Содержание к диссертации
Введение
1. Проблема обнаружения файлов, представляющих собой РРСП 11
1.1 Анализ данных при расследовании инцидентов ИБ 11
1.2 Конкретизация поставленной задачи 14
1.3 Сравнительный анализ существующих способов обнаружения файлов,
представляющих собой РРСП 16
1.3.1 Классификация существующих способов обнаружения файлов, представляющих собой РРСП 16
1.3.2 Сигнатурный анализ 16
1.3.3 Статистический анализ 18
1.4 Средства обнаружения файлов, представляющих собой РРСП 27
1.5 Выводы 27
2. Теоретические и экспериментальные предпосылки обнаружения файлов, представляющих собой РРСП 30
2.1 Построение плоскости распределения 30
2.2 Статистические свойства распределения значений плотностей в столбце 33
2.3 Статистические свойства последовательности плотностей для РРСП 34
2.4 Предпосылки наличия неоднородностей в файлах, отличных от РРСП 39
2.5 Выявление неоднородностей данных в файлах сжатых форматов 42
2.6 Способ локализации отклонений в последовательности плотностей от значений, характерных для РРСП 44
2.7 Статистические свойства вейвлет-коэффициента как случайной величины для РРСП 53
2.8 Необходимое условие выявления отклонений в последовательности плотностей 55
2.9 Выводы 57
3. Разработка метода обнаружения файлов, представляющих собой РРСП, и архитектуры средства обнаружения таких файлов на основе метода 59
3.1 Метод обнаружения файлов, представляющих собой РРСП 59
3.1.1 Локализация отклонений в последовательности плотностей на основании выбора размера скользящего окна 59
3.1.2 Предлагаемый способ выбора размера скользящего окна для файлов разных размеров 60
3.1.3 Локализация отклонений в последовательности плотностей на основании выбора параметра масштаба 62
3.1.4 Предлагаемый способ выбора параметра масштаба 63
3.1.5 Предлагаемый метод обнаружения файлов, представляющих собой РРСП 63
3.2 Архитектура и реализация средства обнаружения файлов, представляющих собой
РРСП 68
3.2.1 Состав и архитектура средства обнаружения з
3.2.2 Подсистема взаимодействия с пользователем 70
3.2.3 Подсистема работы с физическим носителем информации 72
3.2.4 Подсистема построения последовательности плотностей 75
3.2.5 Подсистема анализа и подсистема принятия решения 75
3.2.6 Подсистема графического представления 76
3.2.7 Система выработки порогового значения 78
3.2.8 Анализ свободной области файловой системы и неразмеченной области электронного носителя информации 80
3.3. Выводы 80
4. Тестирование и внедрение результатов работы 83
4.1 Тестирование средства обнаружения файлов, представляющих собой РРСП 83
4.1.1 Подготовка к тестированию 83
4.1.2 Результаты тестирования средства обнаружения 84
4.1.3 Результаты тестирования набора тестов NIST 88
4.1.4 Результаты тестирования средства обнаружения на областях, перезаписанных ПО «Eraser», «wipe» 91
4.2 Внедрение метода обнаружения файлов, представляющих собой РРСП 93
4.2.1 Использование разработанного средства обнаружения для проведения судебных компьютерных экспертиз в отделе ЭКЦ ГУ МВД России по г. Москве 94
4.2.2 Использование разработанного средства обнаружения для проведения судебных компьютерных экспертиз и реагирования на инциденты ИБ экспертами Лаборатории компьютерной криминалистики и исследования вредоносного кода ООО «Группа информационной безопасности» 95
4.2.3 Использование результатов диссертационной работы специалистами ООО «ТРАСТ» 96
4.2.4 Разработка дополнения для курса «Криптографические средства обеспечения информационной безопасности» кафедры «Криптология и дискретная математика» НИЯУ
МИФИ 97
4.3 Выводы 97
Заключение 99
Список сокращений и условных обозначений 101
Список используемых источников 102
- Конкретизация поставленной задачи
- Статистические свойства последовательности плотностей для РРСП
- Локализация отклонений в последовательности плотностей на основании выбора размера скользящего окна
- Внедрение метода обнаружения файлов, представляющих собой РРСП
Введение к работе
Актуальность работы. При обнаружении инцидента информационной безопасности (ИБ) согласно ГОСТ Р ИСО/МЭК ТО 18044-2007 встает задача выявления его причин и причастных к нему лиц в рамках расследования. Проводится сбор доказательной базы, основными источниками которой зачастую являются электронные носители информации. Для уничтожения и сокрытия следов работы на электронном носителе информации нарушителями ИБ могут использоваться разные подходы, среди которых одними из самых действенных признаются перезапись и шифрование файлов.
