автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Нейросетевая система обнаружения аномального поведения вычислительных процессов микроядерных операционных систем

004617598 На правах рукописи

ДЬЯКОНОВ Максим Юрьевич

НЕЙРОСЕТЕВАЯ СИСТЕМА ОБНАРУЖЕНИЯ АНОМАЛЬНОГО ПОВЕДЕНИЯ ВЫЧИСЛИТЕЛЬНЫХ ПРОЦЕССОВ МИКРОЯДЕРНЫХ ОПЕРАЦИОННЫХ СИСТЕМ

Специальность: 05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

1С ЛЕК 2010

Уфа-2010

004617598

Работа выполнена на кафедре вычислительной техники и защиты информации и кафедре информатики ГОУ ВПО Уфимский государственный авиационный технический университет

Научный руководитель д-р техн, наук, проф.

Валеев Сагит Сабитович

каф. информатики

Уфимский государственный авиационный технический университет

Официальные оппоненты д-р техн. наук, проф.

Миронов Валерий Викторович каф. автоматизированных систем управления Уфимский государственный авиационный технический университет

канд. техн. наук

Саляхов Алмаз Фанилович

ООО «Лукойл-Информ» филиал в г. Уфа

Ведущая организация ГОУ ВПО «Челябинский государственный

университет»

Защита состоится 29 декабря 2010 г. в 10 часов на заседании диссертационного совета Д-212.288.07 при Уфимском государственном авиационном техническом университете по адресу: 450000, Уфа-центр, ул. К. Маркса, 12.

С диссертацией можно ознакомиться в библиотеке университета. Автореферат разослан «¿¿ц> ноября 2010 г.

Ученый секретарь диссертационного совета д-р техн. наук, проф.

С. С. Валеев

Общая характеристика работы

Актуальность темы

Основной задачей исследований в области защиты информации является совершенствование известных и разработка новых методов, алгоритмов обеспечения безопасности информации в процессе ее сбора, хранения, обработки, передачи и распространения. В документе «Приоритетные проблемы научных исследований в области обеспечения информационной безопасности Российской Федерации» приведен список приоритетных направлений научных исследований, в числе которых под номером 63 указало следующее: «Исследование проблем обнаружения компьютерных атак на информационно-телекоммуникационные системы и противодействия компьютерному нападению». Статистика по числу инцидентов в области информационной безопасности, приводимая в различных Интернет-изданиях, показывает, что многие методы проведения атак на информационные системы (ИС) в некоторых случаях не удается распознать с использованием существующих средств защиты информации. Этот недостаток может привести к нарушению конфиденциальности, целостности или доступности информации. Возникают задачи, связанные с созданием методов и алгоритмов, способных достоверно распознавать новые типы атак и предупреждать их распространение в ИС.

Одним из уязвимых мест ИС является программное обеспечение. Большинство атак направлено на использование существующих известных уязвимостей прикладного и системного программного обеспечения. Существующие средства защиты информации достаточно эффективно справляются с обнаружением известных типов атак на основе их сигнатур. В то же время существует иной класс атак, для которых сигнатуры не известны. Обнаружение и предотвращение атак с неизвестными сигнатурами наиболее сложная и нетривиальная задача. К сложному по архитектуре и реализации системному программному обеспечению относятся операционные системы.

Существует множество классификаций типов операционных систем и областей их практического применения. Как показал анализ, выделяют три типа операционных систем: монолитные, микроядерные и гибридные. Монолитные и гибридные архитектуры в основном применяются в серверных многопользовательских системах и персональных компьютерах общего назначения. К основным особенностям указанных архитектур следует отнести высокую сложность реализации и подверженность к нестабильной работе в случае нарушения работоспособности отдельных программ, входящих в состав операционной системы (драйверы устройств, подгружаемые модули ядра и т.п.). К достоинствам относится их универсальность. Микроядерные операционные системы в большинстве случаев имеют практическую применимость в классе встраиваемых систем. Под встроенными системами понимаются механические или электронные устройства, управляемые вычислителем, встроенным в само устройство. Примеры встраиваемых систем: автоматизированные системы управления технологическими процессами, технические системы защиты информации, бортовые компьютеры летательных аппаратов,

БСАБА-системы, телекоммуникационные устройства, платежные терминалы и т.п. Область применения встраиваемых систем расширяется с каждым годом. В некоторых случаях возможна интеграция их в сетевые приложения. С точки зрения информационной безопасности во встраиваемых системах применение распространенных средств защиты информации оказывается малоэффективным ввиду специфики встраиваемых систем, области их приложений и ограниченной номенклатуры используемых программных средств. В результате анализа выяснилось, что известные типы атак также могут нарушать безопасность микроядерных операционных систем встраиваемых устройств. В данной работе рассматривается задача обеспечения безопасности микроядерных операционных систем на примере встраиваемых систем, обладающими внешними интерфейсами взаимодействия.

Вопросам обнаружения атак на различные компоненты ИС посвящены исследования В. И. Васильева, Д. Денинг, А. В. Лукацкого, А. В. Мельникова, Ю. В. Романец, С. Форестер, В. Ф. Шаньгина, и др. Несмотря на это область исследования безопасности встраиваемых систем недостаточно проработана: к нерешенным задачам можно отнести анализ в реальном времени аномального поведения вычислительных процессов микроядерных операционных систем. В результате анализа выяснилось, также, что при разработке систем обнаружения атак в недостаточной мере используются потенциал нейросетевых классификаторов. Таким образом, задача разработки эффективных методов и алгоритмов обнаружения атак па ИС с микроядерными операционными системами является актуальной.

Цель и задачи исследования

Объектом исследования в работе является обеспечение основных свойств информационной безопасности вычислительных процессов в микроядерной операционной системе (МОС). В качестве предмета исследования рассматриваются методы и алгоритмы распознавания аномального поведения вычислительных процессов на основе технологий искусственных нейронных сетей.

Целью исследования является повышение защищенности микроядерных операционных систем на основе методов и алгоритмов распознавания аномального поведения процессов.

Для достижения поставленной цели в работе были сформулированы следующие задачи:

1. Разработка принципов построения системы обнаружения аномального поведения вычислительных процессов микроядерных операционных систем.

2. Разработка модели вычислительного процесса в микроядерной операционной системе на основе сбора статистики штатного поведения вычислительных процессов, необходимой для решения задачи распознавания аномального поведения вычислительных процессов и выявления новых типов атак с неизвестными сигнатурами.

3. Разработка метода и алгоритмов для нейросетевой системы обна-

ружения аномального поведения вычислительных процессов в микроядерной операционной системе.

4. Разработка исследовательского прототипа нейросегевой системы обнаружения аномального поведения вычислительных процессов в микроядерной операционной системе, реализующей функции сбора статистической информации о поведении вычислительных процессов и классификацию состояний на основе самообучаемой нейронной сети.

5. Оценка эффективности предложенного метода и алгоритмов на базе микроядерной операционной системы.

Методы исследования

При работе над диссертацией использовались: методология защиты информации, методы системного анализа, теория множеств, теория вероятности, теория моделирования дискретных систем, теория нейронных сетей. Для оценки эффективности предлагаемых решений использовались методы математического и имитационного моделирования.

Основные научные результаты, полученные автором и выносимые на защиту

1. Принципы построения системы обнаружения аномального поведения вычислительных процессов в микроядерной операционной системе, для осуществления сбора статистической информации о поведении системных процессов на уровпе микроядра и распознавания класса поведения на основе нейросетевого классификатора.

2. Модель вычислительного процесса в микроядерной операционной системе на основе сбора статистики штатного поведения вычислительных процессов.

3. Метод и алгоритмы обнаружения аномального поведения вычислительных процессов на основе иерархической структуры микроядерной операционной системы, модели вычислительного процесса и нейронных сетей.

4. Методика обнаружения аномального поведения вычислительных процессов в микроядерной операционной системе на базе нейронной сети.

