Методы противодействия антивирусным программам. Противодействие антивирусным программам Противодействие вредоносным программам антивирусное по

Необходимой для вирусописателей и кибер-преступников задачей является внедрение вируса, червя или троянской программы в компьютер-жертву или мобильный телефон. Достигается эта цель различными способами, которые делятся на две основные категории:

социальная инженерия (также употребляется термин «социальный инжиниринг» - калька с английского «social engineering»);
технические приёмы внедрения вредоносного кода в заражаемую систему без ведома пользователя.

Часто эти способы используются одновременно. При этом так же часто используются специальные меры по противодействию антивирусным программам.

Социальная инженерия

Методы социальной инженерии тем или иным способом заставляют пользователя запустить заражённый файл или открыть ссылку на заражённый веб-сайт. Эти методы применяются не только многочисленными почтовыми червями, но и другими видами вредоносного программного обеспечения.

Задача хакеров и вирусописателей - привлечь внимание пользователя к заражённому файлу (или HTTP-ссылке на заражённый файл), заинтересовать пользователя, заставить его кликнуть по файлу (или по ссылке на файл). «Классикой жанра» является нашумевший в мае 2000 года почтовый червь LoveLetter, до сих пор сохраняющий лидерство по масштабу нанесённого финансового ущерба, согласно данным от Computer Economics. Сообщение, которое червь выводил на экран, выглядело следующим образом:

На признание «I LOVE YOU» среагировали очень многие, и в результате почтовые сервера больших компаний не выдержали нагрузки - червь рассылал свои копии по всем контактам из адресной книги при каждом открытии вложенного VBS-файла.

Почтовый червь Mydoom, «рванувший» в интернете в январе 2004 г., использовал тексты, имитирующие технические сообщения почтового сервера.

Стоит также упомянуть червь Swen, который выдавал себя за сообщение от компании Microsoft и маскировался под патч, устраняющий ряд новых уязвимостей в Windows (неудивительно, что многие пользователи поддались на призыв установить «очередную заплатку от Microsoft»).

Случаются и казусы, один из которых произошел в ноябре 2005. В одной из версий червя Sober сообщалось, что немецкая криминальная полиция расследует случаи посещения нелегальных веб-сайтов. Это письмо попало к любителю детской порнографии, который принял его за официальное письмо, - и послушно сдался властям.

В последнее время особую популярность приобрели не файлы, вложенные в письмо, а ссылки на файлы, расположенные на заражённом сайте. Потенциальной жертве отправляется сообщение - почтовое, через ICQ или другой пейджер, реже - через интернет-чаты IRC (в случае мобильных вирусов обычным способом доставки служит SMS-сообщение). Сообщение содержит какой-либо привлекательный текст, заставляющий ничего не подозревающего пользователя кликнуть на ссылку. Данный способ проникновения в компьютеры-жертвы на сегодняшний день является самым популярным и действенным, поскольку позволяет обходить бдительные антивирусные фильтры на почтовых серверах.

Используются также возможности файлообменных сетей (P2P-сети). Червь или троянская программа выкладывается в P2P-сеть под разнообразными «вкусными» названиями, например:

AIM & AOL Password Hacker.exe
Microsoft CD Key Generator.exe
PornStar3D.exe
play station emulator crack.exe

В поиске новых программ пользователи P2P-сетей натыкаются на эти имена, скачивают файлы и запускают их на выполнение.

Также достаточно популярны «разводки», когда жертве подсовывают бесплатную утилиту или инструкцию по взлому различных платёжных систем. Например, предлагают получить бесплатный доступ к интернету или сотовому оператору, скачать генератор номеров кредитных карт, увеличить сумму денег в персональном интернет-кошельке и т.п. Естественно, что пострадавшие от подобного мошенничества вряд ли будут обращаться в правоохранительные органы (ведь, по сути, они сами пытались заработать мошенническим способом), и интернет-преступники вовсю этим пользуются.

Необычный способ «разводки» использовал неизвестный злоумышленник из России в 2005-2006 годах. Троянская программа рассылалась на адреса, обнаруженные на веб-сайте job.ru, специализирующемся на трудоустройстве и поиске персонала. Некоторые из тех, кто публиковал там свои резюме, получали якобы предложение о работе с вложенным в письмо файлом, который предлагалось открыть и ознакомиться с его содержимым. Файл был, естественно, троянской программой. Интересно также то, что атака производилась в основном на корпоративные почтовые адреса. Расчёт, видимо, строился на том, что сотрудники компаний вряд ли будут сообщать об источнике заражения. Так оно и произошло - специалисты «Лаборатории Касперского» более полугода не могли получить внятной информации о методе проникновения троянской программы в компьютеры пользователей.

Бывают и довольно экзотические случаи, например, письмо с вложенным документом, в котором клиента банка просят подтвердить (вернее - сообщить) свои коды доступа - распечатать документ, заполнить прилагаемую форму и затем отправить её по факсу на указанный в письме телефонный номер.

Другой необычный случай доставки шпионской программы «на дом» произошел в Японии осенью 2005. Некие злоумышленники разослали заражённые троянским шпионом CD-диски на домашние адреса (город, улица, дом) клиентов одного из японских банков. При этом использовалась информация из заранее украденной клиентской базы этого самого банка.

Технологии внедрения

Эти технологии используются злоумышленниками для внедрения в систему вредоносного кода скрытно, не привлекая внимания владельца компьютера. Осуществляется это через уязвимости в системе безопасности операционных систем и в программном обеспечении. Наличие уязвимостей позволяет изготовленному злоумышленником сетевому червю или троянской программе проникнуть в компьютер-жертву и самостоятельно запустить себя на исполнение.

Уязвимости являются, по сути, ошибками в коде или в логике работы различных программ. Современные операционные системы и приложения имеют сложную структуру и обширный функционал, и избежать ошибок при их проектировании и разработке просто невозможно. Этим и пользуются вирусописатели и компьютерные злоумышленники.

Уязвимостями в почтовых клиентах Outlook пользовались почтовые черви Nimda и Aliz. Для того чтобы запустить файл червя, достаточно было открыть заражённое письмо или просто навести на него курсор в окне предварительного просмотра.

Также вредоносные программы активно использовали уязвимости в сетевых компонентах операционных систем. Для своего распространения такими уязвимостями пользовались черви CodeRed, Sasser, Slammer, Lovesan (Blaster) и многие другие черви, работающие под ОС Windows. Под удар попали и Linux-системы - черви Ramen и Slapper проникали на компьютеры через уязвимости в этой операционной среде и приложениях для неё.

В последние годы одним из наиболее популярных способов заражения стало внедрение вредоносного кода через веб-страницы. При этом часто используются уязвимости в интернет-браузерах. На веб-страницу помещается заражённый файл и скрипт-программа, которая использует уязвимость в браузере. При заходе пользователя на заражённую страницу срабатывает скрипт-программа, которая через уязвимость закачивает заражённый файл на компьютер и запускает его там на выполнение. В результате для заражения большого числа компьютеров достаточно заманить как можно большее число пользователей на такую веб-страницу. Это достигается различными способами, например, рассылкой спама с указанием адреса страницы, рассылкой аналогичных сообщений через интернет-пейджеры, иногда для этого используют даже поисковые машины. На заражённой странице размещается разнообразный текст, который рано или поздно обсчитывается поисковыми машинами - и ссылка на эту страницу оказывается в списке других страниц в результатах поиска.

Отдельным классом стоят троянские программы, которые предназначены для скачивания и запуска других троянских программ. Обычно эти троянцы, которые имеют очень небольшой размер, тем или иным образом (например, используя очередную уязвимость в системе) «подсовываются» на компьютер-жертву, а затем уже самостоятельно выкачивают из интернета и устанавливают в систему другие вредоносные компоненты. Часто такие троянские программы меняют настройки браузера на самые небезопасные, чтобы «облегчить дорогу» другим троянцам.