Поиск перезаписанных файлов является важной задачей при проведении исследования электронного носителя информации, поскольку выявление обстоятельств удаления файла и сведений о нем может дать представление об используемых программах, скрываемых данных, времени использования файла и так далее. Без выявления факта перезаписи данных следы использования интересующих сведений на исследуемом электронном носителе информации могут быть пропущены, что приведет к неверным выводам в рамках проведения расследования инцидента ИБ.
Поиск зашифрованных файлов также является важной задачей при проведении исследования электронного носителя информации, поскольку дает возможность выявить скрываемые значимые сведения. Обнаружение таких файлов инициирует процесс выяснения данных для расшифрования, которые могут быть дополнительно собраны в рамках первичного реагирования на инцидент ИБ. Кроме этого, процесс поиска зашифрованных файлов позволяет выявлять зашифрованные модули, настройки и скопированные сведения вредоносных программ, что инициирует поиск самой вредоносной программы, с помощью которой эти зашифрованные данные можно расшифровать.
Генераторы псевдослучайных чисел, используемые средствами перезаписи данных, и алгоритмы шифрования, используемые современными средствами криптографической защиты информации (СКЗИ), обеспечивают свойства выходных последовательностей, близкие к свойствам равномерно распределенной случайной последовательности (РРСП). В работе решается задача поиска файлов с данными, которые представляют собой последовательность байтов со свойствами РРСП. При этом размер последовательности равен размеру файла. Далее такие файлы будем называть файлами, представляющими собой РРСП.
Задачей поиска перезаписанных псевдослучайными числами данных занимались исследователи: Г.К. Кесслер (G.C.Kessler), Г.Х. Карлтон (G.H.Carlton), А. Саволди (A. Savoldi), М. Пицинелли (М. Piccinelli), П. Губиан (P. Gubian), С.Л. Гарфинкел (S.L. Garfinkel), Г. Печерл
4 (G. Pecherle), К. Джоуроди (С. Gyorodi), Р. Джоуроди (R. Gyorodi), Б. Андроник (В. Andronic), И. Игнат (I. Ignat) и др.
Задачей поиска зашифрованных данных занимались отдельные отечественные и зарубежные исследователи: И. Сластенова, Т. Плотникова, И. Кесей (Е. Casey), И. Джозиак (I. Jozwiak), М. Кейчара (М. Kedziora), А. Мейлинск (A. Melinska), Д. Зигфрид (J. Siegfried), К. Сиедсма (С. Siedsma), Б.-Д. Кантримен (B.-J. Countryman), Ч. Д. Хасмер (С. D. Hosmer) и специалисты, разрабатывающие методы определения типа файла по его содержимому, а также компании: ООО «Национальный центр по борьбе с преступлениями в сфере высоких технологий», Passware Inc. и др.
В результате анализа опубликованных способов обнаружения файлов, перезаписанных псевдослучайными числами, и зашифрованных файлов выявлены такие их недостатки, как: ограничение размера искомого файла, ошибки в обнаружении искомых файлов, необходимость большого количества времени для поиска, отсутствие учета локальных особенностей содержимого файлов. В результате анализа существующих средств обнаружения зашифрованных файлов выявлено, что они работают только на уровне файлов в явном виде и задействуют функции самой операционной системы (ОС) для получения их содержимого, что может использоваться для предотвращения доступа к данным. В открытых источниках отсутствуют сведения о специализированных подходах, а также программных средствах для точного обнаружения файлов, представляющих собой РРСП, без указанных существенных недостатков. Под точностью обнаружения файлов, представляющих собой РРСП, в работе понимается число искомых файлов, которое выявляется оцениваемым способом, относительно общего количества таких файлов на исследуемом электронном носителе информации.
Решение обеих приведенных задач основывается на свойствах выходных данных и особенностях реализации применяемых программных средств, поэтому они идентичны в части свойств самих данных, однако различны в части условий их создания применяемыми для этого средствами. Подходы к выявлению зашифрованных данных, описанные в открытых источниках, могут применяться для поиска перезаписанных псевдослучайными числами файлов.
В связи с вышеуказанными причинами задача поиска файлов, представляющих собой РРСП, является актуальной и требует разработки метода обнаружения таких файлов, который учитывает внутреннюю структуру содержимого файла, снижает ошибки в обнаружении искомых файлов, а также позволяет выявлять локальные неоднородности в содержимом файла.
Объект исследования. Файлы на электронном носителе информации, анализируемом при расследовании инцидента ИБ.
