше, для большинства МОС неделимой единицей выполнения является процесс. Программа пользователя, запущенная на исполнение, отображается в МОС в виде процесса. С каждым процессом связывается его адресное пространство - список адресов в оперативной памяти, которые процесс может использовать для операций чтения и записи. Адресное пространство содержит код программы, данные и стек. Со всяким процессом связывается набор регистров процессора, включая счетчик команд, указатель стека и другие аппаратные регистры, называемых контекстом МОС периодически останавливает работу одного процесса и запускает другой, если первый израсходовал отведенную для него часть рабочего времени центрального процессора - кванта. Приостановленный процесс состоит из собственного адресного пространства, обычно называемого образом памяти (core image), и компонентов таблицы процесса, содержащей значения его аппаратных регистров. Главными системными вызовами, управляющими процессами, являются вызовы, связанные с созданием и завершением процессов, которые обрабатываются менеджером процессов [71].
Для реализации модели процессов, МОС поддерживает структуры данных (массив структур), представляющую таблицу процессов, в которой для каждого процесса содержится по одной записи. Записи таблицы содержат информацию о состоянии процесса в данный момент времени исполнения процесса, значения регистра счетчика команд, регистра стека, распреде 48 лении памяти, состоянии открытых файлов, использовании и распределении ресурсов, аварийных и прочих сигналах [72].
В МОС MINIX 3 за взаимодействие между процессами, управление памятью и файлами ответственны различные модули из состава системы, поэтому таблица процессов разбита на разделы, где каждый модуль поддерживает относящиеся к нему поля. В таблице 2.1 представлены некоторые наиболее важные поля таблицы процессов МОС MINIX 3.
Алгоритм анализа состояния поведения процессов в МОС ВС
Утилиты скрытого управления- позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать.компьютер и т. д. В результате эти троянцы могут быть использованы дляї обнаружения-и. передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п. - пораженные компьютеры.оказываются открытыми для злоумышленных действий «хакеров.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличает таких «троянцев» от червей тот факт, что- они распространяются по сети не самопроизвольно, а только по специальной команде «хозяина», управляющего данной копией троянской программы.
У злоумышленника могут быть следующие цели для использования подобных программ: - увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы; - организация DoS-атаки на какой-либо сервер; - привлечение потенциальных жертв для заражения вирусами или троянскими программами. Trojan-Dropper Обычно структура таких программ следующая: Основной код Файл 1 Файл 2 Структура программ, содержащих модуль инсталляции . «Основной код»- выделяет из своего файл, а остальные компоненты (файл 1, файл 2, ...), записывает их на диск и открывает их (запускает на выполнение).
Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является «обманкой»: программой-шуткой, игрой, картинкой или чем-то подобным. «Обманка» должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то «полезное», в то время как троянская компонента инсталлируется в систему.
В результате использования программ данного класса хакеры достигают двух целей: - скрытная инсталляция троянских программ и/или вирусов; - защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа. Trojan-Spy
Шпионское программное обеспечение может попасть на компьютер пользователя двумя основными путями: - в ходе посещения сайтов «Интернета». Наиболее часто проникнове ние шпионского ПО происходит при посещении пользователем хакерских и warez-сайтов, сайтов с бесплатной музыкой и т.п. Как правило, для установки шпионского ПО применяются ActiveX-компоненты или троянские програм мы категории Trojan-Downloader. Многие хакерские сайты содержат "креки" со встроенной шпионской программой или Trojan-Downloader для ее загрузки;. в результате установки бесплатных, или, условнотбесплатных программ: Подобных программа существует великое множество, они распространяются через «Интернет» или» на пиратских компакт-дисках: Характерные" черты данных программ:. - скрытная- установка; на компьютер пользователя: шпионское; ШО обычно?устанавливается экзотическим, способом; скрытно от; пользователя;» при-этомего деинсталляцияв большинстве случаев невозможна; - скрытная загрузка, в память в процессе загрузки; компьютера: разработчики современных применяют;гооікії-технологии?для!маскировки;процесса в», памяти и файловша диске (rootkit- программный.кодилштехника? направленная на» сокрытие присутствия в. системе заданных; объектов: процес-COBJ файлов; ключей реестра и т.д:); - модификация» системных настроек;: или других программ- без. ведома пользователя. Например, шпионский; модуль может изменить - уровень- безо-пасностав настройкахбраузераилшвнестиизменения в.настройкисети;. - модификация» информации. Типовыми-,, примерами являются разные: расширения для программы Outlook; Express, которые при;» отправке письма; приписывают к нему свою информацию. Второй распространенный пример-модификация загружаемых из «Интернета» страниц.(в страницы включается, рекламная информация).
Троянские программы, этого типа; часто используются для: кражи,информации пользователей» различных систем онлайновых платежей; и банковских систем: 2.4.3.2 Клавиатурные шпионы
Клавиатурные шпионы («кейлоггер»)» образуют категорию вредоносных программ, представляющих большую угрозу для безопасности пользователя. Клавиатурный.шпион — это программа для скрытной записи вводимой с клавиатуры информации. Клавиатурные шпионы не являются вирусами или червями, так как не обладают способностью к заражению других исполняемых файлов или распространению своих копий на другие ПК. Однако это не мешает злоумышленнику приписать исполняемый файл клавиатурного шпиона к любому из исполняемых файлов по вирусному принципу для-маскировки присутствия шпиона в системе.
Клавиатурный шпион может быть,выполнен в виде самостоятельного приложения или входить в качестве одного из компонентов в троянскую или шпионскую программу.