Уязвимости, о которых становятся известно, достаточно оперативно исправляются компаниями-разработчиками, однако постоянно появляется информация о новых уязвимостях, которые тут же начинают использоваться многочисленными хакерами и вирусописателями. Многие троянские «боты» используют новые уязвимости для увеличения своей численности, а новые ошибки в Microsoft Office тут же начинают применяться для внедрения в компьютеры очередных троянских программ. При этом, к сожалению, имеет место тенденция сокращения временного промежутка между появлением информации об очередной уязвимости и началом её использования червями и троянцами. В результате компании-производители уязвимого программного обеспечения и разработчики антивирусных программ оказываются в ситуации цейтнота. Первым необходимо максимально быстро исправить ошибку, протестировать результат (обычно называемый «заплаткой», «патчем») и разослать его пользователям, а вторым - немедленно выпустить средство детектирования и блокирования объектов (файлов, сетевых пакетов), использующих уязвимость.

Одновременное использование технологий внедрения и методов социальной инженерии

Достаточно часто компьютерными злоумышленниками используются сразу оба метода. Метод социальной инженерии - для привлечения внимания потенциальной жертвы, а технический - для увеличения вероятности проникновения заражённого объекта в систему.

Например, почтовый червь Mimail распространялся как вложение в электронное письмо. Для того чтобы пользователь обратил внимание на письмо, в него вставлялся специально оформленный текст, а для запуска копии червя из вложенного в письмо ZIP-архива - уязвимость в браузере Internet Explorer. В результате при открытии файла из архива червь создавал на диске свою копию и запускал её на исполнение без каких либо системных предупреждений или дополнительных действий пользователя. Кстати, этот червь был одним из первых, предназначенных для воровства персональной информации пользователей интернет-кошельков системы e-gold.

Другим примером является рассылка спама с темой «Привет» и текстом «Посмотри, что про тебя пишут». За текстом следовала ссылка на некую веб-страницу. При анализе выяснилось, что данная веб-страница содержит скрипт-программу, которая, пользуясь еще одной уязвимостью в Internet Explorer, загружает на компьютер пользователя троянскую программу LdPinch, предназначенную для воровства различных паролей.

Противодействие антивирусным программам

Поскольку цель компьютерных злоумышленников - внедрить вредоносный код в компьютеры-жертвы, то для этого им необходимо не только вынудить пользователя запустить заражённый файл или проникнуть в систему через какую-либо уязвимость, но и незаметно проскочить мимо установленного антивирусного фильтра. Поэтому не удивительно, что злоумышленники целенаправленно борются с антивирусными программами. Используемые ими технические приёмы весьма разнообразны, но чаще всего встречаются следующие:

Упаковка и шифрование кода. Значительная часть (если не большинство) современных компьютерных червей и троянских программ упакованы или зашифрованы тем или иным способом. Более того, компьютерным андеграундом создаются специально для этого предназначенные утилиты упаковки и шифровки. Например, вредоносными оказались абсолютно все встретившиеся в интернете файлы, обработанные утилитами CryptExe, Exeref, PolyCrypt и некоторыми другими.

Для детектирования подобных червей и троянцев антивирусным программам приходится либо добавлять новые методы распаковки и расшифровки, либо добавлять сигнатуры на каждый образец вредоносной программы, что снижает качество детектирования, поскольку не всегда все возможные образцы модифицированного кода оказываются в руках антивирусной компании.

Мутация кода. Разбавление троянского кода «мусорными» инструкциями. В результате функционал троянской программы сохраняется, но значительно меняется её «внешний вид». Периодически встречаются случаи, когда мутация кода происходит в режиме реального времени - при каждом скачивании троянской программы с заражённого веб-сайта. Т.е. все или значительная часть попадающих с такого сайта на компьютеры образцы троянца - разные. Примером применения этой технологии является почтовый червь Warezov, несколько версий которого вызвали значительные эпидемии во второй половине 2006 г.

Скрытие своего присутствия. Так называемые «руткит-технологии» (от англ. «rootkit»), обычно используемые в троянских программах. Осуществляется перехват и подмена системных функций, благодаря которым зараженный файл не виден ни штатными средствами операционной системы, ни антивирусными программами. Иногда также скрываются ветки реестра, в которых регистрируется копия троянца, и другие системные области компьютера. Данные технологии активно используются, например, троянцем-бэкдором HacDef.

Остановка работы антивируса и системы получения обновлений антивирусных баз (апдейтов). Многие троянские программы и сетевые черви предпринимают специальные действия против антивирусных программ - ищут их в списке активных приложений и пытаются остановить их работу, портят антивирусные базы данных, блокируют получение обновлений и т.п. Антивирусным программам приходится защищать себя адекватными способами - следить за целостностью баз данных, прятать от троянцев свои процессы и т.п.

Скрытие своего кода на веб-сайтах. Адреса веб-страниц, на которых присутствуют троянские файлы, рано или поздно становятся известны антивирусным компаниям. Естественно, что подобные страницы попадают под пристальное внимание антивирусных аналитиков - содержимое страницы периодически скачивается, новые версии троянских программ заносятся в антивирусные обновления. Для противодействия этому веб-страница модифицируется специальным образом - если запрос идёт с адреса антивирусной компании, то скачивается какой-нибудь нетроянский файл вместо троянского.

Атака количеством. Генерация и распространение в интернете большого количества новых версий троянских программ за короткий промежуток времени. В результате антивирусные компании оказываются «завалены» новыми образцами, на анализ которых требуется время, что даёт злоумышленному коду дополнительный шанс для успешного внедрения в компьютеры.

Эти и другие методы используются компьютерным андеграундом для противодействия антивирусным программам. При этом активность киберпреступников растёт год за годом, и сейчас можно говорить о настоящей «гонке технологий», которая развернулась между антивирусной индустрией и индустрией вирусной. Одновременно растёт количество хакеров-индивидуалов и преступных групп, а также их профессионализм. Всё это вместе значительно увеличивает сложность и объём работы, необходимой антивирусным компаниям для разработки средств защиты достаточного уровня.

Поскольку цель компьютерных злоумышленников - внедрить вредоносный код в компьютеры-жертвы, то для этого им необходимо не только вынудить пользователя запустить зараженный файл или проникнуть в систему через какую-либо уязвимость, но и незаметно проскочить мимо установленного антивирусного фильтра. Поэтому злоумышленники целенаправленно борются с антивирусными программами. Используемые ими технические приемы весьма разнообразны, но чаще всего встречаются следующие.

Упаковка и шифрование кода. Значительная часть (если не большинство) современных компьютерных червей и троянских программ упакованы или зашифрованы тем или иным способом. Более того, для этого специально создаются утилиты упаковки и шифровки. Для детектирования подобных программ-червей и троянских программ антивирусным программам приходится добавлять либо новые методы распаковки и расшифровки, либо сигнатуры на каждый образец ВП, что снижает качество детектирования, поскольку не всегда все возможные образцы модифицированного кода оказываются в руках антивирусной компании.

Мутация кода - разбавление троянского кода «мусорными» инструкциями. В результате функционал троянской программы сохраняется, но значительно меняется ее «внешний вид». Периодически встречаются случаи, когда мутация кода происходит в режиме реального времени - при каждом скачивании троянской программы с зараженного веб-сайта. То есть все или значительная часть попадающих с такого сайта на компьютеры образцы троянской программы разные.

Скрытие своего присутствия - так называемые руткит-техноло- гии, обычно используемые в троянских программах. В этом случае осуществляется перехват и подмена системных функций, в результате чего зараженный файл не виден ни штатными средствами операционной системы, ни антивирусными программами. Иногда так же скрываются ветки реестра, в которых регистрируется копия троянской программы, и другие системные области компьютера.

Остановка работы антивирусной программы и системы получения обновлений антивирусных баз данных. Многие троянские программы и сетевые черви предпринимают специальные действия против антивирусных программ: ищут их в списке активных приложений и пытаются остановить их работу, «портят» антивирусные базы данных, блокируют получение обновлений и т.п. Антивирусным программам приходится защищать себя соответствующими способами: следить за целостностью баз данных, «прятать» от троянцев свои процессы и т.п.

Сокрытие своего кода на веб-сайтах. Адреса веб-страниц, на которых присутствуют троянские файлы, рано или поздно становятся известны антивирусным компаниям. Естественно, что подобные страницы попадают под пристальное внимание антивирусных аналитиков: содержимое страницы периодически скачивается, новые версии троянских программ заносятся в антивирусные обновления. Для противодействия этому веб-страница модифицируется специальным образом: если запрос идет с адреса антивирусной компании, то скачивается какой- нибудь нетроянский файл вместо троянского.