Предмет исследования. Данные, содержащиеся в файлах, и их статистические свойства.
Цель диссертационной работы. Разработка метода, используемого при расследовании инцидентов ИБ, который на основании статистического анализа содержимого файлов позволяет выявлять локальные неоднородности данных, не характерные для РРСП.
Научная задача заключается в анализе статистических свойств содержимого файлов с точки зрения их близости к свойствам РРСП для разработки метода обнаружения файлов, представляющих собой РРСП.
В рамках решения научной задачи необходимо:
провести сравнительный анализ и классификацию существующих способов обнаружения файлов, представляющих собой РРСП;
исследовать статистические свойства содержимого файлов в файловой системе с точки зрения их близости к свойствам РРСП;
получить математическое описание статистических свойств РРСП, которые могут использоваться для выявления локальных неоднородностей в содержимом файлов;
сформулировать необходимое условие обнаружения файлов, представляющих собой РРСП;
разработать метод обнаружения файлов, представляющих собой РРСП;
создать архитектуру средства обнаружения файлов, представляющих собой РРСП, и реализовать средство обнаружения.
Методы исследований. В работе используются методы теории вероятностей и математической статистики, теории информации и вейвлет-анализа. Научная новизна работы состоит в следующем:
получено математическое описание статистических свойств РРСП, которые могут использоваться для выявления локальных неоднородностей в содержимом файлов, в том числе сжатых форматов;
сформулировано и обосновано необходимое условие обнаружения файлов, представляющих собой РРСП, изложенное с использованием математической статистики и вейвлет-анализа, которое позволяет оценить свойства распределения байтов в файле с точки зрения их близости к свойствам распределения, характерного для РРСП;
разработан метод обнаружения файлов, представляющих собой РРСП, основанный на особенностях выбора параметров для вейвлет-преобразования содержимого файла с целью детального анализа его свойств, в том числе выявления локальных неоднородностей.
Практическая значимость результатов работы заключается в том, что разработанный метод, а также построенное на его основе средство обнаружения файлов, представляющих собой РРСП, используются при проведении исследований электронных носителей информации
в рамках расследования инцидентов ИБ, в том числе при проведении судебной компьютерной экспертизы. Разработанный метод позволяет получить близкую к нулю вероятность того, что файлы, представляющие собой РРСП, будут пропущены. Реализованное на его основе средство обнаружения позволяет провести поиск за время, приемлемое в рамках реагирования на инциденты ИБ, которое в работе принято в пределах от 4 до 8 часов. Также реализованное программное средство обнаружения осуществляет доступ к файлам путем непосредственного считывания содержимого кластеров электронного носителя информации, выделенных под них, поэтому становится возможным получать доступ к содержимому удаленных файлов в файловой системе, к файлам ограниченного доступа, отдельным кластерам, свободной области файловой системы, а также неразмеченной области электронного носителя информации при обращении к кластерам этой области.
Результаты работы представляют практическую ценность для обеспечения ИБ и для реагирования на инциденты ИБ в частности.
Достоверность результатов. Достоверность теоретических результатов обеспечивается корректностью применения математического аппарата для вывода основных утверждений, сформулированных в работе. Теоретические результаты подтверждаются результатами проведенных экспериментов.
Внедрение результатов исследований. Средство обнаружения файлов, представляющих собой РРСП, включено в состав криминалистических средств для проведения судебных компьютерных экспертиз экспертами 12 отдела компьютерных экспертиз и психофизических исследований ЭКЦ ГУ МВД России по г. Москве, Лаборатории компьютерной криминалистики и исследования вредоносного кода ООО «Группа информационной безопасности» и 000 «ТРАСТ», что подтверждается соответствующими актами о внедрении.
Результаты проведенного анализа статистических свойств содержимого файлов в сравнении со свойствами РРСП внедрены в образовательный процесс кафедры «Криптология и дискретная математика» Национального исследовательского ядерного университета «МИФИ» в рамках учебного курса «Криптографические средства обеспечения информационной безопасности».
Публикации и апробация работ. Результаты диссертации изложены в 9 публикациях, 5 из которых опубликованы в рецензируемых журналах ВАК РФ, а 2 опубликованы в рецензируемых журналах Scopus. Результаты работы докладывались на Всероссийской научно-практической конференции «Проблемы информационной безопасности в системе высшей
7 школы» г. Москва, 2014-2015 гг. и на научно-практическом семинаре в Центре специальных разработок Министерства обороны Российской Федерации. Основные положения, выносимые на защиту:
математическое описание статистических свойств РРСП, которые могут использоваться для выявления локальных неоднородностей данных в файлах;
необходимое условие обнаружения файлов, представляющих собой РРСП;
метод обнаружения файлов, представляющих собой РРСП, который основан на вейвлет-анализе;
результаты тестирования средства обнаружения файлов, представляющих собой РРСП.