Обоснованность и достоверность результатов диссертации

Обоснованность результатов, полученных в диссертационной работе, базируется на использовании апробированных научных положений и методов исследования, корректным применением математического аппарата, согласованности новых результатов с известными теоретическим положениями.

Достоверность полученных теоретических положений и выводов подтверждается результатами имитационного моделирования, апробации и промышленного внедрения предложенных алгоритмов обнаружения аномального поведения процессов.

Практическая ценность работы

1. Обеспечивается повышение эффективности решения задач защиты информации в микроядерной операционной системе.

2. Разработан алгоритм обнаружения аномального поведения вычислительных процессов в микроядерной операционной системе на базе нейронной сети, позволяющий решать задачи обеспечения информационной безопасности.

3. Результаты исследования приняты к внедрению в виде программного прототипа для анализа поведения вычислительных процессов телекоммуникационного оборудования в Уфимский филиал ОАО «Вымпелком» (Билайн).

Связь исследований с научными программами

Исследования выполнялись с 2006 г. по 2010 г. на кафедре вычислительной техники и защиты информации Уфимского государственного авиационного технического университета, в том числе в рамках гранта РФФИ №07-08-00386 «Методы и алгоритмы интеллектуального управления информационной безопасностью высшего учебного заведения» (2007-2009 гг.)

Апробация работы

Основные научные и практические результаты диссертационной работы докладывались и обсуждались на следующих конференциях:

- 2-я региональная зимняя школа-семинар аспирантов и молодых ученых. Интеллектуальные системы обработки информации и управления, Уфа, 2007;

- XXXIII Международная молодежная научная конференция «Гагарин ские чтения». Научные труды в 8 томах, Москва, 2007 г.;

- Всероссийская молодежная научная конференция с международным участием «IX Королевские чтения», Самара, 2007 г.

- 10, 11, 12 Международные научные конференции «Компьютерные науки и информационные технологии» (СБГГ), Красноусольск, 2007 г., Анта-лия, Турция 2008, Крит, Греция, 2009;

-Всероссийская молодежная научная конференция «Мавлютовские чтения», Уфа, 2007 г., 2008 г., 2009 г.;

- Всероссийская научно-техническая конференция с международным участием «Актуальные проблемы информационной безопасности. Теория и практика использования программно-аппаратных средств», Самара, 2008 г.;

- 4-я региональная зимняя школа-семинар аспирантов и молодых ученых. Интеллектуальные системы обработки информации и управления, Уфа,

2009 г.;

- Всероссийская научно-техническая конференция студентов, аспирантов и молодых ученых, г. Томск, 2009 г.;

- III Международная научно-практическая конференция «Актуальные проблемы безопасности информационных технологий», Красноярск, 2009 г.;

- Научно-техническая конференция «Свободный полет», Уфа, 2010 г.

- Зимняя школа-семинар молодых ученых и аспирантов, Уфа,

2010 г.

Публикации

Результаты диссертационной работы отражены в 16 публикациях: в 11 научных статьях, в том числе 1 статья в рецензируемом журнале из списка периодических изданий, рекомендованных ВАК, в 5 тезисах докладов в материалах международных и российских конференций.

Структура и объем работы

Диссертационная работа состоит из введения, четырех глав, заключения, приложений, библиографического списка и изложена на 154 страницах машинописного текста. Библиографический список включает 82 наименования литературы.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность темы исследований в области повышения защищенности микроядерных операционных систем. Формулируется цель работы и решаемые в ней задачи, обсуждается научная новизна и практическая ценность выносимых на защиту результатов.

В первой главе выполняется анализ основных признаков и источников информации об атаках, направленных на различные информационные системы. Также проанализированы различные технологии обнаружения атак, указаны достоинства и недостатки существующих методов. Делается вывод о целесообразности разработки новой архитектуры, методов и алгоритмов системы обнаружения аномального поведения процессов микроядерной операционной системы, позволяющей повысить эффективность защиты информации в совокупности с существующими технологиями.

Во второй главе рассматривается задача разработки принципов построения системы обнаружения аномального поведения вычислительных процессов (СОАПП). Рассматриваются особенности архитектуры микроядерной операционной системы М1№Х 3, принципы организации взаимодействия процессов между различными компонентами МОС. Выполняется анализ основных поведенческих характеристик вредоносного ПО, построены модели типичного поведения при осуществлении атаки. Предлагается иерархическая модель МОС и проводится анализ данной модели на предмет выявления уровня, на котором задача обнаружения аномального поведения решается более эффективно. Анализируются структуры данных микроядра с целью выделения значимых для СОАПП атрибутов при классификации поведения процессов. Предлагается статистическая модель поведения вычислительного процесса в МОС, которая используется в качестве основы при формировании базы данных векторов поведения процессов. Предлагается модульная архитектура СОАПП, позволяющая эффективно решать задачи сбора статистики поведения процессов и их классификации. В качестве неделимой единицы выполнения задачи в микроядерной операционной системе является вычислительный процесс - изменяющийся набор системных структур данных, отражающих состояние программы в момент исполнения. Поведение

процесса может делиться на две составляющие: нормальное и аномальное, т.е. не удовлетворяющее установленным требованиям. Задача обнаружения аномального поведения процесса является комплексной, поскольку поведение любого процесса в МОС можно охарактеризовать некоторым набором состояний и признаков нахождения в соответствующем состоянии. Таким образом, задачу обнаружения аномального поведения процессов можно разбить на две подзадачи: выявление признаков или атрибутов, характеризующих состояние, а также поведение процесса; распознавание по ряду значащих характеристик аномального поведения на основе выявленных признаков. Первая подзадача связана с построением модели процесса в МОС, отражающей его состояние в любой момент времени функционирования. Сложность данной подзадачи заключается в том, что в большинстве случаев отсутствует исходная информация для определения возможных состояний процесса, например, такая как граф взаимодействия модулей процесса, исходные тексты процесса и т.п. Вторая подзадача связана непосредственно с методами и алгоритмами распознавания аномальных состояний, так как неполная модель процесса или недостаточность признаков приводит к уменьшению эффективности используемых подходов в существующих системах обнаружения аномального поведения.

В ходе анализа выделяются информационные потоки и модули, характерные для задачи распознавания аномального поведения (рис. 1).

ВС

ПО в СОАП В' МОС

м М'

Рисунок 1 - Модель взаимодействия компонентов ВС

(!)

)М|-|М|-»тах, (2)

где В - множество системных вызовов, совершаемые ПО при нормальном функционировании ВС; В' - множество системных вызовов, которые классифицируются СОАП как допустимые для данного ПО; М - множество вредоносных системных вызовов, приводящих к нарушению нормального функционирования ВС и способных привести к возникновению уязвимостей или угроз; М' - множество вредоносных системных вызовов, неверно классифицированных СОАП.

Для обеспечения безопасности МОС необходимо выполнение условий (1) - надежная работа ПО, не проявляющего аномалий и (2) - увеличение числа обнаруживаемого вредоносного ПО, с неизвестными сигнатурами.

Анализ архитектуры и принципов взаимодействия модулей МОС показал, что в структуре МОС можно выделить три иерархических уровня:

- уровень исполнения (УИ);

- уровень координации (УК);

- уровень планирования (УП).

К исполнительному уровню отнесены устройства ПК и микроядро ОС (рис. 2), взаимодействующих на данном уровне посредством команд прерывания внешних устройств, команд ввода/вывода, команд обмена информацией между компонентами микроядра. Взаимодействие микроядра с вышестоящим уровнем координации обеспечивается посредством системных вызовов. К уровню координации отнесены системные библиотеки, драйверы устройств, менеджеры файловой системы и процессов, взаимодействующих с вышестоящим уровнем планирования с использованием интерфейса прикладного программирования и системных библиотек. На уровне планирования находится прикладное ПО пользователя (рис. 2), которое получает команды и данные для обработки от пользователя и других программных модулей.