Атака количеством - генерация и распространение в Интернете большого количества новых версий троянских программ за короткий промежуток времени. В результате антивирусные компании оказываются «завалены» новыми образцами, на анализ которых требуется время, что дает вредоносному коду дополнительный шанс для успешного внедрения в компьютеры.

Эти и другие методы используются хакерами для противодействия антивирусным программам. При этом их активность растет год от года, и сейчас можно говорить о настоящей «гонке технологий», которая развернулась между антивирусной и вирусной индустрией. Одновременно растет не только количество хакеров-индивидуалов и преступных групп, но и профессионализм последних. Все это значительно увеличивает сложность и объем работы, необходимой антивирусным компаниям для разработки средств защиты достаточного уровня.

4. Класифікація шкідливих програм

Необходимость создания классификации детектируемых антивирусами объектов возникла одновременно с появлением первой антивирусной программы. Несмотря на то, что вирусов в то время было мало, их всё равно необходимо было как-то отличать друг от друга по названиям.

Пионеры антивирусной индустрии, как правило, использовали самую простую классификацию, состоящую из уникального имени вируса и размера детектируемого файла. Однако из-за того, что один и тот же вирус в разных антивирусных программах мог именоваться по-разному, началась путаница.

Первые попытки упорядочить процесс классификации были предприняты еще в начале 90-х годов прошлого века, в рамках альянса антивирусных специалистов CARO (Computer AntiVirus Researcher"s Organization). Альянсом был создан документ «CARO malware naming scheme», который на какой-то период стал стандартом для индустрии.

Но со временем стремительное развитие вредоносных программ, появление новых платформ и рост числа антивирусных компаний привели к тому, что эта схема фактически перестала использоваться (см., например, статью Весселина Бончева «Current Status of the CARO Malware Naming Scheme»). Ещё более важной причиной отказа от неё стали существенные отличия в технологиях детектирования каждой антивирусной компании и, как следствие, невозможность унификации результатов проверки разными антивирусными программами.

Периодически предпринимаются попытки выработать новую общую классификацию детектируемых антивирусными программами объектов, однако они, по большей части, остаются безуспешными. Последним значительным проектом подобного рода было создание организации CME (Common Malware Enumeration), которая присваивает одинаковым детектируемым объектам единый уникальный идентификатор.

Используемая в «Лаборатории Касперского» система классификации детектируемых объектов является одной из наиболее широко распространённых в индустрии, и послужила основой для классификаций некоторых других антивирусных компаний. В настоящее время классификация «Лаборатории Касперского» включает в себя весь объём детектируемых Антивирусом Касперского вредоносных или потенциально нежелательных объектов, и основана на разделении объектов по типу совершаемых ими на компьютере пользователей действий.

Глава 1. ОСОБЕННОСТИ ПРОТИВОДЕЙСТВИЯ ♦ ВРЕДОНОСНЫМ ПРОГРАММАМ В КРИТИЧЕСКИ

ВАЖНЫХ СЕГМЕНТАХ ИНФОРМАЦИОННОЙ СФЕРЫ.

1.1. Вредоносные программы как источник угроз критически важным сегментам информационной сферы.

1.2. Противодействие вредоносным программам в критически важных сегментах информационной сферы.

1.3. Постановка задачи комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы.

1.4. Выводы.

Глава 2. ФОРМИРОВАНИЕ ПОКАЗАТЕЛЕЙ

ЭФФЕКТИВНОСТИ ПРОТИВОДЕЙСТВИЯ ВРЕДОНОСНЫМ ПРОГРАММАМ В КРИТИЧЕСКИ ВАЖНЫХ СЕГМЕНТАХ ИНФОРМАЦИОННОЙ СФЕРЫ.

2.1. Методика структуризации показателей эффективности противодействия вредоносным программам.

2.2. Методика синтеза иерархической структуры показателей эффективности противодействия вредоносным программам.

2.3. Унифицированное описание структуры показателей эффективности противодействия вредоносным программам

2.4. Выводы.

Глава 3. МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ

ПРОЦЕССОВ ПРОТИВОДЕЙСТВИЯ ВРЕДОНОСНЫМ ПРОГРАММАМ В КРИТИЧЕСКИ ВАЖНЫХ СЕГМЕНТАХ ИНФОРМАЦИОННОЙ СФЕРЫ.

3.1. Особенности синтеза математической модели для оценки показателей эффективности противодействия вредоносным программам.

3.2. Формальное представление процессов функционирования средств противодействия вредоносным программам.

3.3. Имитационная модель для оценки временных показателей эффективности противодействия вредоносным программам

3.4. Аналитические модели для оценки вероятностных показателей эффективности противодействия вредоносным программам. ^

3.5. Представление исходных данных для оценки вероятностных показателей эффективности противодействия вредоносным программам.

3.6. Выводы.

Глава 4. ВЫЧИСЛИТЕЛЬНЫЕ ЭКСПЕРИМЕНТЫ ПО ОЦЕНКЕ ЭФФЕКТИВНОСТИ ПРОТИВОДЕЙСТВИЯ ВРЕДОНОСНЫМ ПРОГРАММАМ В КРИТИЧЕСКИ ВАЖНЫХ СЕГМЕНТАХ ИНФОРМАЦИОННОЙ СФЕРЫ.

4.1. Методика планирования вычислительных экспериментов по оценке эффективности противодействия вредоносным программам

4.2. Результаты вычислительных экспериментов.

4.3. Анализ эффективности предложенного способа оценки противодействия вредоносным программам.

4.4. Выводы.

Введение диссертации (часть автореферата) на тему «Разработка и исследование алгоритмов комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы»

Актуальность темы исследования. Интенсивное развитие и совершенствование информационных технологий приводит к необходимости рассматривать в качестве доминирующей тенденцию расширения информационной сферы. Это обусловило появление отдельного класса элементов этой сферы, ее так называемых критически важных сегментов - информационных систем, обеспечивающих деятельность органов государственного управления /1/, систем управления инфраструктурой связи /2/, финансов /3/, энергетики /4/, транспорта 151 и чрезвычайных служб 161. Вместе с тем, расширение информационной сферы привело к появлению различного рода угроз элементам информационной сферы 111. При этом, главным объектом таких угроз стали ее критически важные сегменты. Это обусловило необходимость решения ряда проблем, связанных с организацией защиты информационной сферы с целью предотвращения ущерба от нарушения ее безопасности при наличии различных источников угроз /8 - 13/.

Одним из наиболее серьезных источников угроз информационной сферы являются вредоносные программы /14 - 16/ - один из основных инструментов противоправного манипулирования информацией /17/ в ее компьютерных сетях /18/. Вредоносные программы проектируются высококвалифицированными специалистами /19/ как программы вирусного типа /20 - 26/, что дает возможность использовать такие преимущества компьютерных вирусов как изоморфность структуры, способность создавать собственные копии и проявлять себя лишь при определенных параметрах вычислительной среды /27 - 28/. Эти свойства позволяют вредоносным программам реализо-вывать функции противозаконного манипулирования информацией за крайне короткие периоды времени, что значительно затрудняет возможность их обнаружения и устранения, и как следствие - ставит такие программы в разряд одного из самых совершенных, на сегодняшний день, инструментов противоправных действий в информационной сфере /29/.

Вредоносные программы влияют, в первую очередь, на временные характеристики элементов информационной сферы, так как результатом их воздействия являются значительные временные потери, связанные с восстановлением корректности информационных процессов.

В связи с этим становится очевидным, что вредоносные программы являются фактором существенного снижения эффективности применения, в первую очередь, критически важных сегментов информационной сферы, так как их деятельность ориентирована на оперативную обработку поступающей информации. Это, в свою очередь, позволяет отнести вредоносные программы к отдельному классу наиболее серьезных угроз безопасности информационной сферы.

Отсюда актуальной становится проблема защиты критически важных сегментов информационной сферы от данного вида угроз. Очевидно, что ее решение должно осуществляться системно, на основе всестороннего исследования технологий противодействия вредоносным программам. То обстоятельство, что такие технологии характеризуется множеством разнородных параметров, относит вопросы их исследования к числу сложных как в научном, так и в практическом плане.

Подобные исследования предполагают:

Проведение системного анализа состояния защищенности от вредоносных программ как в целом информационной сферы и ее отдельных критически важных сегментов;

Исследование эффективных способов и средств противодействия вредоносным программам;

Оценку технологий противодействия вредоносным программам в критически важных сегментах информационной сферы.