Структура работы. Работа состоит из введения, четырех глав, заключения, списка сокращений и условных обозначений, списка используемых источников, включающего 98 наименований, и 9 приложений. Текст диссертации изложен на 100 страницах, включая 43 рисунка и 14 таблиц.
Конкретизация поставленной задачи
Заголовком файла является последовательность байтов в начале файла, которая идентифицирует формат файла и его структуру. Заголовок содержит информацию, по которой программы интерпретируют содержимое файла и могут с ним работать [86]. То же самое можно сказать про концовку файла. Некоторые СКЗИ добавляют свои заголовки в зашифрованные ими файлы. Так программное обеспечение (ПО) «BestCrypt» [36] до версии 8 добавляет заголовок, размер которого может варьироваться. Однако первые 512 байт содержат большое количество байтов со значением 0 и ряд байтов с зарезервированными значениями. По этому признаку файлы, зашифрованные ПО «BestCrypt», могут быть выявлены.
Примером СКЗИ, которое не создает заголовка, может служить ПО «TrueCrypt» [93], а также версия 8 ПО «BestCrypt», которое имеет опцию шифрования заголовка.
Сигнатура файла - это уникальная последовательность байтов в файле, которая однозначно идентифицирует формат файла, принадлежность его к семейству файлов с заданными свойствами и т. д.
Сюда же относятся и метаданные, такие как значения байтов по определенному смещению. Например, в работе [86] показано, как по значениям байтов в зашифрованном файле можно получить сведения об используемой программе, алгоритме и режиме шифрования, степени сжатия, ключе, пароле и так далее. Для этого необходимо иметь заранее подготовленный набор значений и смещений для распространенных СКЗИ.
На основании особенностей работы СКЗИ могут также строиться отдельные способы для поиска зашифрованных файлов, создаваемых этим СКЗИ. Так, например, ПО «TrueCrypt» [93] создает файлы, размер которых кратен 512 и больше 4 МБ. При поиске зашифрованных файлов ПО «TCHunt» [90] использует проверку размера файла на удовлетворение указанным условиям.
В случае перезаписи файлов можно найти следы работы используемых средств для перезаписи данных, по журналам которых восстановить имена и расположение перезаписанных файлов [35].
Все приведенные способы основаны на использовании набора данных, которые представляют собой соответствие между сигнатурами, расширениями, заголовками, окончаниями файлов и особенностями работы СКЗИ или средств для перезаписи данных. При проведении исследования электронного носителя информации проверка соответствия расширения, сигнатуры и заголовка файла является неотъемлемой частью исследования информации. Приведенные в данном пункте способы не учитывают внутреннюю структуру файла, а значит не могут отдельно применяться для решения поставленной задачи.
Так как РРСП удовлетворяет двум требованиям: равномерности распределения элементов последовательности и их независимости в совокупности, то оценку свойств содержимого файла можно осуществлять с помощью расчета статистических величин, применяемых для проверки свойств РРСП.
В данном пункте приведен анализ статистических тестов, которые применяются для анализа статистических свойств РРСП, с указанием их преимуществ и недостатков при применении в файловой системе.
Расчет числовых характеристик (статистических величин) используется для поиска данных, распределение которых близко к распределению элементов РРСП. Применение статистического анализа для оценки содержимого файлов является результативным, поскольку для файловых систем по умолчанию не характерно наличие файлов, представляющих собой РРСП, если эти файлы не созданы в процессе работы ПО или пользователя. Однако встает задача различения файлов, представляющих РРСП, от всех остальных форматов файлов по статистическим свойствам. Статистический анализ может осуществляться путем подсчета оценочной статистической величины или графическим способом путем визуального анализа.
1.3.3.1 Оценочные статистические тесты
Оценочные тесты отражают степень близости свойств анализируемой последовательности и свойств РРСП на основе получения числовых характеристик и анализа последних при помощи соответствующих статистических критериев [25].