Уровень планирования

Уровень координации

Уровень исполнения

Приложения пользователя (Прикладное ПО)

........:------------А'...................

Интерфейс прикладного программирования (АР1)

Системные библиотеки, драйверы устройств, менеджер файловой _системы, менеджер процессов_

Системные вызовы

Микроядро ОС

13

"Прерывания устройств (команды ввода/вывода)

Устройства ПК

Рисунок 2 - Иерархические уровни МОС

В ходе анализа иерархических уровней МОС показано, что уровень исполнения является ключевым для МОС, так как через него проходят любые информационные потоки, связанные с системными вызовами.

Управляющая часть процесса для микроядра на уровне исполнения представлена некоторым определенным подмножеством системных вызовов, которые передают запросы более верхних уровней микроядру ОС. Независи-

мо от сложности, любой запрос верхнего уровня в итоге будет отображен в множество системных вызовов, которые предоставляет микроядро для работы процессов. Как было указано выше, мощность данного множества может варьироваться в зависимости от типа и назначения операционной системы.

Как известно, каждый процесс характеризуется в МО С несколькими структурами данных, чаще всего, это таблицы, содержащие атрибуты процесса и определяющие его состояние в рамках МОС (рис. 3). Информация о текущем состоянии процессов сохраняется в таблицах, используемые МОС для планирования запуска процессов и управления ВС.

Таблица менеджера процессов

Рисунок 3 - Пример таблиц процессов, содержащих различные атрибуты процессов

При функционировании процесса и выполнении им определенных разработчиком функций, связанных с управлением ВС, значения атрибутов в таблицах МОС изменяются.

Коп процесса Таблица системных вызовов

Счетчик команд 0 Команда процессора 1 1 0 EXIT

1 Команда процессора 2 1 1 EXEC

? Команда процессора 3 1 V FORK

/

N Команда процессора N м READ

MQC

Рисунок 4 - Процесс совершает системные вызовы при определенных значениях счетчика команд

Следует отметить, что, во-первых, системные вызовы совершаются процессом в определенных точках кода процесса, т.е. в момент вызова счетчик команд имеет определенное значение (рис. 4), а, во-вторых, при исполнении процесс совершает системные вызовы с частотой, необходимой для выполнения алгоритма, который он реализует. Как известно, код ПО, в большинстве случаев, можно представить в виде графа потока управления, где в узлах графа находятся участки кода, не содержащие команд условного и безусловного перехода, а направленные дуги - команды перехода от одного участка кода к другому (рис. 5). При совершении любого системного вызовы происходит переключение процесса из режима пользователя в привилегированный режим ядра операционной системы и, таким образом, изменяется

граф потока управления процесса.

I 4 / ! I

• Возврат в -■<------М 6 )

[ вызывающий ! ^—'

Пример графа , блок кода I Пример графа

ютака управления' 1 потока управления

процесса | | МОС

пользователя ' '

Рисунок 5 - Изменение графа потока управления при совершении системного вызова

После обработки системного вызова микроядро возвращает управление процессу, совершившему системный вызов. Таким образом, для разных процессов статистически можно выделить в графе потока управления узлы, в которых совершаются системные вызовы, а также построить статистическую модель системных вызовов, характеризующих поведение процесса. Рассмотрим обобщенную модель вычислительного процесса микродерной операционной системы, представленную в виде множества вычислительных процессов Р.

Основные характеристики модели процесса приведены в табл. 1. Для реализации определенной функциональности системы каждый вычислительный процесс использует системные вызовы МОС из

Предполагается, что в зависимости от типа вычислительного процесса системные вызовы совершаются с характерной для них частотой, образуя множество V.

Таблица 1 - Основные характеристики модели вычислительного процесса

мое

Характеристика модели Описание

Множество пользовательских процессов, где у -число процессов

Множество системных вызовов, где и - число системных вызовов

MvJ Множество частот системных вызовов пользовательских процессов,где теИ

G:PxSxS->V Функция формирования матрицы смежности системных вызовов

H: PxS*S —>V Функция формирования матрицы частот последовательных системных вызовов

Квадратная матрица смежности системных вызовов пользовательского процесса рк, где \тт - частота совершения вызова $т

Квадратная матрица частот системных вызовов пользовательского процесса рк, где \т] - частота совершения вызова х, после

D-{dr\dr e Z;r + Содержимое стека процесса при системном вызове

Предполагается, что множество системных вызовов S, а также соответствующее множество частот системных вызовов V вычислительного процесса остаются постоянными при многократном запуске системного процесса.

\G(p, ~> const при t со (3)

|Я(/>,5,з)] -> const при t ->• СО (4)

Поставим задачу сбора статистики совершения системных вызовов вычислительного процесса S и соответствующих частот системных вызовов V, а также последующего анализа состояния процессов OCPB на базе данной статистики.

Пусть Р, S, V, I, J, D - множества, характеризующие нормальное состояние MOC, полученные при многократном запуске вычислительных процессов в системе до момента времени t. А множества Р, S, V, I, J, D отражают новое состояние системы в момент времени ?/>/. Таким образом, предполагается, что для анализа состояния процессов MOC может оказаться достаточным сравнение множеств I, J, D с множествами I, J, D.

Г п 1 = 1' (5)

J'nJ = J' (6)

D'nD = D' (7)

S'r\S = S' (8)

В итоге, задача анализа состояний процессов МОС по совокупности системных вызовов и их частотных характеристик сводится к задаче распознавания образов. Задача может быть эффективно решена на базе нейросете-вого классификатора.

В третьей главе рассматриваются задачи разработки алгоритма сбора статистики поведения процессов в МОС, алгоритма анализа состояний процесса, а также классификации на основе применения искусственных нейронных сетей. В качестве классификатора предлагается использовать самоорганизующиеся карты Кохонена. При построении векторов поведения процессов используется статистическая модель процесса, позволяющая выделить значимые для задачи классификации признаки. Модульная архитектура СО-АПП позволяет реализовать способность к самообучению.

Обобщенную модель процесса на уровне системных вызовов можно представить следующим образом (рис. б).

<Т12,012> <Т23,023> <Т34,034> <Т4п,04п>

<Т21,021> <Т32,032> <Т43,043> <Тп4,0п4>

Рисунок 6 - Обобщенная модель процесса на уровне системных вызовов где: Ту - путь перехода от г'-го системного вызова к у'-му в графе потока

управления процесса; £>(. - поток данных, передаваемых при переходе от /-го системного вызова к j-м^y в графе потока управления процесса; г, у = 1 + п — общее число системных вызовов, совершаемых процессом.

В алгоритме сбора статистики и извлечения признаков аномального поведения используется информация о пути перехода.

Предложена архитектура СОАПП, которая отличается от известных тем, что встраивается непосредственно в микроядро ОС для повышения эффективности функционирования. Для реализации принципа модульности вся структура СОАПП разделена на отдельные модули: модуль сбора статистики (МСС); модуль анализа состояний процесса (МАСП); нейросетевой модуль классификации (НСМК).

В результате проведенных исследований с СОАПП образовалась БД векторов поведения процессов. Для каждого из выбранных процессов был выполнен анализ частоты используемых системных вызовов при обращении к ним. Результаты численного эксперимента в графическом виде представлены на рис. 7.

Рисунок 7 - Гистограммы частот совершения системных вызовов процессами

мое

В графическом виде матрицы смежности некоторых системных вызовов можно представить следующим образом (рис. 8).

Рисунок 8 - Графическое представление матриц смежности системных вызовов процессов МОС

Как показано, каждый системный процесс может отличаться от другого частотами совершения системных вызовов, а также подмножеством совершаемых системных вызовов. Также в качестве признака аномального поведения процесса в МОС использовались данные из программного стека процесса. Эти характеристики использовались для повышения качества распознавания аномальных событий. Как показали результаты эксперимента, программные стеки процессов МОС отличаются друг от друга, а также отличны во многих случаях и между собой внутри одного процесса. Этот факт подтверждает целесообразность применения данных программного стека об адресах возврата процесса в качестве признака поведения процесса.