Все это обусловило необходимость поиска таких подходов в оценке эффективности противодействия вредоносным программам, которые системно учитывали бы все множество свойств используемых технологий.

Как показывает анализ состояния вопроса /30/, одним из наиболее перспективных путей решения данной задачи является синтез комплексного показателя, характеризующего возможности используемых технологий противодействия вредоносным программам. Вместе с тем, синтез комплексного показателя имеет ряд особенностей, связанных с наличием множества направлений как в классификации возможностей различных технологий противодействия вредоносным программам, так и в использовании для исследования математических средств.

Это позволило предложить принципиально новый подход к решению задачи комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы.

Суть данного подхода состоит в разработке обоснованных правил синтеза комплексного показателя эффективности противодействия вредоносным программам, форма которого будет оптимальной с точки зрения отражения возможностей применяемых технологий противодействия.

Несмотря на то, что совершенствование теории и практики обеспечения информационной безопасности стало чрезвычайно актуальной проблемой, специальные исследования применительно к задачам комплексной оценки эффективности противодействия вредоносным программам в информационной сфере вообще и противодействия вредоносным программам в ее критически важных сегментах, в частности, не проводились.

В связи с тем, что предлагаемый способ оценки эффективности противодействия вредоносным программам в доступной литературе не освещен, а известные методы не позволяют осуществлять всестороннюю оценку возможностей средств противодействия вредоносным программам, дает основания утверждать, что задача разработки методов комплексной оценки эффективности этих средств является чрезвычайно актуальной, а связанные с этим направлением вопросы нуждаются в серьезной проработке как в методическом, так и в прикладном плане. Все это свидетельствует об актуальности темы настоящей диссертационной работы, выполненной в соответствии с Доктриной информационной безопасности Российской Федерации 111, а также в соответствии с научным направлением Воронежского института МВД России, связанным с обоснованием требований к средствам и системам защиты информации.

Объектом исследования являются технологии противодействия вредоносным программам в критически важных сегментах информационной сферы.

Предметом исследования выступают методы комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы.

Целью диссертационной работы является совершенствование методов оценки противодействия вредоносным программам в критически важных сегментах информационной сферы на основе синтеза комплексного показателя эффективности используемых технологий противодействия.

Для достижения цели в работе решаются следующие научные задачи:

Теоретическое обоснование системных требований к синтезу комплексного показателя эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы;

Разработка алгоритма синтеза такого показателя;

Построение оптимальной структуры частных показателей эффективности используемых технологий противодействия вредоносным программам;

Разработка комплекса аналитических и имитационных моделей, обеспечивающих оценку показателей эффективности используемых технологий противодействия вредоносным программам;

Экспериментальная проверка алгоритмов комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы.

Методы исследования. В работе использованы методы системного анализа, теории информационной безопасности, теории множеств, теории графов, математического моделирования, теории вероятности и математической статистики, теории случайных процессов.

Обоснованность и достоверность полученных результатов обеспечивается:

Применением апробированного математического аппарата в процессе формализации процессов противодействия вредоносным программам;

Экспериментальной проверкой разработанных математических моделей и соответствием полученных результатов известным из научной литературы случаям.

Научная новизна и теоретическая значимость результатов, полученных в диссертации, состоит в следующем:

1. Разработаны алгоритмы комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы, отличающийся от известных способов решения аналогичных задач тем, что интегрирование частных показателей производится на основе учета их влияния на целевую функцию - степень предотвращения ущерба информационной сферы от нарушения ее безопасности.

2. Предложен методический подход к комбинированию имитационного и аналитического моделирования для оценки частных показателей технологий противодействия вредоносным программам, который, в отличие от аналогов, дает возможность управлять степенью детализации исследуемых процессов.

3. Предложены новые решения по построению математических моделей противодействия вредоносным программам, основанные на использовании подобия частных показателей используемых технологий противодействия классическому представлению случайных величин.

Практическая ценность исследования состоит в разработке эффективной системы поддержки решений по оценке используемых технологий противодействия вредоносным программам в критически важных сегментах информационной сферы, которая выполняет следующие функции:

Анализ и обобщение частных показателей противодействия вредоносным программам для различных практических вариантов используемых технологий противодействия;

Построение удобных для практического восприятия схем анализа технологий противодействия вредоносным программам;

Сравнение показателей эффективности различных технологий противодействия вредоносным программам.

Результаты теоретических и экспериментальных исследований могут быть использованы для решения следующих научно-прикладных задач:

Обоснования новых подходов к организации противодействия вредоносным программам в критически важных сегментах информационной сферы;

Анализа существующих технологий противодействия вредоносным программам в процессе их использования.

Полученные результаты могут применяться в лекционных курсах и учебных материалах высших учебных заведений при изучении основ информационной безопасности, а также при переподготовке персонала, отвечающего за безопасность критически важных сегментов информационной сферы.

На защиту выносятся следующие основные положения диссертационной работы:

1. Постановка и результаты решения задачи синтеза комплексного показателя эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы на основе построения оптимальной структуры частных показателей и его применения для оценки эффективности используемых технологий противодействия вредоносным программам.

2. Методический подход к комбинированию имитационного и аналитического моделирования для оценки частных показателей технологий противодействия вредоносным программам.

Внедрение результатов работы. Результаты диссертационной работы внедрены в:

Военном институте радиоэлектроники Министерства обороны Российской Федерации;

Воронежском институте Министерства внутренних дел Российской Федерации;

Главном Управлении внутренних дел Воронежской области;

Управлении внутренних дел Тамбовской области.

Внедрение результатов подтверждается соответствующими актами.

Апробация работы. Основные методические и практические результаты исследований докладывались на следующих конференциях:

Основные методические и практические результаты исследований докладывались на следующих конференциях:

1. Всероссийская научно-практическая конференция «Современные проблемы борьбы с преступностью» - Воронеж, 2002 г. /48/.

2. Межрегиональная научно-практическая конференция «Информация и безопасность» - Воронеж, 2002 г. /56/.

3. IV Всероссийская научно-практическая конференция «Охрана, безопасность и связь» - Воронеж, 2003 г. /49/.

4. Всероссийская научно-практическая конференция «Современные проблемы борьбы с преступностью» - Воронеж, 2005 г. /57/.

В работах, опубликованных в соавторстве, лично соискателем предложено: в /28/ - классифицировать компьютерные вирусы с учетом комплексного проявления ими свойств ассоциативности, репликативности и изоморфности; в /29/ - иллюстрацию использования злоумышленниками различных свойств компьютерных вирусов при реализации этапов обобщенной стратегии несанкционированного доступа к информации в компьютерных системах; в /30/ рассматривать в качестве основных классифицирующих признаков свойств вредоносных программ их активность и живучесть; в /35/ - систематизацию обстоятельств, обусловливающих необходимость сохранения в тайне действий правоохранительных органов; в /48/ - идентифицировать противоправные действия в сфере компьютерной информации с помощью двухуровневой системы, первый уровень которой обеспечивает выявление факта противоправного действия, а второй -следов таких воздействий; в /49/ - выявлять факты противоправного воздействия на информацию в компьютерных сетях с помощью смыслового контроля информационных параметров вычислительных процессов; в /50/ - в качестве основополагающего принципа идентификации компьютерных преступлений принцип иерархического описания стратегий несанкционированного доступа к информации в компьютерных системах; в /53/ - использовать технологии распределенной защиты информации в качестве источника криминалистически значимой информации при расследовании компьютерных преступлений; в /54/ - рассматривать в качестве доминирующего фактора повышения раскрываемости компьютерных преступлений наличие полного набора идентифицирующих признаков такого рода противоправных действий; в /56/ - рассматривать методику оценки защищенности информационно-телекоммуникационных систем от угроз их информационной безопасности как процедуру формирования иерархической структуры показателей рассмотреть в качестве примера функционально-информационной модели деятельность службы режима спецподразделения по обеспечению сотрудников служебной документацией; в /57/ - формировать комплексный показатель для оценки эффективности противодействия вредоносным программам на основе иерархической структуризации частных показателей; в /67/ - использовать функциональное описание информационных процессов как необходимый этап их формализации.

Структура и объем работы. Диссертация изложена на 164 страницах и состоит из введения, четырех глав, заключения, библиографического списка использованной литературы и приложения, содержит 51 рисунок и 19 таблиц.