Статистический анализ подразумевает формулировку нулевой гипотезы Н0 (например, «рассматриваемая последовательность представляет собой РРСП»), проверка которой осуществляется посредством статистических тестов, основанных на одном из следующих подходов [87]: 1) Использование вероятностной величины р -значение. В рамках этого подхода производится расчет статистической величины и соответствующей ей вероятностной величины р -значение. Рассчитанное р -значение - это вероятность получить значение рассчитываемой статистической величины такое же большое или большее того значения, что уже получено для РРСП. Если р -значение превышает критическое значение, то нулевая гипотеза Н0 принимается, в противном случае отклоняется. Хотя в некоторых наборах тестах (например, «DIEHARD» [25, 65]) трактовка р -значений осуществляется с точностью наоборот. Часто за критическое значение принимают вероятность ошибки I рода. Примерами тестов служат все тесты набора NIST [68]. 2) Использование порогового значения. В рамках этого подхода производится расчет статистической величины и дальнейшее ее сравнение с пороговым значением. Пороговое значение может быть рассчитано теоретически или получено на основе эксперимента. Решение о принятии или отклонении нулевой гипотезы принимается на основании этого сравнения. Примером статистического теста может служить тест оценки сложности тестируемой последовательности, входящий в набор тестов CryptX [25], в котором сложность сравнивается с пороговым значением n/log2n, где п - длина тестируемой последовательности. Значение рассчитываемой сложности для РРСП близко к n/log2 п. 3) Использование фиксированного диапазона значений. В рамках этого подхода производится расчет статистической величины и проверка попадания ее значения в фиксированный диапазон значений. Решение о принятии или отклонении нулевой гипотезы принимается на основании этого сравнения. Примером статистического теста может служить частотный тест, для которого задается допустимый уровень отклонения от эталонного значения, например, 5%. 4) Сформулируем нулевую гипотезу Н0: «Рассматриваемая последовательность представляет собой РРСП» и альтернативную ей Нх: «Рассматриваемая последовательность не представляет собой РРСП».
Оценочные статистические тесты представлены в виде расчета отдельных оценочных характеристик (арифметическое среднее, среднеквадратичное отклонение и т.д.) или в виде наборов тестов для проверки качества последовательностей псевдослучайных чисел: NIST [68], DIEHARD [25, 65], тесты Кнута [12, 25], CryptX [25], TestUOl [62], AIS31 Methodology [61], которые основываются на расчете р -значения и сравнением с допустимой вероятностью ошибки I рода (уровнем значимости теста).
Статистические свойства последовательности плотностей для РРСП
Гистограмма плотностей для файла, зашифрованного алгоритмом AES Из гистограмм, приведенных выше, видно, что при уменьшении размера окна отклонения в незашифрованных файлах становятся более выраженными по амплитуде. Это понятно, так как уменьшается размер тестируемой области, а значит и более детально рассматривается равномерность распределения точек на плоскости распределения.
Таким образом, имеется зависимость между размером фрагмента и амплитудой плотности.
В результате эксперимента выявлено, что отклонения, выраженные в виде спадов и всплесков, от значений плотностей, характерных для РРСП, являются отличительной особенностью файлов, не представляющих собой РРСП, в том числе и сжатых, поэтому их локализация может применяться в решении поставленной задачи. Причем выявлению подлежат отклонения различного характера: единичные и групповые.
Вид построенных в предыдущем подразделе гистограмм напоминает сигналы, для анализа которых, как правило, используются два подхода: преобразование Фурье (и его аналоги: преобразование Хартли, преобразование Уолша-Адамара, преобразование Лапласа и др.) и вейвлет-преобразование. Оба подхода являются разновидностями спектрального анализа, и их целью является разложение сигнала на составляющие частоты и амплитуды. Однако они имеют разный принцип работы.
Преобразование Фурье осуществляет разложение 2л;-периодических квадратично интегрируемых функций с конечной энергией во временном пространстве. Осуществляется локализация частоты сигнала посредством применения базисной функции, являющейся композицией синусоидальных волн с различными частотами [2]:
Базисная функция преобразования Фурье является постоянно осциллирующей и имеет одно и то же разрешение по времени и по частоте для всех точек плоскости преобразования. Кроме этого, для осуществления преобразования Фурье необходимо знание сигнала и в прошлом, и в будущем, так как интегрирование проводится по всей действительной оси, и базисная функция определена на всей действительной оси [5]. Стоит отметить, что преобразование Фурье лежит в основе спектрального теста NIST [68], который осуществляет проверку того, что количество всплесков рассчитываемых коэффициентов Фурье, значения которых больше заданного порогового значения, не превышает 5%.
Обладая хорошей локализацией по частоте, преобразование Фурье не обладает временным разрешением. Оно не учитывает, что частота колебаний может изменяться во времени, поскольку базисная функция представляет собой гармонические колебания, определенные на всей действительной оси [27]. Локальные особенности сигнала (разрывы, ступеньки, пики и т. п.) дают едва заметные составляющие спектра, по которым обнаружить эти особенности, и тем более их место и характер, практически невозможно [27].