Как правило, современный клавиатурный шпион, не просто записывает коды вводимых клавиш - он "привязывает" клавиатурный; ввод к текущему окну или. элементу ввода. Кроме того, многие клавиатурные шпионы обладают рядом-функций слеженияза пользователем, в частности, они могут: - с заданной; периодичностью записывать список запушенных приложений; - делать "снимки" экрана по заданному расписанию или событию; - следить за содержимым буфера-обмена. Записываемая информация может сохраняться на диске в открытом или зашифрованном виде. На» основании накопленной информации большинство клавиатурных шпионов могут формировать различные отчеты и передавать их по электронной почте или протоколам HTTP/FTP: Ряд клавиатурных шпионов пользуются rootkit-технологиями для маскировки. следов своего присутствия в системе. Для операционной системы. клавиатурный шпион, как правило, совершенно безопасен, однако он чрезвычайно опасен для пользователя — с его помощью злоумышленник может осуществите перехват паролей или хищение конфиденциальной информации, вводимой пользователем. Известны сотни разнообразных кейлоггеров, причем многие из них не детектируются антивирусами.
Реализация нейросетевого модуля классификации
Рассматривается разработанная программная реализация исследовательского прототипа системы обнаружения аномального поведения процессов в микроядерной операционной системе, используемой во встраиваемых системах. Рассматривается интерфейсная часть разработанных модулей СОАПП с выделением целей и задач, решаемых компонентами СОАПП. Приводится-чис-ленный эксперимент и сравнительный анализ различных классификаторов.
Реализация модуля сбора статистики поведения процесса СОАПП реализован в виде - модулей, совместно реализующих алгоритм, представленный на рисунке 4.1.
МСС представляет собой программный компонент, написанный на-языке С. Язык С выбран для реализации-СОАПП из принципа унификации кода микроядерной операционной системы MINIX 3: вся система реализована на данном языке за исключением платформозависимой части, реализованной на языке ассемблера. Кроме того, язык С позволяет достаточно просто реализовать работу с системными структурами данных МОС. Для улучшения эффективности функционирования и повышения защищенности код МСС встраивается в микроядро ОС MINIX 3.
В качестве основной цели модуля сбора статистики можно выделить сбор первичной информации из различных системных структур данных. 1. Перехват сообщений с запросами на выполнение системных вызовов, пересылаемых микроядру. 2. Сбор исходных данных о поведении процесса из системных структур МОС и секции стека процесса, либо специализированных регистров процессора. 3. Ведение БД поведенческих характеристик процессов. 4. Установка режима работы СОАПП. Интерфейсная часть МСС представлена набором функций, приведенных в таблице. Таблица 4.1 - Программный интерфейс модуля сбора статистики Наименование функции Входные параметры Выходные параметры Назначение функции Initialize() Указатель на базу данных поведенческих характеристик процессов Флаг успешной работы функции, либо сообщение об ошибке Первоначальная инициализация модуля ModeSelect() Флаги режима работы модуля Флаги режима работы модуля Установка или проверка режима работы модуля: сбор статистики поведения процессов или режим классификации поведенческих характеристик CatchMessage() Указатель на сообщение процесса с запросом на системный вызов Идентификатор процесса Перехват сообщений процессов, содержащих системные вызовы GetData() Уникальныйидентификаторпроцесса Вектор состояния процесса Формирование из системных структур МОС вектора текущего состояния процесса InsertVectorQ Указатель на вектор характеристик поведения процессов Флаг успешной работы функции, либо сообщение об ошибке Формирование и добавление вектора поведения процесса в базу данных
Главной задачей модуля анализа состояний процессов является координация действий компонентов СОАПП и МОС. В связи с этим выделен следующий ряд подзадач: 1. Поддержка актуального состояния таблицы текущего поведения процессов. 2. Оценка отклонения поведения процессов по различным статистическим характеристикам. 3. Блокирование выполнения системного вызова и уведомление пользователя системы, либо занесение соответствующей записи в журнал работы СОАПП. Модуль анализа состояния процессов также встраивается в микроядро ОС MINIX 3. Интерфейсная часть МАСП представлена основным набором функций, приведенных в таблице.
Наименование функции Входные параметры Выходные параметры Назначение функции Initialize() Указатель на базу данных поведенческих характеристик процессов Флаг успешной работы функции, либо сообщение об ошибке Первоначальная инициализация модуля UpdateTable() Уникальныйидентификаторпроцесса Номер обновленной записи в таблице, либо сообщение об ошибке Обновление статистики текущего поведения процессов в системе PID2Num() Уникальныйидентификаторпроцесса Номер процесса в таблице текущего поведения процессов Связывание номера процесса в таблице с его уникальным идентификатором GetVectorO Уникальныйидентификаторпроцесса Указатель на вектор поведения процесса Поиск в базе данных вектора текущего поведения процесса
AlarmMessageO Уникальный идентификатор процесса в операционной системе Флаг успешного завершения функции Блокировка сообщения процесса с запросом на совершение системного вызова при возможных аномальных действиях процесса; уведомление пользователя.системы об аномальном поведении определенного процесса
EvaluateQ Уникальный идентификатор процесса; вектор текущего поведения Флаг успешного завершения функции Оценка поведенческих характеристик процесса на наличие аномальности
С учетом введенных ранее обозначений, более формально функционал МАСП можно выразить следующим образом: в режиме обучения в дискретные моменты времени 0 / ta k-й процесс совершает системные вызовы si(.4 sjv +1), при этом МАСП из всех возможных атрибутов поведения процесса формирует кортеж Рк = (s, (0, Sj (t +1), ytJ, d, (0, d] (t +1)) , который помещается в БД векторов поведения процесса; в режиме классификации в некоторый дискретный момент времени ta t формируется вектор