Заключение диссертации по теме «Методы и системы защиты информации, информационная безопасность», Сушков, Павел Феликсович

4.4. Выводы

1. Оценку эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы целесообразно проводить на основе анализа различных вариантов использования средств противодействия в соответствии с планом вычислительных экспериментов.

2. Применение разработанных в диссертации методов оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы позволяет снизить на 50% номенклатуру используемых математических моделей.

3. Точностные характеристики предложенной в диссертации иерархической структуры показателей, за счет применения вероятностной шкалы как минимум на два порядка превосходят точностные характеристики известных интегрированных структур показателей.

4. Разработанный в диссертации метод оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы можно рассматривать как универсальный способ оценки защищенности информационных объектов.

Уровень 5

Цель защиты информации предотвращение ущерба от нарушения безопасности информации

Уровень 4

Уровень 3

Уровень 2

Возможности по предотварщению нарушения конфиденциальности (утечки) информации

Возможности по предотвращен ию нарушения целостности инфоормацин

Возможности по защите информации от ее утечки за счет побочных электромагнитных излучений и наводок

Возможности по предотвращению нарушения доступности (блокированию) информации

Возможности по защите информации от несанкционированного доступа

Возможности по защите речевой информации (от утечки по аккустическому каналу)

Возможности по предупреждению условий, благоприятных возникновению угроз

Возможности по предупреждению появления угроз НСД 1

Возможности по предупреждению появления угроз утечки информации через физические поля

Возможности по обнаружен и ю источников угроз

Воам< южк» ста по закрытию доступа в обход системы защиты и и форма-цкн

Возможности по нейтрал и зац ни угроз НСД X Х

Возможности по нейтрализац им угроз утечки информации через физические поля Х

Возможности по обнаружен и ю воздействий угроз НСД

Возможности по обнаружены ю воздействий угроз утечки информации по каналам ПЭМИН

Возможности по обнаружен и ю воздействий угроз утечки информации по акустическому каналу X

Возможности по восстановлен ию информации после воздействия угроз НСД

BOiMG&HdCTtt по восстановлен ию информации после воздействия угроз утечки информации по каналам ггемим

Возможности по восстановлен!! ю информации после воздействия угроз утечки информации акустическому каналу

Возможно*

Уровень 1

Возможно Возможно

Сти по -сти по ограниче- разгранинию чению доступа к доступа к информа- информационным ционным ресурсам ресурсам

ИТКС ИТКС

Возможности по скрытию излучений и наводок информативных каналов (физически х полей)

Возможно

Ста по дезинформации (имитации излучений и наводок)

Возможности по криптографическому преобразованию информаци

Возможно

Сти по контролю элементов (состоя ни й элементов)ТСОИ и ИТКС

Возможно ста по регистрации сведений о функционировании ТСОИ с точки зрения ЗИ

Возможно сти по своевременному уничтожению отработанной и неиспользуемой информации

Возможности по сигнаизации о проявлени и угроз НСД

Возможно сти по сигнаиэа-цин о проявлении угроз утечки информации по каналам ПЭМИН

Возможно сти по сигнаизации о проявлении угроз утечки информации по акустическим каналам ста по реагированию на проявлени еугроз (обезврежн ванию угроз) нед-

Возможности по енгнаизации о проявлени и угроз НСД

Возможно ста по реагированию на проявление угроз (обезвре жива ние угроз) по акустическим каналам

Рис. 4.3.2. Структура показателей разнородных технических систем и средств защиты информации информационно-телекоммуникационных систем

ЗАКЛЮЧЕНИЕ

Основные научные результаты, полученные в диссертационной работе, состоят в следующем:

1. Теоретически обоснован и практически реализован метод обобщенной оценки эффективности системы противодействия вредоносным программам в критически важных сегментах информационной сферы на основе структуризации частных показателей средств противодействия.

2. Разработан метод оптимизации структуры частных показателей противодействия вредоносным программам. В соответствии с ним предложено:

Совокупность показателей противодействия представлять в виде иерархической структуры с последовательным обобщением свойств средств противодействия;

Уровни иерархической структуры представлять в виде множеств показателей, соответствующих основным классам возможностей средств противодействия по обеспечению защищенности компьютерных сетей, составляющих материальную основу информационной сферы;

В качестве аппарата для исследования показателей эффективности противодействия вредоносным программам использовать имитационно-аналитические модели, описывающие процессы функционирования средств противодействия.

3. Разработана методика оценки различных вариантов оснащения компьютерных сетей антивирусными средствами, основанная на положениях теории вычислительных экспериментов с применением разработанных в диссертации математических моделей.

В диссертации получены следующие новые практические результаты:

1. Исследования, выполненные с помощью разработанных математических моделей противодействия вредоносным программам в критически важных сегментах информационной сферы, дают основания утверждать, что:

Применение разработанных в диссертации методов оценки противодействия вредоносным программам в критически важных сегментах информационной сферы позволяет снизить на 50% номенклатуру используемых математических моделей.

Точностные характеристики предложенной в диссертации иерархической структуры показателей, за счет применения вероятностной шкалы, как минимум на два порядка превосходят точностные характеристики известных интегрированных структур показателей.

Практическая значимость этих результатов состоит в том, что они позволяют количественно оценить целесообразность проведения мероприятий по противодействию вредоносным программам в критически важных сегментах информационной сферы.

2. Разработанные методики, модели и алгоритмы в совокупности представляют собой методическое обеспечение решения практической задачи оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы. Оно может быть использовано при решении аналогичных задач при оценке защищенности объектов информатизации от подобного рода угроз их информационной безопасности.

Список литературы диссертационного исследования кандидат технических наук Сушков, Павел Феликсович, 2005 год

1. Телекоммуникации. Мир и Россия. Состояние и тенденции развития / Клещев Н.Т., Федулов А.А., Симонов В.М., Борисов Ю.А., Осенмук М.П., Селиванов С.А. М.: Радио и связь, 1999. - 480 с.

2. Хомяков Н.Н., Хомяков Д.Н. Анализ безопасности АЭС при террористических актах. // Системы безопасности. 2002. - № 2(44). - С. 74-76.

3. Мошков Г.Ю. Обеспечение безопасности объектов транспортного комплекса наша приоритетная задача. // Системы безопасности. - 2003. - № 6(48). - С. 8-9.

4. Агапов А.Н. Ядерная и радиационная безопасность. Готовность к ЧС. // Системы безопасности. 2003. - № 2(50). - С. 8-10.

5. Доктрина информационной безопасности Российской Федерации // Российская газета от 28 сентября 2000 г.

6. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2-х кн.: Кн. 1. М.: Энергоатомиздат, 1994. - 400 с.

7. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2-х кн.: Кн. 2. М.: Энергоатомиздат, 1994. - 176

8. Герасименко В.А., Малюк А.А. Основы защиты информации: Учебник для высших учебных заведений Министерства общего и профессионального образования РФ М.: МИФИ, 1997. - 538 с.

9. Основы информационной безопасности: Учебник для высших учебных заведений МВД России / Под ред. Минаева, В.А. и Скрыль С.В. - Воронеж: Воронежский институт МВД России, 2001. - 464 с.

10. Щербаков А.А. Разрушающие программные воздействия. М.: Издательство "Эдель", 1993. 64 с.

11. Мухин В.И. Информационно-программное оружие. Разрушающие программные воздействия. // Научно-методические материалы. М.: Военная академия Ракетных войск стратегического назначения имени Петра Великого, 1998.-44 с.

12. Скрыль С.В. Классификация программных средств хищения и искажения информации в автоматизированных информационных системах // Высокие технологии в технике, медицине и образовании: Межвузовский сб. науч. тр., Ч. 2. Воронеж: ВГТУ, 1997. - С. 131-137.

13. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. / В.Г. Олифер, Н.А. Олифер СПб.: Питер, 2003. - 864 с.

14. Сырков Б.Ю. Компьютерная система глазами хакера // Технологии и средства связи. -1998. № 6. С. 98-100

15. Безруков Н.Н. Введение в компьютерную вирусологию. Общие принципы функционирования, классификация и каталог наиболее распространенных вирусов в MS-DOS. Киев, 1989. - 196 с.

16. Безруков Н.Н. Компьютерная вирусология: справочное руководство. -Киев, 1991.