В свою очередь, вейвлет-преобразование осуществляет разложение квадратично интегрируемых функций с конечной энергией, определенных на всей действительной оси, и во временном, и в частотном пространстве одновременно. Базисные функции вейвлет-преобразования имеют уменьшающееся с масштабом разрешение по времени и увеличивающееся с масштабом разрешение по частоте. Таким образом, вейвлет-преобразование одинаково хорошо выявляет и низкочастотные, и высокочастотные характеристики сигналов, и может быть использовано для локализации отклонений [2].
Применим теорию вейвлет-анализа к решаемой задаче локализации отклонений в последовательности плотностей от значений, характерных для РРСП.
За счет параметра сдвига b осуществляется движение во временном пространстве методом скользящего окна шириной а. Вейвлет-преобразование, в отличие от оконного преобразования Фурье, обладает изменяемым (подвижным) временным окном, узким на малых временных масштабах и широким на больших [2, 27, 5]. Свойства окна (его ширина и перемещение по частоте) присущи самим вейвлетам [27]. За положение окна отвечает параметр сдвига Ь.
Результатом вейвлет-преобразования одномерного сигнала является двумерный массив амплитуд вейвлет-преобразования - значений вейвлет-коэффициентов WA .
Базисная функция y/(t) є L2 (R) должна обладать свойством локализации, иметь нулевое среднее и быть ограниченной [27]: а также обладать свойством самоподобия, т.е. все вейвлеты семейства yab(t) должны иметь то же число осцилляции, что и базисный вейвлет y/(f) поскольку получены из него посредством масштабных преобразований и сдвигов. Вейлет-коэффициенты Wab показывают схожесть между анализируемым сигналом и анализирующим вейвлетом с точки зрения распределения частот [18, 91].
В качестве анализируемой последовательности в рамках решаемой задачи выступает последовательность плотностей {pu,pl2,...,pLC}, которую для упрощения записи дальнейших формул будем записывать: {р1,р2,...,рьс}. Нумерация плотностей в последовательности осуществляется по порядку. Для этой последовательности плотностей формула (21) для вейвлет-преобразования, т. е. подсчета вейвлет-коэффициентов, преобразуется следующим образом: где pt - значение плотности ґ-го фрагмента, t = 1, L С.
Движение по гистограмме плотностей осуществляется с помощью скользящего окна ширины а. Параметр сдвига Ь отвечает за позицию скользящего окна на графике. Значение параметра масштаба а выбирается степенями двойки для уменьшения вычислительных затрат [2, 27], т. е. 2, 4, 8, 16, 32, 64 и т. д.
Как было сказано выше, базисная функция выбирается таким образом, чтобы ее форма походила на искомую форму отклонения, так как рассчитываемые коэффициенты показывают степень близости анализируемой последовательности и анализирующего вейвлета. Ниже приведены самые известные базисные функции [40, 45]:
Локализация отклонений в последовательности плотностей на основании выбора размера скользящего окна
Опираясь на полученные в главе результаты исследования, разработаны способы взаимодействия между подсистемами для обеспечения удобного управления и получения результатов. Выполнена программная реализация предложенной архитектуры как средства обнаружения файлов, представляющих собой РРСП, на языке программирования С#. В средство обнаружения внедрено решение для получения доступа к содержимому файлов в обход функций ОС посредством считывания отдельных кластеров, выделенных под файл.
Такое решение также предоставляет возможность анализа отдельных кластеров, свободной области файловой системы, а также неразмеченной области электронного носителя информации. Описанные функциональные возможности предоставляются пользователю средства обнаружения в виде отдельной команды. 6. Предложена последовательность действий для получений пороговых значений системой выработки пороговых значений в режиме обучения средства обнаружения. Эта система представляет собой то же средство обнаружения за исключением того, что все тестируемые файлы должны быть отнесены к классу Хг, поэтому ее код меняется в области подсистемы принятия решения. Предложенная последовательность действий позволяет выработать такие пороговые значения, чтобы минимизировать вероятность ошибки I рода при поиске файлов, представляющих собой РРСП.
Приведенное в главе описание устройства и работы подсистем разработанного средства обнаружения дает представление о порядке его использования, в том числе получения графического представления полученных результатов с возможностью локализации выявленных неоднородностей. 4. Тестирование и внедрение результатов работы
В данной главе приводятся результаты тестирования разработанного средства обнаружения на нескольких коллекциях файлов различных форматов, а также результаты внедрения полученных автором результатов при решении конкретных прикладных задач в четырех проектах.