Для решения задачи сбора статистической информации о поведении процесса оказывается достаточным использование указанных признаков аномального поведения процесса. Задача классификации состояний эффективно решается с использованием самоорганизующейся нейронной сети.

В четвертой главе рассматриваются особенности реализация системы обнаружения аномального поведения процессов в МОС. Предлагаемая система обнаружения аномального поведения процессов встраивается в микроядро ОС, что повышает уровень защищенности МОС. Модульность и открытость архитектуры позволяют адаптировать систему при использовании на различных аппаратных и программных платформах, а также, при необходимости, производить замену отдельных модулей при необходимости. Разработанная система обнаружения аномального поведения процессов размещается на исполнительном уровне предложенной иерархической структуры МОС, что позволяет осуществлять перехват всех возможных обращений с запросами на предоставление служб мнкроядра - системных вызовов. Таким образом, обеспечивается контроль поведения процессов в МОС с учетом статистики совершения системных вызовов и частотных характеристик поведения процессов СОАПП.

В качестве основной цели модуля сбора статистики является сбор первичной информации из различных системных структур данных. Для реализации поставленной цели необходимо выполнение следующих задач: перехват сообщений с запросами на выполнение системных вызовов, пересылаемых микроядру; сбор исходных данных о поведении процесса из системных структур МОС и секции стека процесса; ведение БД поведенческих характеристик процессов; установка режима работы СОАПП.

Главной задачей модуля анализа состояний процессов является координация действий компонентов СОАПП и МОС. В связи с этим выделен следующий ряд подзадач:

1. Поддержка актуального состояния таблицы текущего поведения процессов.

2. Оценка отклонения поведения процессов по различным статистическим характеристикам.

3. Блокирование выполнения системного вызова и уведомление пользователя системы, либо занесение соответствующей записи в журнал работы СОАПП.

Целью НСМК является оценка наличия аномальности в поведении исполняющихся процессов в МОС. Исходя из поставленной цели, модуль решает следующий набор задач:

1. Предварительная обработка исходных данных для формирования вектора поведения процесса.

2. Классификация состояния вектора поведения процесса на предмет наличия аномальности с использованием аппарата самообучаемой нейронной сети.

Таблица 2 - Сравнение различных классификаторов

Классификатор Верно классифицировано, % Ошибочно классифицировано, %

Байесса 92,07 7,93

Многослойный персептрон 95,25 4,75

Самоорганизующиеся карты Кохонена 98,25 1,75

Сравнительный анализ классификаторов показал (см. табл. 2, рис. 9), что самоорганизующиеся карты Кохонена имеют достаточно высокую способность к распознаванию аномальностей в процессах МОС.

| ■ ■ СОАПГ1--Байесовские сети

Процент аномальных векторов обнаруженных СОАПП и БС

Рисунок 9 - Относительная точность распознавания

В заключении приводятся основные научные результаты, полученные в ходе выполненных исследований, а также представлены выводы по работе.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ

1. Предложены принципы построения системы обнаружения аномального поведения вычислительных процессов в микроядерной операционной системе, позволяющие осуществлять сбор статистической информации о поведении системных процессов на уровне микроядра и проводить распознавание класса поведения на основе нейросетевого классификатора, что в отличие от существующих подходов позволяет повысить эффективность обнаружения неизвестных типов атак за счет модификации микроядра операционной системы.

2. Предложена модель вычислительного процесса в микроядерной операционной системе, основанная на собранной статистической информации о штатном поведении вычислительных процессов, отличающуюся тем,

что она может быть использована для решения задачи распознавания аномального поведения вычислительных процессов и выявления новых типов атак с неизвестными сигнатурами.

3. Предложен эффективный метод и алгоритмы классификации поведения вычислительных процессов на основе нейросетевого классификатора, отличающиеся от существующих тем, что позволяют на базе собранной статистики нормального поведения процессов эффективно решать задачу выявления аномальностей, влияющих на информационную безопасность микроядерной операционной системы.

4. Предложен программный прототип системы обнаружения аномального поведения вычислительных процессов, позволяющий оценить эффективность предложенного метода и алгоритмов и повысить число обнаруживаемых новых типов атак на 5-8%.

СПИСОК ПУБЛИКАЦИЙ ПО ТЕМЕ ДИССЕРТАЦИИ

В рецензируемом журнале га списка ВАК:

1. Нейросетевая система анализа аномального поведения вычислительных процессов в микроядерной операционной системе / Валеев С.С., Дьяконов М.Ю. // Вестник УГАТУ. 2010. Т. 14. № 5 (40). С. 198-204.

Другие публикации:

2. Обзор способов обеспечения надежности и безопасности в операционных системах / Дьяконов М.Ю. // Интеллектуальные системы обработки информации и управления: 2-я per. зимн. шк.-сем. аспирантов и молодых ученых: Уфа: УГАТУ, 2007. Т. 2. С. 167-171.

3. Мониторинг процессов в операционных системах с использованием нейросетевых технологий / Дьяконов М.Ю. // Гагаринские чтения: XXXIII междунар. копф. Москва. 2007. Т. 4. С. 81-82.

4. Выявление аномальных состояний в операционных системах на основе нейросетевого классификатора процессов / Дьяконов М.Ю. // IX Королевские чтения: сб. тр. Всерос. молод, науч. конф. Самара. 2007. С. 286.

5. О применении нейронной сети для повышения защищенности микроядерной операционной системы / Дьяконов М.Ю., Валеев С.С. // Компьютерные науки и информационные технологии: тр. 9-й Междунар. конф. (CSIT'2007). Уфа: Виртуал, 2007. Т. 2. С. 156-159. (Статья на англ. яз.).

6. Интеллектуальная система обеспечения защищенности на уровне микроядра ОС / Дьяконов М.Ю. // Мавлютовские чтения: сб. тр. Всерос. молод. науч. конф. Уфа: УГАТУ, 2007. С. 87-89.

7. Обнаружение вредоносного кода на основе анализа процессов операционной системы с использованием нейронной сети / Дьяконов М.Ю. // Интеллектуальные системы обработки информации и управления: 3-я per. зимн. школа-сем. асп. и молод, ученых: Уфа : УГАТУ, 2008. Т.2 С. 117-122.

8. Об использовании цепочки системных вызовов для обнаружения аномального поведения / Дьяконов М.Ю., Валеев С.С. // Компьютерные нау-

ки и информационные технологии: тр. 10-й Междунар. конф. (CSIT'2008). Анталия : УГАТУ, 2008. Т. 1. С. 109-Ш. (Статья на англ. яз.).

9. Динамический анализ безопасности программного обеспечения с использованием шаблонов поведения / Дьяконов М.Ю. // Актуальные проблемы безопасности информационных технологий. Теория и практика использования программно-аппаратных средств: сб. тр. Всерос. научн.-техн. конф. (АПроБИТ-2008). Самара. 2008. С. 50-54.

Ю.Повышения защищенности ОС на основе анализа последовательностей системных вызовов процессов / Дьяконов М.Ю. // Мавлютовские чтения: сб. тр. Всерос. науч. конф. Уфа: УГАТУ, 2008. С. 35-37.

П.Формирование контекста и обнаружение аномального поведения путем анализа последовательности системных вызовов / Дьяконов М.Ю. // Актуальные проблемы безопасности информационных технологий. Теория и практика использования программно-аппаратных средств: сб. тр. Всерос. на-учн.-техн. конф. (АПроБИТ-2008). Самара. 2008. С. 73-77.

12.Интеллектуальная система защиты операционной системы / Дьяконов М.Ю. // Интеллектуальные системы обработки информации и управления: 4-я per. зимн. шк.-сем. аспирантов и молодых ученых. Уфа : УГАТУ, 2009. Т. 2. С. 131-134.