17. Безруков Н.Н. Компьютерные вирусы. - М., 1991. - 132 с.

18. Касперский Е.В. Компьютерные вирусы в MS-DOS. М.: Издательство Эдель, 1992. - 120 с.

19. Касперский Е.В. Компьютерные вирусы, что это такое и как с ними бороться. М.: «СК Пресс», 1998. - 288 с.

20. Файтс Ф., Джонстон П., Кратц М. Компьютерный вирус: проблемы и прогноз. -М.: Мир, 1993. 175 с.

21. Гульев Н.А. Компьютерные вирусы, взгляд изнутри. М.: ДМК, 1998.-304 с.

22. Технологии разработки вредоносных программ на основе компьютерных вирусов // Е.Г. Геннадиева, К.А. Разинкин, Ю.М. Сафонов, П.Ф. Сушков, Р.Н. Тюнякин // Информация и безопасность. Вып.1. - Воронеж: ВГТУ, 2002. - С. 79-85.

23. Вирусологическая типизация вредоносных программ // JI.B. Чагина, К.С. Скрыль, П.Ф. Сушков // Наука производству, 2005. - Выпуск 6. - С. 12-17.

24. Минаев В.А., Скрыль С.В. Компьютерные вирусы как системное зло. // Системы безопасности СБ-2002: Материалы XI научно-технической конференции Международного форума информатизации - М.: Академия ГПС, 2002. - С. 18-24.

25. Системы и сети передачи данных: Учебное пособие. / М.В. Гаранин, В.И. Журавлев, С.В. Кунегин М.: Радио и связь, 2001. - 336 с.

26. Телекоммуникационные системы и сети: Учебное пособие В 3 томах. Том 1 Современные технологии / Б.И. Крук, В.Н. Попантонопуло, В.П. Шувалов - М.: Горячая линия - Телеком, 2003. - 647 с.

27. Защита информации в компьютерных системах и сетях. / Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. М.: Радио и связь, 2001. - 376 с.

28. Организационно-правовые аспекты ограничения доступа к информации в деятельности ОВД / Асяев П.И., Пожилых В.А., Сушков П.Ф., Бело-усова И.А., Потанина И.В., Разинкин К.А. // Информация и безопасность. -Выпуск 1. Воронеж: ВГТУ, 2002. - С. 43-47.

29. Касперски К. Техника сетевых атак. Приемы противодействия. М.: Солон-Р, 2001.-397 с.

30. Сердюк В.А. Перспективные технологии обнаружения информационных атак. // Системы безопасности. 2002. - № 5(47). - С. 96-97.

31. Программирование алгоритмов защиты информации: Учебное пособие. / Домашев А.в. Грунтович М.М., Попов В.О., Правиков Д.И., Прокофьев И.В., Щербаков А.Ю. М.: Нолидж, 2002. - 416 с.

32. Грушо А.А., Тимонина Е.Е. Основы защиты нформации. М.: Яхтсмен, 1996.-192 с.

33. Безопасность ведомственных информационно-телекоммуникационных систем. / Гетманцев А.А., Липатников В.А., Плотников A.M., Сапаев Е.Г. ВАС, 1997. 200 с.

34. Скрыль С.В. Моделирование и оптимизация функционирования автоматизированных систем управления органов внутренних дел в условиях противодействия вредоносным программам: Автореферат диссертации докт. техн. наук М.: Академия ГПС МВД России, 2000. - 48 с.

35. Джоэл Т. Пэтц Антивирусные программы / PC Magazine / Russian Edition, 1996, №3 (46), С. 70-85

36. Интеллектуальные технологии антивируса Doctor Web. / ЗАО «Диалогнаука». // Системы безопасности. 2002. - № 2(44). - С. 84-85.

37. Антимонов С.Г. Интеллектуальные противостояния по линии фронта Вирус-антивирус. // Информация и безопасность: Материалы межрегиональной научно-практ. конф. Информация и безопасность. - Выпуск 2. - Воронеж: ВГТУ, 2002. - С. 39-46.

38. Воробьев В.Ф., Герасименко В.Г., Потанин В.Е., Скрыль С.В. Проектирование средств трассологической идентификации компьютерных преступлений. Воронеж: Воронежский институт МВД России, 1999. - 136 с.

39. Следы компьютерных преступлений / Войналович В.Ю., Завгород-ний М.Г., Скрыль С.В., Сумин В.И. // Тезисы докладов международной конференции «Информатизация правоохранительных систем», Часть 2. М.: Академия управления МВД России, 1997. с. 53-55.

40. Методика проведения первичных следственных действий при расследовании преступлений в сфере высоких технологий. / Сушков П.Ф., Кочедыков С.С., Киселев В.В., Артемов А.А. Вестник ВИ МВД России 2(9)" 2001 - Воронеж: ВИ МВД России 2001. - С. 152- 155.

41. Повышение раскрываемости компьютерных преступлений // Бога-чев С.Ю., А.Н. Обухов, П.Ф. Сушков // Информация и безопасность. Вып. 2. - Воронеж: ВГТУ, 2004. - С.114 - 115.

42. Компьютерно-технические экспертизы противоправных действий. // Сушков П.Ф. // Вестник Воронежского института МВД России. Т. 4(19). -2004.-№4(19) - С. 52-55.

43. Мамиконов А.Г., Кульба В.В., Щелков А.Б. Достоверность, защита и резервирование информации в АСУ. М.: Энергоатомиздат, 1986. - 304 с.

44. Соколов А.В., Шаньгин В.Ф. Защита информации в распределенных корпоративных системах. М.: ДМК Пресс, 2002. - 656 с.

45. Хасин Е.В. Комплексный подход к контролю информационно-вычислительных систем. // Научная сессия МИФИ 2002: Материалы IX Всероссийской научно-практ. конф. - М.: МИФИ, 2002. - С. 110-111.

46. Бусленко Н.П. Моделирование сложных систем / Н.П. Бусленко. - М.: Наука, 1978.-400 с.

47. Советов Б.Я. Моделирование систем: Учебник для вузов по спец. «Автоматизированные системы управления» / Б.Я. Советов, С.А. Яковлев. - М.: Высшая школа, 1985. - 271 с.

48. Иглхарт Д.Л. Регенеративное моделирование сетей массового обслуживания: Пер. с англ. / Д.Л. Иглхарт, Д.С. Шедлер. М.: Радио и связь, 1984. - 136 с.

49. Бусленко В.Н. Автоматизация имитационного моделирования сложных систем / В.Н. Бусленко. - М.: Наука, 1977. - 239 с.

50. Тараканов К.В. Аналитические методы исследования систем / К.В. Тараканов, Л.А. Овчаров, А.Н. Тырышкин. - М.: Советское радио, 1974. 240 с.

51. Вилкас Э.Й., Майминас Е.З. Решения: теория, информация, моделирование. М.: Радио и связь, 1981. - 328 с. С. 91-96.

52. Принципы структурированного моделирования процессов обеспечения безопасности информационных систем специального назначения. / П.И. Асяев, В.Н. Асеев, А.Р. Можаитов, В.Б. Щербаков, П.Ф. Сушков // Радиотехника (журнал в журнале), 2002, №11.

53. Татг У. Теория графов: Пер. с англ. М.: Мир, 1988. - 424 с.

54. Вентцель Е.С. Теория вероятностей. М.: Изд-во физико-математической литературы, 1958. - 464 с.

55. Сборник научных программ на Фортране. Вып. 1. Статистика. Нью-Йорк, 1970. / Пер. с англ. М.: «Статистика», 1974. - 316 с.

56. Заряев А.В. Подготовка специалистов по информационной безопасности: модели управления: Монография М.: «Радио и связь», 2003. - 210 с.

57. Кини P.JI., Райфа X. Принятие решений при многих критериях предпочтения и замещения. М.: Радио и связь, 1981. - 560 с.

58. Ларичев О.И. Наука и искусство принятия решений. М.: Наука, 1979.-200 с.

59. Яковлев С.А. Проблемы планирования имитационных экспериментов при проектировании информационных систем. // Автоматизированные системы переработки данных и управления. Л.: 1986. - 254 с.

60. Интеллектуальные технологии антивируса Doctor Web. / ЗАО «Диа-логнаука». // Системы безопасности. 2002. - № 2(44). - С. 84-85.