Обучение средства обнаружения проводилось по методу, предложенному в пункте 3.2.7. В качестве тестовой выборки были приняты выходные последовательности генератора псевдослучайных чисел ОС Microsoft Windows 8.1. Выходные данные этого генератора удовлетворяют тестам NIST [68].
На основе этого генератора была сформирована коллекция файлов разного размера: от 1 КБ до 1 ГБ в количестве 10 000 файлов. Каждый из файлов подавался на вход средства обнаружения файлов, представляющих собой РРСП, в режиме выработки порогового значения, причем тестовая коллекция была разделена на файлы размером от 1 КБ до 10 КБ, от 10 КБ до 1 МБ, от 1 МБ до 1 ГБ.
Файлы подавались на вход системе выработки порогового значения, после чего запускался режим сканирования файлов подсистемой.
В результате работы системы выработаны пороговые значения статистических величин и вейвлет-коэффициентов, примеры которых приведены в таблицах 5, 6, 7. При расчете вейвлет-коэффициентов выбиралось два значения параметра масштаба, которые указаны в соответствующем столбце в таблицах. Таблица 5 - Пороговые значения для файлов размером от 1 КБ до 10 КБ
Размер файла Выборочноесреднее (размерокна 100x100) Среднеквадратичное отклонение(размер окна 100x100) Выборочноесреднее (размер окна2000x5) Среднеквадратичное отклонение(размер окна2000x5) Амплитудавейвлет-коэффици-ентов(размерокна 100x100,а=16) Амплитудавейвлет-коэффици-ентов(размерокна 2000x5, а=128)
от 10 КБ до 1МБ 0,00383 0,00389 0,00042 0,00056 0,0030-0,0032 0,00048 0,00063 0,00169 0,00271
Таблица 7 - Пороговые значения для файлов размером от 1 МБ до 1 ГБ
Размер файла Выборочноесреднее (размерокна 100x100) Среднеквадратичное отклонение(размер окна 100x100) Выборочноесреднее (размерокна 2000x5) Среднеквадратичное отклонение(размер окна2000x5) Амплитудавейвлет-коэффици-ентов(размерокна 100x100,а=16) Амплитудавейвлет-коэффици-ентов(размерокна 2000x5, а=128) от 1 МБ до 1ГБ 0,00386 0,00388 0,00047 0,00051 0,00310 0,00313 0,00034 0,00057 0,00183 0,00273
Коллекция файлов-архивов формата «RAR», защищенных паролем, которые созданы на основании коллекций govdocsl и filetypesl с помощью ПО «WinRAR» [97] версии 5.01. Коллекция содержит 12 568 файлов. Размеры файлов лежат в диапазоне: от 4 КБ до 283 МБ. 5) Коллекция файлов с данными, зашифрованными по алгоритму AES, полученные с помощью программного модуля «SharpAESCrypt» [85] версии 1.0 на основании файлов из коллекций govdocsl и filetypesl. Размеры файлов лежат в диапазоне: от 4 КБ до 911 МБ. Коллекция содержит около 11 699 файлов.
Результаты тестирования приведены в таблицах 8 - 13 и сравниваются с результатами тестирования критерия «Хи-квадрат на равномерность» (уровень значимости выбран 0.01) и ПО «Passware Kit Forensic» версии 12.5 для тех же коллекций.
При проведении эксперимента для одной коллекции, в которой содержится N файлов, проводится N независимых испытаний и отслеживаются события попадания файла в классы Х1 и Х2 с неизвестными постоянными вероятностями ошибок I и II рода. Таким образом, производится оценка неизвестной вероятности для биномиального распределения отдельно для ошибок I и II рода.
Внедрение метода обнаружения файлов, представляющих собой РРСП
Одним из основных направлений деятельности 000 «ТРАСТ» является проведение судебных компьютерных экспертиз, в рамках которых может решаться вопрос поиска зашифрованных файлов при исследовании электронных носителей информации злоумышленников и зашифрованных вредоносных модулей программ при исследовании электронных носителей пострадавших лиц в результате мошенничества в сети Интернет. Также компания занимается разработкой программных продуктов по обнаружению компрометации данных в сети организаций.
Для проведения судебных экспертиз средство обнаружения файлов, представляющих собой РРСП, установлено на четырех рабочих станциях компании. При установке программы проведено копирование исполняемого модуля средства на рабочие станции специалистов, и установлен пакет «Microsoft .NET Framework» версии 4.5 в случае его отсутствия.