13.Повышение защищенности микроядерной операционной системы с использованием методов искусственного интеллекта / Дьяконов М.Ю., Вале-ев С.С. // Актуальные проблемы безопасности информационных технологий: матер. III Междунар. научн.-практ. конф. Красноярск : Сиб. ГАУ, 2009. С.

14. Использование методов искусственного интеллекта для классификации состояний операционной системы / Дьяконов М.Ю. // Мавлютовские чтения: Сборник трудов Всероссийской молодежной научной конференции. Уфа. 2009. Т. 3 С. 18-20.

15 .Интеллектуальная система защиты операционной системы на основе анализа процессов / Дьяконов М.Ю. // Всерос. научн.-техн. конф. студентов, аспирантов и молодых ученых: матер, докладов. Томск. 2009. Ч.З С. 303-

16.Система обнаружения аномального поведения процессов в микроядерной ос Minix 3 на основе классификации процессов / Дьяконов М.Ю., Валеев С.С. // Свободный полет: сб. тр. конф. Уфа : Гилем, 2010. С. 27-35.

17.Система защиты процессов микроядерной операционной системы с использованием методов искусственного интеллекта / Дьяконов М.Ю. // Интеллектуальные системы обработки информации и управления: тр. 5-й per. зимн. шк.-сем. аспирантов и молодых ученых. Уфа: УГАТУ, 2010. Т. 2.

49-53.

309.

С. 147-151.

Диссертант

М. Ю. Дьяконов

ДЬЯКОНОВ Максим Юрьевич

НЕЙРОСЕТЕВАЯ СИСТЕМА ОБНАРУЖЕНИЯ АНОМАЛЬНОГО ПОВЕДЕНИЯ ВЫЧИСЛИТЕЛЬНЫХ ПРОЦЕССОВ МИКРОЯДЕРНЫХ ОПЕРАЦИОННЫХ СИСТЕМ

Специальность: 05.13.19—Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Подписано к печати 22.11.2010 Формат 60x84 1/16. Бумага офсетная. Печать плоская. Гарнитура Times New Roman Суг. Усл. печ. л. 1,0. Усл. кр. отт. 1,0. Уч. -изд. л. 0,9. Тираж 100 экз. Заказ № 474

ГОУ ВПО Уфимский государственный авиационный технический университет Центр оперативной полиграфии 450000, Уфа-центр, ул. К.Маркса, 12.

ВВЕДЕНИЕ.

ГЛАВА 1 АНАЛИЗ ЗАДАЧИ ВЫЯВЛЕНИЯ АНОМАЛЬНОГО ПОВЕДЕНИЯ ПРОЦЕССОВ В ОПЕРАЦИОННЫХ СИСТЕМАХ.

1.1 Введение.

1.2 Классификация основных признаков атак.

1.3 Классификация основных источников признаков атак.

1.4 Классификация методов обнаружения атак.

1.5 Анализ основных методов обнаружения атак на основе поведения субъектов в операционной системе.

1.6 Основные принципы построения системы обнаружения аномального поведения процессов в операционной системе.

Выводы по первой главе.

ГЛАВА 2. РАЗРАБОТКА АРХИТЕКТУРЫ СИСТЕМЫ ОБНАРУЖЕНИЯ АНОМАЛЬНОГО ПОВЕДЕНИЯ ПРОЦЕССОВ В МИКРОЯДЕРНОЙ ОПЕРАЦИОННОЙ СИСТЕМЕ.

2.1 Задача обнаружения аномального поведения процессов в МОС ВС.

2.2 Нарушение свойств безопасности информации в ОС ВС.

2.3 Анализ архитектуры исследовательской МОС М1№Х 3.

2.3.1 Архитектура процесса в МОС.

2.3.2 Менеджер процессов.51(

2.3.3 Функции микроядра.

2.3.4 Системное задание.

2.3.5 Интерфейс системных вызовов.

2.4 Классификация вредоносных программ.

2.4.1 Классификация по методике заражения системы.

2.4.2 Классификация по наносимому ущербу.

2.4.3 Анализ функциональных и поведенческих характеристик вредоносных программ.

2.5 Разработка архитектуры системы обнаружения аномального поведения процессов.

2.5.1 Статистическая модель процесса в операционной системе.

2.5.2 Модульная структура СОАПП.

Выводы по второй главе.

ГЛАВА 3. РАЗРАБОТКА АЛГОРИТМОВ КЛАССИФКАЦИИ АНОМАЛЬНОГО ПОВЕДЕНИЯ ПРОЦЕССОВ В МИКРОЯДЕРНОЙ ОПЕРАЦИОННОЙ СИСТЕМЕ НА БАЗЕ НЕЙРОННОЙ СЕТИ.

3.1 Задача сбора статистики поведения процессов в МОС ВС.

3.2 Алгоритм анализа состояния поведения процессов в МОС ВС.

3.3 Задача классификации поведения процессов на базе нейронной сети 104 Выводы по третьей главе.

ГЛАВА 4 РЕАЛИЗАЦИЯ СИСТЕМЫ ОБНАРУЖЕНИЯ1 АНОМАЛЬНОГО ПОВЕДЕНИЯ ПРОЦЕССОВ, В МИКРОЯДЕРНОЙ ОПЕРАЦИОННОЙ СИСТЕМЕ.

4.1 Реализация модуля сбора статистики поведения процесса.

4.2 Реализация модуля анализа состояний процессов.

4.3 Реализация нейросетевого модуля классификации.

4.4 Сравнительный анализ классификаторов различных типов.

Актуальность темы

Основной задачей исследований* в области защиты информации-является совершенствование известных и разработка новых методов, алгоритмов' обеспечения безопасности информации в процессе ее сбора, хранения, обработки, передачи и распространения. В документе «Приоритетные проблемы научных исследований» в области обеспечения информационной, безопасности Российской Федерации» приведен список приоритетных направлений научных исследований, в числе которых под номером 63 указано* следующее: «Исследование проблем обнаружения компьютерных атак на информационно-телекоммуникационные системы и противодействия компьютерному нападению». Статистика по числу инцидентов в области информационной безопасности, приводимая в различных Интернет-изданиях, показывает, что многие методы проведения атак на информационные системы (ИС) вгнекоторых случаях не удается распознать с использованием существующих средств защиты информации. Этот недостаток может привести к нарушению конфиденциальности, целостности или доступности информации. Возникают задачи, связанные с созданием методов и алгоритмов, способных достоверно распознавать новые типы атак и предупреждать их распространение в ИС.

Одним из уязвимых мест ИС является программное обеспечение. Большинство атак направлено на использование существующих известных уязвимостей прикладного и системного программного обеспечения. Существующие средства защиты информации достаточно эффективно справляются с обнаружением известных типов атак на основе их сигнатур. В то же время существует иной класс атак, для которых сигнатуры не известны. Обнаружение и предотвращение атак с неизвестными сигнатурами наиболее сложная и нетривиальная задача. К сложному по архитектуре и реализации системному программному обеспечению относятся операционные системы.

Существует множество классификаций типов операционных систем и областей их практического применения. Как показал анализ, выделяют три типа операционных систем: монолитные, микроядерные и гибридные: Монолитные и гибридные архитектуры в основном применяются!в.серверных многопользовательских системах и персональных компьютерах общего назначения. К основным особенностям указанных архитектур следует отнести высокую сложность реализации и подверженность к нестабильной-работе в случае нарушения работоспособности отдельных программ, входящих в. состав операционной системы (драйверы устройств, подгружаемые модули ядра и» т.п.). К достоинствам относится их универсальность. Микроядерные операционные системы, в большинстве случаев имеют практическую применимость в? классе встраиваемых систем. Иод встроенными системами понимаются* механические или электронные устройства, управляемые вычислителем, встроенным в само устройство; Примеры встраиваемых систем: автоматизированные системы управления технологическими процессами, технические системы защиты информации, бортовые компьютеры летательных аппаратов, ЗСАОА-системы, телекоммуникационные устройства, платежные терминалы и т.п. Область применения встраиваемых систем расширяется с каждым годом. В* некоторых случаях возможна интеграция их в сетевые приложения. С точки зрения информационной безопасности во встраиваемых системах применение распространенных средств защиты информации оказывается малоэффективным ввиду специфики встраиваемых систем, области их приложений и ограниченной номенклатуры используемых программных средств. В результате анализа выяснилось, что известные типы атак также могут нарушать безопасность микроядерных операционных систем встраиваемых устройств. В данной работе рассматривается задача обеспечения безопасности микроядерных операционных систем на примере встраиваемых систем, обладающими внешними интерфейсами взаимодействия.