61. Энциклопедия компьютерных вирусов. / Д.А. Козлов, А.А. Паран-довский, А.К. Парандовский М.: «Солон-Р», 2001. - 457 с.

62. Джоэл Т. Пэтц Антивирусные программы / PC Magazine / Russian Edition, 1996, №3 (46), С. 70-85.

63. Система сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.OOI.OIBHOO. Государственный реестр сертифицированных средств защиты информации. Официальный сайт Гостехкомиссии России, 2004.

64. Скрыль С.В. Моделирование и оптимизация функционирования автоматизированных систем управления органов внутренних дел в условиях противодействия вредоносным программам: Автореферат диссертации докт. техн. наук М.: Академия ГПС МВД России, 2000. - 48 с.

65. Оценка защищенности информации в информационно-телекоммуникационных системах. / Минаев В.А., Скрыль С.В., Потанин В.Е., Дмитриев Ю.В. // Экономика и производство. 2001. - №4. - С. 27-29.

66. Вентцель Е.С. Исследование операций М.: Советское радио, 1972 - 552 с.

67. Заде J1.A. Понятие лингвистической переменной и его применение к принятию приближенных решений. М.: Мир, 1976. - 168 с.

68. Поспелов Д.А. Логико-лингвистические модели в системах управления. М.: Энергия, 1981.-231 с.

69. Поспелов Д.А. Ситуационное управление: теория и практика. -М.: Наука, 1986.-284 с.

70. Райфа Г. Анализ решений (введение в проблему выбора в условиях неопределенности). М.: Наука, 1977. - 408 с.

71. Модели принятия решений на основе лингвистической переменной / А.Н. Борисов, А.В. Алексев, О.А. Крумберг и др. Рига: Зинатне, 1982. - 256 с.

72. Кофман А. Введение в теорию нечетких множеств. М.: Радио и связь, 1982. - 432 с.

73. Нечеткие множества в моделях управления и искусственного интеллекта. / Под ред. Д.А. Поспелова. М.: Наука, 1986. - 312 с.

74. Акты внедрения результатов исследования

75. Заместитель начальник отдела «К» ГУВД подполковник милиции1. Члены комиссии:ст. оперуполномоченный отдела «К» ГУВД капитан милицииоперуполномоченный отдела «К» ГУВД лейтенант милиции1. Соколовский И.В.1. Повалюхин А. А.1. Раздымалин Р.С.41. УТВЕРЖДАЮ

76. Зам. начальника УСТМ УВД Тамбовской области подполковник милиции1. Члены комиссии:1. B.JI. Воротников

77. Начальник отдела «К» УСТМ УВД Тамбовской области майор милиции

78. Ст.оперуполномоченный по ОВД УСТМ УВД Тамбовской области майор милиции1. Р.В. Белевитин1. А.В. Богданов

Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.

В.В. Киселев, В.А. Ярош

кандидат технических наук

ПРОТИВОДЕЙСТВИЕ ВРЕДОНОСНЫМ ПРОГРАММАМ: СПОСОБЫ

И СРЕДСТВА

В настоящее время в теории и практике информационной безопасности сложились два принципиально различных направления реализации способов противодействия вредоносным программам, первое из которых основано на концепции структурнонезависимых механизмов защиты информации и предполагает независимость информационных процессов и процессов противодействия таким программам , а второе, основанное на концепции структурно-зависимых механизмов защиты информации, предполагает зависимость этих процессов .

В соответствии с первым направлением средства противодействия вредоносным программам и программное обеспечение (ПО) защищенных информационных систем проектируются и разрабатываются независимо друг от друга, причем средства противодействия вредоносным программам придаются к уже разработанному ПО. Особенностью механизма противодействия в этом случае является то, что функции обнаружения вредоносных программ реализуются путем периодического контроля целостности вычислительной среды защищенных информационных систем с целью регистрации несанкционированных изменений, вызванных вредоносными программами.

В соответствии со вторым направлением реализуется двухуровневая система идентификации воздействий вредоносных программ: идентификация факта воздействия и идентификация следов воздействия. В свою очередь, идентификация факта воздействия вредоносной программы представляется двухуровневым механизмом контроля процессов функционирования защищенной информационной системы, регистрирующим некорректное поведение ее ПО:

путем сравнения текущих результатов выполнения функций обработки информации и функций контроля, полученных в динамике функционирования ПО;

путем выполнения операций сравнения текущих параметров вычислительного процесса в защищенной информационной системе с заранее известными эталонными величинами.

Особенностью такой совокупности средств контроля является то, что каждое такое средство в отдельности обладает ограниченными контролирующими характеристиками вредоносных функций, так как может охватить лишь некоторые, в основном неявные, признаки и проявления вредоносных программ. Для правильного принятия решения о том, что некорректное функционирование ПО защищенной информационной системы обусловлено именно воздействием вредоносных программ, производится анализ всей совокупности формируемых в результате идентификации фактов воздействия значимых признаков такого функционирования (трассология воздействия). При этом

анализируется последовательность всех контрольных точек и вызовов элементов ПО в соответствии с иерархией его построения с целью получения информации о времени, месте и условиях проявления воздействия вредоносной программы и последствий такого воздействия.

В основу реализации структурно-независимых механизмов идентификации вредоносных программ в защищенных информационных системах положены способы их детектирования с помощью профессиональных пакетов антивирусных средств. Основными методами при этом являются:

сканирование;

эвристическое сканирование;

СЯС-сканирование;

антивирусный мониторинг;

иммунизация.

Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти, а также поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые «сигнатуры» - последовательности байтов, однозначно характерные для конкретного вируса.

Длина сигнатуры должна быть как можно больше, а в идеале - в сигнатуру должна входить вся неизменяемая часть вируса, что гарантирует однозначность идентификации. Вместе с тем это бы значительно увеличило объем антивируса и существенно замедлило бы процесс сканирования. Как правило, целесообразной считается длина сигнатуры от единиц байт до десятков байт, но не больше.

Сканеры делятся на резидентные, производящие постоянное сканирование в режиме реального времени, и нерезидентные, обеспечивающие проверку системы только по запросу. Как правило, резидентные сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как нерезидентный сканер способен опознать вирус только во время своего очередного запуска. К достоинствам сканеров всех типов относится их универсальность, к недостаткам - размеры антивирусных баз, которые сканерам приходится включать в себя, и относительно небольшую скорость поиска вирусов.

Используемые во многих антивирусных пакетах алгоритмы анализа последовательности команд с целью формирования некоторой статистики и принятия решений о возможности заражения для каждого проверяемого объекта в известной литературе получили название методов эвристического сканирования. Универсальность методов эвристического сканирования позволяет детектировать большое количество вредоносных программ. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вредоносных программ, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний. Недостатком методов эвристического сканирования является относительно невысокая скорость поиска вредоносных программ. Следует заметить, что наблюдаемая в последнее время тенденция применения в эвристических сканерах так называемых антивирусных баз, где хранится информация о характерных фрагментах кодов вредоносных программ, позволяет лишь повысить возможности обнаружения таких программ, в то время как скорость их поиска практически не увеличивается.

Некоторые антивирусные средства для обнаружения вредоносных программ реализуют алгоритмы, основанные на подсчете контрольных сумм (СЯС-сумм) для всех хранимых на носителях файлов и системных секторов. Информация о контрольных суммах, а также данные о длине файлов, даты их последней модификации и т.д. сводится в базу данных и используется при последующих запусках СЯС-сканеров для

сравнения с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о воздействии вредоносной программы. Анализ алгоритмов CRC-сканирования показывает, что наилучшие возможности по обнаружению вредоносных программ имеют CRC-сканеры, использующие так называемые «антистелс»-алгоритмы. Однако у этого типа антивирусов есть принципиальный недостаток, состоящий в том, что CRC-сканеры не способны обнаружить вредоносную программу в момент ее появления в системе, а делают это лишь через некоторое время, уже после того, как вредоносная программа стала реализовывать свои функции. CRC-сканеры не могут детектировать вредоносную программу в новых файлах, например в электронной почте, на дискетах, в файлах, восстанавливаемых из файлов типа «backup» или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вредоносные программы, которые используют эту «слабость» CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для CRC-сканеров.