В рамках внедрения проведено тестирование средства обнаружения на нескольких образах накопителей на жестких магнитных дисках, созданных с накопителей подозреваемых в компьютерных преступлениях лиц, в результате которого выявлены зашифрованные с помощью ПО «TrueCrypt» и «BestCrypt» файлы. Файлы представляют собой зашифрованные контейнеры, содержащие значимые сведения. Время сканирования одного образа составило в среднем 3 часа, что удовлетворяет принятому в работе приемлемому времени реагирования на инциденты ИБ.
В рамках внедрения результатов диссертационной работы проведено тестирование разработанного метода на зашифрованном трафике вредоносных программ, в результате которого выявлено, что с помощью статистического анализа, осуществляемого внедряемым методом, проводится детектирование сессий вредоносных программ с серверами управления по незащищенному протоколу с зашифрованными данными. Метод внедрен в разработку продуктов компании. Внедрение разработанного метода обнаружения файлов, представляющих собой РРСП, позволило расширить объем проверок при анализе трафика, который используется в разрабатываемых продуктах ООО «ТРАСТ», а также расширить инструментарий при проведении судебных компьютерных экспертиз.
Внедрение подтверждено соответствующим актом. Разработка дополнения для курса «Криптографические средства обеспечения информационной безопасности» кафедры «Криптология и дискретная математика» НИЯУ МИФИ
На основе теоретических и практических материалов данной диссертационной работы был расширен существующий учебный курс «Криптографические средства обеспечения информационной безопасности», читающийся для студентов шестого семестра на кафедре «Криптология и дискретная математика» НИЯУ МИФИ [16].
Проводимые занятия по данному курсу посвящены изучению алгоритмов шифрования и их свойств. Курс «Криптографические средства обеспечения информационной безопасности» был расширен за счет предоставления студентам подробных сведений об исследовании свойств алгоритмов шифрования и современном ПО, позволяющем создавать зашифрованные файлы для защиты данных в файловой системе.
В результате прохождения курса студенты получают не только важные теоретические знания, но и сведения о практическом применении шифрования обычными пользователями.
На основании проведенного тестирования и внедрения сформулированы следующие выводы. 1. В результате проведенного тестирования показано, что разработанное средство обнаружения файлов, представляющих собой РРСП, на основе предложенного в главе 3 метода обеспечивает вероятность ошибки I рода, близкую к нулю, и вероятность ошибки II рода, которая превышает соответствующую вероятность критерия «Хи-квадрат» на равномерность не более, чем на 0,01. Таким образом, можно заключить, что выдвинутая в главе 2 гипотеза различимости файлов, представляющих собой РРСП, и файлов других форматов доказана, и поставленная в главе 2 научная задача решена. 2. Получена линейная зависимость времени анализа файла разработанным средством обнаружения от его размера при осуществлении для него проверок в полном объеме. Кроме этого, анализ одного файла завершается при выявлении неоднородности, а значит время обработки одного файла меньше по сравнению с полученными значениями. Проводится оценка скорости обработки данных средством обнаружения, которое является приемлемым в рамках реагирования на инцидент ИБ в силу принятого в главе 1 значения приемлемости. Данный вывод подтвержден экспериментами, проводимыми в рамках внедрения результатов диссертационной работы в ООО «ТРАСТ». Выбранный диапазон приемлемого времени реагирования на инцидент ИБ от 4 до 8 часов подтвержден экспертами 000 «Группа информационной безопасности» в рамках внедрения результатов диссертационной работы. 3. В результате тестирования разработанного средства обнаружения на файлах, содержимое которых было перезаписано ПО «Eraser» и «wipe», использующих встроенный в ОС Microsoft Windows генератор псевдослучайных чисел, было выявлено, что разработанное средство обнаруживает все перезаписанные файлы и области в файловой системе как РРСП. 4. Программное средство обнаружения файлов, представляющих собой РРСП, включено в комплекс специализированных средств для проведения компьютерных экспертиз экспертами 12 отдела ЭКЦ ГУ МВД России по г. Москве, что подтверждено актом о внедрении. 5. Программное средство обнаружения файлов, представляющих собой РРСП, включено в комплекс специализированных средств для проведения компьютерных экспертиз экспертами, а также в комплекс программ для реагирования на инциденты ИБ и участия в оперативно-разыскных мероприятиях экспертами Лаборатории компьютерной криминалистики и исследования вредоносного кода 000 «Группа информационной безопасности», что подтверждено актом о внедрении. В рамках внедрения проведено тестирование средства обнаружения на зашифрованных файлах вредоносных программ, в результате которого выявлено, что они безошибочно выявляются разработанным средством, несмотря на небольшой размер.