Вопросам обнаружения атак на различные компоненты ИС посвящены исследования В. И. Васильева, Д. Денинг, А. В. Лукацкого, А. В. Мельникова, Ю. В. Романец, С. Форестер, В. Ф. Шаньгина, и др. Несмотря на это область исследования безопасности встраиваемых систем недостаточно проработана: к нерешенным задачам можно отнести анализ в реальном времени аномального поведения вычислительных процессов микроядерных операционных систем. В результате анализа выяснилось, также, что при разработке систем обнаружения, атак в недостаточной мере используются потенциал нейросетевых классификаторов. Таким образом, задача разработки эффективных методов и алгоритмов обнаружения атак на- ИС с микроядерными операционными системами является актуальной.

Цели и задачи исследования

Объектом исследования в работе, является обеспечение основных свойств информационной безопасности вычислительных процессов в микроядерной операционной системе (МОС). В качестве предмета исследования рассматриваются методы^ и алгоритмы «распознавания аномального поведения вычислительных процессов на основе технологий искусственных нейронных сетей.

Целью исследования является повышение защищенности микроядерных операционных систем на основе методов и алгоритмов распознавания аномального поведения процессов.

Для достижения поставленной цели в работе были сформулированы следующие задачи:

1. Разработка принципов построения системы обнаружения аномального поведения вычислительных процессов микроядерных операционных систем.

2. Разработка модели вычислительного процесса в микроядерной операционной системе на основе сбора статистики штатного поведения вычислительных процессов, необходимой для решения задачи распознавания аномального поведения вычислительных процессов и выявления новых типов атаке неизвестными сигнатурами.

3. Разработка метода и алгоритмов для нейросетевой системы обнаружения аномального; поведения вычислительных процессов в .микроядерной операционной системе.,

4. Разработка исследовательского) прототипа нейросетевой; системы обнаружения аномального поведения вычислительных процессов« в микроядерной операционной" системе, реализующей функции сбора статистической информации о поведении вычислительных процессов и классификацию» состояний на основе самообучаемой нейроннойсети;

5. Оценка эффективности предложенного метода и алгоритмов на базе микроядерной операционной системы.

Методы?исследования

При работе над диссертацией использовались: методология защиты информации, методы системного анализа,, теория» множеств, теория вероятности, теория моделирования дискретных систем; теория нейронных, сетей. Для оценки- эффективности предлагаемых решений^ использовались! методы математического и имитационного моделирования.

Основные научные результаты, полученные автором и выносимые на защиту

1. Принципы построения системы? обнаружения аномального поведения вычислительных процессов в микроядерной операционной; системе; для осуществления сбора статистической информации о поведении системных процессов на уровне микроядра и распознавания класса поведения на основе нейросетевого классификатора.

2. Модель вычислительного процесса в микроядерной операционной системе на основе сбора статистики штатного; поведения? вычислительных-процессов.

3. Метод и алгоритмы обнаружения аномального поведения вычислительных процессов на основе иерархической структуры микроядерной операционной системы^ модели вычислительного процесса и нейронных сетей;. ■ • '/•■■.''•'. ■ ■'.

4. Методика обнаружения .аномального•. поведения вычислительных' процессов в микроядерной операционной системе на базе нейронной сети.

Обоснованность и достоверность результатов диссертации

Обоснованность результатов, полученных в диссертационной работе, базируется на использовании апробированных научных положений и методов исследования^. корректным применением математического? аппарата; согласованности: новых результатов: с известными теоретическим положениями. "

Достоверность полученных теоретических положений и выводов подтверждается результатами имитационного; моделирования,, апробации и промышленного внедрения; предложенных алгоритмов обнаружения аномального поведенияпроцессов. Практическая ценность полученных результатов

1. Обеспечивается повышение эффективности решения задач защиты информации в микроядерной операционной системе.

2. Разработан алгоритм обнаружения аномального поведения вычислительных процессов в микроядерной операционной системе на базе нейронной сети, позволяющий решать задачи обеспечения информационной безопасности.

3. Результаты исследования приняты к внедрению в виде программного прототипа для анализа поведения вычислительных процессов телекоммуникационного оборудования в Уфимский филиал ОАО «Вымпелком» (Би

Связь исследований с научными,программами

Исследования, выполнялись »с 2006 г. по 2010 г. на кафедре вычислительной техники и, защиты^ информации Уфимского государственного авиационного технического университета, в том числе в рамках гранта РФФИ? № 07-08-00386- «Методы и алгоритмы интеллектуального управления информационной'безопасностью высшего учебного заведения» (2007-2009 гг.)

Апробация работы

- Основные научные и практические результаты диссертационной работы' докладывались и обсуждались на следующих-конференциях:

- 2-я региональная зимняя школа-семинар аспирантов и молодых ученых. Интеллектуальные системы обработки информации и управления, Уфа, 2007;

- XXXIII Международная молодежная научная конференция «Гага-ринские чтения». Научные труды в 8 томах, Москва, 2007 г.;

- Всероссийская молодежная научная конференция с международным участием «IX Королевские чтения», Самара, 2007 г.

- 10, 11, 12 Международные научные конференции «Компьютерные науки и информационные технологии» (С81Т), Красноусольск, 2007 г., Анта-лия, Турция 2008, Крит, Греция, 2009;.

- Всероссийская молодежная научная конференция «Мавлютовские чтения», Уфа, 2007 г., 2008 г., 2009 г.;

- Всероссийская научно-техническая конференция с международным участием «Актуальные проблемы информационной безопасности. Теория и практика использования программно-аппаратных средств», Самара, 2008 г.;

- 4-я региональная зимняя школа-семинар аспирантов *и> молодых ученых. Интеллектуальные системы обработки информации и-управления, Уфа,

2009 г.;

- Всероссийская научно-техническая конференция студентов, аспирантов и молодых ученых, г. Томск, 2009 г.;

- III Международная научно-практическая конференция «Актуальные проблемы безопасности информационных технологий», Красноярск, 2009 г.;

- Научно-техническая конференция «Свободный полет», Уфа, 2010 г.

- Зимняя школа-семинар молодых ученых и аспирантов, Уфа, 2010 г.

Публикации

Результаты диссертационной работы отражены в 16 публикациях: в 11 научных статьях, в том числе 1 статья в рецензируемом журнале из списка периодических изданий, рекомендованных ВАК, в 5 тезисах докладов в материалах международных и российских конференций.

Структура и объем работы

Диссертационная работа состоит из введения, четырех глав, заключения, приложений, библиографического списка и изложена на 154 страницах машинописного текста. Библиографический список включает 82 наименования литературы.

Выводы по третьей главе

1. Осуществляется постановка и решаются задачи сбора статистической информации на уровне системных вызовов, задачи анализа состояния процесса и классификации векторов поведения процессов. Приводятся алгоритмы решения задач в виде блок-схем.

2. Приводятся статистические данные о поведении процессов в МОС с указанием численных значений для различных процессов, исполняющихся в МОС в произвольные промежутки времени.

3. Приводятся результаты классификации поведения процессов на основе обученной самоорганизующейся карты с указанием меток.