Антивирусные мониторы - это резидентные программы, контролирующие возникновение ситуаций, связанных с функционированием вредоносных программ. К таким ситуациям относятся вызовы на открытие для записи в выполняемые файлы, запись в загрузочные секторы дисков или MBR винчестера, попытки программ остаться резидентно и т. д., то есть вызовы, которые характерны для программ вирусного типа. К достоинствам мониторов относится их способность обнаруживать и блокировать вредоносные программы на самой ранней стадии их проявления. К недостаткам относится большое количество ложных срабатываний, что, видимо, и стало причиной непопулярности подобного рода антивирусных программ среди пользователей.

В последнее время, благодаря своей надежности, появились антивирусные мониторы, выполненные в виде аппаратных компонентов компьютера. Наиболее распространенной является встроенная в BIOS защита от записи в MBR винчестера, а также ряд универсальных аппаратных мониторов. Вместе с тем, сложность настройки и требования аппаратной совместимости таких типов мониторов серьезно сдерживает их применение.

Иммунизаторы - это программы, имитирующие заражение файлов вредоносными программами. Иммунизаторы делятся на два типа: иммунизаторы, осуществляющие контроль собственного тела, и иммунизаторы, блокирующие заражение определенным типом вредоносной программы. Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостатком таких иммунизаторов является неспособность детектировать заражение вредоносной программой, использующей «стелс»-алгоритм. Второй тип иммунизации защищает элементы компьютерных сетей от поражения вирусом определенного вида. Файлы на дисках модифицируются таким образом, что вирус воспринимает их как уже зараженные. Для защиты от вредоносных программ с механизмами резидентного вируса в память компьютера заносится программа, имитирующая копию вируса: при попытке вредоносной программы внедриться в файлы иммунизатор сообщает ей о том, что файлы уже заражены.

Анализ отечественных и зарубежных антивирусных средств показывает, что большинство из такого рода средств используют несколько механизмов детектирования вредоносных программ. В таблице 1 представлены результаты такого анализа.

Следует отметить, что качественное детектирование в большинстве случаев обеспечивается более новыми антивирусными средствами, базы данных которых имеют, как правило, сигнатуры самых новых вредоносных программ.

Таблица 1

Наименование антивирусного средства Механизм

Сканирова- ние Эвристическое сканирование CRC - сканирование Мониторинг Иммуниза- ция

ADINF («Диалог- Наука») +

DrWeb («Диалог- Наука») + +

AVP («Лаборатория Касперского») + +

Norton AntiVirus (Norton Inc.) + +

Анализ типовых ситуаций воздействия вредоносных программ на информационные процессы в защищенных информационных системах позволил установить, что действия вредоносных программ, как специфичного вида резидентных компьютерных вирусов файлового типа формально можно представить следующей последовательностью шагов:

перехват управления путем передачи ложного запроса базовому модулю операционной системы на обслуживание функций прерываний по выполнению программ (шаг 1);

восстановление исходного вида программы, в которую внедрена вредоносная программа (шаг 2);

инфицирование оперативной памяти компьютера (шаг 3);

выполнение вредоносных функций по противоправному манипулированию информацией (шаг 4);

возврат управления основной программе (шаг 5).

Существо соответствующих этим шагам способов идентификации воздействий вредоносных программ заключается в следующем.

Наиболее целесообразной формой обнаружения действий вредоносных программ, соответствующих шагам 1, 2 и 3, является:

1) сравнение последовательности выполняемых контрольных точек в программе с эталонной (контрольная функция типа 1);

2) анализ начала файла на наличие кодов команды перехода или кода, не соответствующего реальному адресу ее запуска, относящийся к типу контрольных операций проверки соответствия данных области значений (контрольная операция типа 1);

3) анализ векторов прерываний, соответствующих функциям загрузки и выполнения программ, также относящийся к типу контрольных операций проверки соответствия данных области значений (контрольная операция типа 1).

Так как при выполнении данных шагов вредоносная программа реализует системные функции, то операции обнаружения должны производиться только компонентами операционной системы под управлением ее базового модуля. При этом эталонная последовательность контрольных точек должна быть защищена.

Для контроля выполнения вредоносных функций (шаг 4) целесообразно использовать систему контрольных проверок, контролирующих как выполнение отдельных операций, так и реализацию целых функций ПО по обработке и передаче информации в защищенных информационных системах. При этом проверка операций обработки и передачи информации в ПМ осуществляется операциями контроля, а проверка функций обработки - функциями контроля, реализуемыми отдельными модулями контроля. Основными операциями контроля являются:

проверка соответствия данных области значений (контрольная операция типа 1); проверка предельных значений входных данных, промежуточных и выходных результатов (контрольная операция типа 2);

проверка времени выполнения ПМ (контрольная операция типа 3); проверка периодичности выдачи результатов или периодичности выполнения ПМ (контрольная операция типа 4);

проверка соответствия данных их типам (контрольная операция типа 5); проверка формата записей данных требуемым шаблонам (контрольная операция типа 6).

К числу основных функций контроля относятся:

проверка получаемых результатов путем обработки другим методом (контрольная функция типа 2);

проверка результатов путем получения из них исходных данных обратной обработкой (контрольная функция типа 3);

проверка расчетных значений некоторых признаков получаемых результатов (число записей, объемы массивов и т.д.) с их текущими значениями (контрольная функция типа 4);

проверка текущих значений полей данных в записях и массивах путем сравнения результатов выполнения математических операций над ними с заранее вычисленными условиями (контрольная функция типа 5);

проверка текущих значений результатов обработки со значениями математически или логически связанных с ними величин (контрольная функция типа 6);

проверка смысловых соотношений между результатами обработки (контрольная функция типа 7).

Так как при выполнении данного шага вредоносная программа реализует прикладные функции, то операции обнаружения ее воздействия могут производиться компонентами прикладного ПО без привлечения компонентов операционной системы.

Наиболее целесообразной формой контроля действий вредоносной программы на шаге возврата управления основной программе (шаг 5) является, как и на шаге перехвата управления (шаг 1), сравнение последовательности выполняемых контрольных точек в программе с эталонной (контрольная функция типа 1), выполняемой компонентами операционной системы.

Обобщенные результаты рассмотренного анализа способов обнаружения воздействий вредоносных программ приводятся в таблице 2.

Таблица 2

Шаг действия

вредоносной Форма контроля Уровень контроля

программы

1 Контрольная функция типа 1 Системный

2 Контрольная операция типа 1 Системный

3 Контрольная операция типа 1 Системный

4 Контрольные операции типа 1-6 Контрольные функции типа 2-7 Прикладной

5 Контрольная функция типа 1 Системный

Особенностью идентификации следов воздействия вредоносных программ является прослеживание через точки вызова программных модулей всей последовательности выполнения информационного процесса во всех контрольных точках. Сами же контрольные точки выбираются исходя из требований достоверности идентификации фактов воздействия вредоносных программ.

ЛИТЕРАТУРА

1. Козлов В.Е. Теория и практика борьбы с компьютерной преступностью /

В.Е. Козлов. - М.: Горячая линия - Телеком, 2002.- 176 с.

2. Касперски К. Техника сетевых атак. Приемы противодействия / К. Касперски. - М.: Солон-Р, 2001.- 397 с.

3. Сердюк В. А. Перспективные технологии обнаружения информационных атак / В.А. Сердюк // Системы безопасности.- 2002.- № 5(47).- С. 96-97.

4. Антимонов С.Г. Интеллектуальные противостояния по линии фронта Вирус-антивирус // Информация и безопасность: материалы межрегиональной научно-практ. конф.- Информация и безопасность.- Выпуск 2.- Воронеж: ВГТУ, 2002.- С. 39-46.

5. Распределенный антивирусный контроль как способ противодействия вредоносным программам в автоматизированных информационных системах / С. В. Скрыль и др. // Радиосистемы.- Вып. 37 «Радиотехнические и информационные системы охраны и безопасности».- Радиотехника.- 1999.- №6.- С. 27-30.

6. Минаев В.А. Принципы организации противодействия вредоносным программам в информационно-телекоммуникационных системах на основе оптимизации их функционирования / В. А. Минаев, С.В. Скрыль // Радиосистемы.- Вып. 47 «Радиотехнические и информационные системы охраны и безопасности».- Радиотехника.- 2000.- №9.- С. 71-72.

7. Лозинский Д.Н. Информационная безопасность. Проблема нового тысячелетия / Д.Н. Лозинский, Е.В. Плескач // Системы безопасности.- 2002.- № 4(46).- С. 13.