ГЛАВА 4 РЕАЛИЗАЦИЯ СИСТЕМЫ ОБНАРУЖЕНИЯ АНОМАЛЬНОГО ПОВЕДЕНИЯ ПРОЦЕССОВ В МИКРОЯДЕРНОЙ ОПЕРАЦИОННОЙ СИСТЕМЕ

Рассматривается'разработанная программная реализация исследовательского прототипа системы обнаружения аномального поведения процессов в микроядерной операционной системе, используемой во встраиваемых системах. Рассматривается интерфейсная часть разработанных модулей СОАПП с выделением целей и задач, решаемых компонентами СОАПП. Приводится численный эксперимент и сравнительный анализ различных классификаторов.

4.1 Реализация модуля сбора статистики поведения процесса

СОАПП реализован в виде-модулей, совместно реализующих алгоритм, представленный на рисунке 4.1.

МСС представляет собой программный компонент, написанный^ на-языке С. Язык С выбран для реализации* СОАПП из принципа унификации кода микроядерной операционной системы MINIX 3: вся система реализована на данном языке за исключением платформозависимой части, реализованной на языке ассемблера. Кроме того, язык С позволяет достаточно просто реализовать работу с системными'структурами данных МОС. Для улучшения эффективности функционирования и повышения защищенности код МСС встраивается в микроядро ОС MINIX 3.

В качестве основной цели модуля сбора статистики можно выделить сбор первичной информации из различных системных структур данных.

PID процесса

Поиск идентификатора процесса > текущей БД поседения

3 ап ись сущ ест» ует

Режим обучений

Системный вызов »ходит» множество вызовов процесс

Уведомление поп ьзо отеля о нею вести ом процессе

Анализ системных структур МО С

Нормализация вектора поведения процесса

Анализ содержимого стека процесса

НСМК

Обновление записи в текущей БД поведения

Н ей рон- поб ед ител ь содержится в маске поведения процесса

Вектор попадает в разреш енный для класса интервал ^

Возврлтуправления диспетчеру сообщений MOC

Возврат кода ошибки

Рисунок 4.1 - Обобщенный алгоритм работы модулей СОАПП

Для реализации поставленной цели необходимо выполнение следующих задач:

1. Перехват сообщений с запросами на выполнение системных вызовов, пересылаемых микроядру.

2. Сбор исходных данных о поведении процесса из системных структур МОС и секции стека процесса, либо специализированных регистров процессора.

3. Ведение БД поведенческих характеристик процессов.

4. Установка режима работы СОА1111.

Интерфейсная часть МСС представлена набором функций, приведенных в таблице.

ЗАКЛЮЧЕНИЕ

В работе поставлена и решена задача повышения защищенности; микроядерных операционных систем: на основе методов и алгоритмов распознавания: аномальногоповедениявычислительных процессов. По итогам работы получены следующие результаты и выводы. .

1. Предложены принципы построения! системы, обнаружения ано-мальногоповедения: вычислительных процессов в микроядерной: операционной системе, позволяющие осуществлять сбор статистической информации о поведении системных процессов на уровне микроядра и проводить распознавание класса поведения на основе нейросетевого классификатора; что в отличие от существующих подходов1 позволяет повысить эффективность обнару-женияшеизвестных типов атак за. счет модификации микроядра операционной системы.

2:. Предложена модель вычислительного процесса в микроядерной операционной системе; основанная! на1, собранной» статистическою информации о штатном, поведении вычислительных процессов; отличающуюся? тем, что - она может быть использована для* решения задачи распознавания; аномального поведения вычислительных процессов:? и: выявления* новых типов атак с неизвестными сигнатурами.

3. Предложен эффективный, метод и алгоритмы классификации поведения г вычислительных процессов на основе нейросетевого классификатора; отличающиеся от существующих тем, что позволяют на базе собранной статистики нормального поведения процессов эффективно решать задачу выявления аномальностей, влияющих на информационную безопасность микроядерной операционной системы.

4. Предложен программный прототип системы обнаружения аномального поведения вычислительных процессов^ позволяющий оценить эффективность предложенного метода и алгоритмов: и, повысить, число обнару-живаемьргновых типов атак на 5-8%.

1. Баррет, Пак Встраиваемые системы. Проектирование приложений на. микроконтроллерах. / Изд-во ДМК, 2007. 640 с.

2. ВалеевС.С., Дьяконов М.Ю. Нейросетевая система анализа аномального поведения- вычислительных процессов в микроядерной' операционной системе // Вестник УГАТУ, Т. 14 № 5'(40), 2010: с. 198-2041

3. Васильев- В. И. Интеллектуальные системы защиты информации: учеб. пособие / М1: Машиностроение, 2010. — 163 с.

4. ГОСТ 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие, технические требования / Госстандарт России, М^: 1995, с. 5*

5. ГОСТ ИСО/МЭК 15408-2002 Информационная технология'. Методы и* средства обеспечения' безопасности. Критерии оценки, безопасности информационных технологий. Часть 2. Функциональные требования / Госстандарт России, М.: 2002, с. 12-14

6. ГОСТ Р 51241-98г Средства и системы управления, доступом. Классификация. Общие технические- требования. Методы испытаний / Госстандарт России, М.: 1998, с. 8

7. ГОСТ Р 51904-2002 «Программное обеспечение встроенных систем. Общие требования к разработке и документированию».

8. Дьяконов М.Ю. Интеллектуальная система защиты операционной системы на основе анализа процессов // Всероссийская научно-техническая конференция студентов, аспирантов и- молодых ученых: Материалы докладов,Ч.З, □ Томск, 2009 С. 303-309.

9. Дьяконов М.Ю. Интеллектуальная система обеспечения защищенности на уровне микроядра ОС // Мавлютовские чтения: Сборник трудов Всероссийской молодежной научной конференции, Уфа, 30-31 октября, 2007-С. 87-89.

10. Дьяконов М.Ю. Использование методов искусственного интеллекта для классификации состояний операционной системы // Мавлютовские чтения: Сборник трудов Всероссийской молодежной научной конференции, Т. 3, Уфа, 27-28 октября, 2009 С. 18-20.

11. Дьяконов М.Ю. Мониторинг процессов в операционных системах с использованием нейросетевых технологий // Гагаринские чтения: XXXIII международная молодежная научная конференции. Научные труды в 8 томах, Т. 4, Москва, 2007. □ С. 81-82.

12. Дьяконов М.Ю; Повышения! защищенности ОС на. основе анализа последовательностей системных вызовов; процессов // Мавлютовские чтения: Сборник трудов Всероссийской молодежной? научной; конференции, Уфа, 28-29 октября, 2008 С. 35-37.

13. Лукацкий А.В: Обнаружение атак / 2-е изд., перераб. и доп., СПб.: БХВ-Петербург, 2003. 608 с.26.0совский С. Нейронные сети для обработки информации / Пер. с польского И.Д: Рудинского М.: Финансы и статистика, 2004. - 344 е.: ил.

14. Столлингс В. Операционные системы с. 144-156

15. Таненбаум Э., Вудхалл А. Операционные системы. Разработка и реализация (+CD). Классика CS. 3-е изд. СПб.: Питер, 2007. - 704 с: ил.

16. Хайкин С. Нейронные сети: полный курс, 2-е изд, испр.: Пер. с англ. -М.: ООО «И.Д. Вильяме», 2006 1104 с.

17. Хогланд Г., Мак-Гроу Г. Взлом программного обеспечения: анализ и использование кода / изд. Вильяме, 2005 г.

18. Aaraj N., Raghunathan A., Jha N. Dynamic Binary Instrumentation-Based Framework for Malware Defense // In Proceedings of the 5th International Conference Detection of Intrusions and Malware & Vulnerability Assessment DIMVA, 2008, pp. 64-88.

19. Akira M., Toshimi S., Tmonori I., Tadashi I. Detecting unknown computer viruses a new approach // Journal of the institute of information and communications technology vol. 52, Nos. 1/2 2005, pp. 75-88.

20. Anderson D., Lunt Т., Javitz H.? Tamaru A., Valdes A. Detecting unusual program behavior using statistical component of next-generation1 intrusion. detection;expert system (NIDES). SRI-CSL-95-06, May 1995.

21. Ashcraft K., Engler D R. Using Programmer-Written Compiler Extension to Catch Security Holes, // IEEE Symposium on Security and Privacy, Oakland, CA, 2002.

22. Aycock J. Computer Viruses and Malware / Springer, 2006, pp. 11-19.

23. Base Group Deductor Academic Электронный* ресурс. • http://www.basegroup.ru/download/.

24. Bickford M., Constable R. Formal Logical Methods for System Security and Correctness//. O. Grumberg et al. (Eds.) IOS Press, 2008, ppi 29-52. .

25. Blunden B. Memory Management: Algorithms and Implementation in C/C4-+ / Wordware Publishing; 2003, 360 p.

26. BruschrD., Cavallaro L., Lanzi A. Static Analysis on x86 Executables for Preventing Automatic Mimicry Attacks // In Proceedings of the 4th International Conference Detection of Intrusions and Malware & Vulnerability Assessment DIMVA; 2007, pp. 213-230.

27. Bruschi D., Martignoni L., Monga M. Detecting Self-mutating Malware Using Control-Flow Graph Matching //> In' Proceedings of the Third International Conference Detection of Intrusions and Malware & Vulnerability Assessment DIMVA; 2006, pp. 129-142

28. Cabrera J., Lewis L., Mehra R. Detection and classification of intrusion and faults using sequence of system calls. // SIGMOD Rec., Vol. 30, No. 4. (December 2001), pp. 25-34

29. Christodorescu M., Jha S., Kruegel C. Mining Specifications of Malicious Behavior // In Proceedings of the 6th joint meeting of the European Software Engineering Conference, 2007,10 p.

30. Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий) — международный стандарт (ISO/IEC 15408, ИСО/МЭК 15408-2002).

31. Dasgupta D: Immunity-based intrusion detection system: a- general framework // Proc. 22nd-National Information Systems Security Conf. (NISSC), 1999.

32. Dunham K. Mobile Malware Attacks and Defense / Elsevier, 2009, 386 p.

33. Embedded Systems Handbook / ed. Zurawski R., Taylor&Francis Group; 20061089 p:

34. Enhancing computer security with smart technology / ed. V Rao Vemuri, 2006i

35. Feng H., Kolesnikov O., Fogla P., Lee W., Gong W. Anomaly* detection using- call* stack information. In Proceedings:. IEEE Symposium on Security and Privacy, Berkley, California, IEEE Computer Society, 2003.

36. Filiol E. Compiter Viruses: from-Theory to Application / Springer, 2005, p. 99.

37. Fleury Т., Khurana H., Welch V. Towards a Taxonomy of Attacks Against Energy Control Systems // In Proceedings of the IFIP International Conference on Critical Infrastructure Protection, 2008,16 p.

38. Forrest S., Hofmeyr S.A., Longstaff T.A. A sense of self for UNIX processes. // In Proceedings of the 1996 IEEE Symposium on Security» and Privacy, 1996, pp. 120-128.

39. Frossi A., Maggi F., Rizzo G., Zanero S. Selecting and Improving System^ CalL Models for Anomaly Detection // In Proceedings of the 6th International Conference Detection of Intrusions and Malware & Vulnerability Assessment DIMVA, 2009, pp. 206-221.

40. Hacking Exposed. Malware and Rootkits: Malware and Rootkits Security Secrets and Solutions / M.Davis, S.Bodmer, A.Lemasters, 2010, pp.225-227

41. Handbook of Information Security / ed. Bidgoli H:, Vol. 3, John Wiley and Sons Inc., 2006, p.689.

42. Keromytis A. The case for self-healing software // Aspects of Network and; Ihf6rmation£ Security^. NATQ Science for Peace and? Security Series? D: Inr formation and Communication Security- Vol. 17, 2008, pp. 47-54.

43. Kinder J., Katzenbeisser S;, Schallhart C., Veith H. Detecting malicious code:by model checking // ImProceedings of the SecondsInternational« Conference Detection» of Intrusions and MaKvare & Vulnerability Assessment DIMVA, 2005, pp. 174-187.

44. KolterJ.,MaloofM. Learning to detect and classify malicious executables in the wild I I Journal of Machine Learning Research 7, 2006.

45. Kruegel C. Behavioral and structural properties of malicious code // Aspects of Network and' Information Security, NATO Science: for Peace and Security Series D: Information and Communication Security Vol; 17, 2008, pp. 92-L09.

46. Larson U., Lundin-Barse E., Jonsson E. METAL A Tool for Extracting

47. Attack Manifestations Behavior // In Proceedings of the Second International Conference Detection of Intrusions and Malware & Vulnerability Assessment DIMVA, 2005, pp. 85-108.

48. Lee W., Stolfo J: Data mining approaches for intrusion! detection. In Proceedings of the.7thUSENIX, Security Symposium, 1998.65i,Mathworks Matlab Электронный ресурс. http://www.mathworks.com.

49. Rabek J., Khazan R., Lewandowski S., Cunningham R. Detection of injected; dynamically generated and obfuscated malicious code.

50. Rieck K., Holz Т., Willems C., Dussel P., Laskov P. Learning and Classification of Malware Behavior // In Proceedings of the 5th International» Conference Detection of Intrusions and Malware, & Vulnerability Assessment^ DIMVA, 2008, pp. 108-125.

51. Sauermann J. Real-Time Operating System: Goncepts and Implementation of Microkernels for Embedded Systems / Sauermann J., Thelen M., 2005, p. 33

52. Sekar R., Bendre M., Bollineni' P., Dhurjati D. A Fast Automaton-Based" Method "for Detecting'Anomalous Program Behaviors // IEEE Symposium on Security and Privacy, Oakland, CA, 2001'.

53. Shafiq Z., Khayam S., Farooq M. Embedded Malware Detection- Using Markov n-Grams // In- Proceedings of the 5th International Conference Detection of Intrusions and* Malware & Vulnerability Assessment- DIMVA, 2008, pp. 89-106.

54. Silberschatz A. Operating Systems. Concepts / Silberschatz-A., Galvin P., Gagne G., John Wiley & Sons Inc., 2005, p.47-48

55. Sloss A. ARM System Developer's Guide Designing and Optimizing System Software / Sloss A., Symes D., Wright C., Elsevier Inc., 2004, p. 22.

56. Stopko T. Practical Embedded Security:Building Secure Resource-Constrained Systems / Newnes, 2008; pp. 3-9

57. Szor P. The Art of Computer Virus Research and Defense / Addison Wesley Professional, 2005,744 p.• 75.Wagner D~ Dean D. Intrusion Detection via Static Analysis // IEEE Symposium on Security and Privacy, Oakland, CA, 2001.

58. Waikato Environment Knowledge Analysis (WEKA) Электронный ресурс. http://citylan.dl.sourceforge.net/project/weka/.

59. Walls С. Embedded Software: The Works / Newnes, 2006, pp. 2-10

60. Warrender C., Forrest S., Pearlmutter B. Detecting Intrusion Using System Calls: Alternative Data Models, I I In Proceedings of the 1999 IEEE Symposium on Security and Privacy, 1999, pp. 133-145.

61. Weber M., Schmid M., Geyer D., Shatz M. A toolkit for detecting and analyzing malicious software. // In 18th Annual Computer Security Applications Conference, 2002, pp. 423-431

62. Y00 I. Visualizing windows executable viruses using self-organizing maps // Proceedings of the 2004 ACM Workshop on Visualization and data mining for computer security, pp. 82-89.

63. Young A., Yung M. Malicious Cryptography. Exposing Cryptovirology / Wiley Publishing, 2004, pp. 182-183.

64. Young S., Aitel D. The hacker's handbook. The strategy behind breaking into and defending network / CLC Press, 2004 p. 90.