автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Метатехнология защиты информационных ресурсов от вредоносного поведения программ

На правах рукописи

Косолапое Феликс Александрович

МЕТАТЕХНОЛОГИЯ ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ ОТ ВРЕДОНОСНОГО ПОВЕДЕНИЯ ПРОГРАММ

05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Таганрог-2006

, Работа выполнена в Таганрогском государственном радиотехническом университете на кафедре «Безопасности информационных технологий»

НАУЧНЫЙ РУКОВОДИТЕЛЬ:

Заслуженный деятель науки РФ, доктор технических наук, профессор Макаревич Олег Борисович

ВЕДУЩАЯ ОРГАНИЗАЦИЯ:

ФГУП «Концерн «Системпром», г. Москва.

Защита диссертации состоится « 23 » августа 2006 г. в 14:00 на заседании диссертационного совета ДМ 212.259.06 по техническим наукам Таганрогского государственного радиотехнического университета, по адресу: 347928, Ростовская область, г. Таганрог, пер. Некрасовский, 44, ауд. Д-406

Отзывы на автореферат просьба направлять по адресу: 347928, Ростовская область, г. Таганрог, пер. Некрасовский, 44, Таганрогский государственный радиотехнический университет, Ученому секретарю диссертационного совета ДМ 212.259.06 Галуеву Г.А.

С диссертацией можно ознаком о государственного

радиотехнического университе-

ОФИЦИАЛЬНЫЕ ОППОНЕНТЫ:

доктор технических наук, старший научный сотрудник

Копытов Владимир Вячеславович (Ставропольский государственный

университет, г. Ставрополь)

кандидат технических наук, доцент

Спиридонов Олег Борисович (ООО «Авиа ОК Интернейшенел», г. Таганрог)

Ученый секретарь диссертационного совета, доктор технических наук, профессор

347922, Ростовская область, г. 1

Автореферат разослан « » и

Галуев Г.А.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность. Диссертация посвящена исследованию методологических аспектов актуальной проблемы защиты информационных ресурсов от вредоносного поведения программ. Теоретические исследования ряда авторов показали с математической строгостью принципиальную ограниченность техник обнаружения и блокирования вредоносного программного кода. В этой связи на передний план выходит задача разработки не абсолютной, но адекватной системы защиты, что вызывает необходимость обобщения и систематизации концепций и подходов, имеющих отношение к обозначенной проблеме.

Принимая во внимание сегодняшнюю тенденцию быстрого усложнения и увеличения объемов информационных потоков, важно отметить, что помимо задачи обнаружения и блокирования новых и неизвестных угроз безопасности особое значение приобретает задача оперативного поиска и ликвидации последствий вредоносных воздействий. Не смотря на то, что данные задачи направлены на решение одной проблемы, попытки их комплексного рассмотрения до сих пор не предпринимались. •

В диссертации предлагается восполнить данный пробел - рассмотрением задач блокирования вредоносных воздействий и восстановления системы лоеле сбоев в рамках принципа изоляции поведения программ. Учитывая успехи и продолжающееся развитие теории метапознания в таких науках как математика (металогика), физика (метафизика), информатика (метапоиск), представляется целесообразным раскрытие методологического значения принципа изоляции посредством понятия «метатехнология защиты». Роль идеи метатехнологии заключается в том, что она фиксирует общие моменты и особенности технологий, по отношению к которым она применяется и указывает на конкретные способы их модернизации. "

Целью работы является разработка метатехнологии защиты, позволяющей качественно модернизировать существующие технологии защиты информационных ресурсов от вредоносного поведения программ в части принятия решений "о допустимости и недопустимости информационных воздействий.

Для достижения указанной цели необходимо решить следующие задачи:

1. Исследовать существующие системы зашиты от вредоносного поведения программ и выявить общие пути их развития.

2. Разработать алгоритмическую и методологическую основу метатехнологии защиты.

3. Разработать методику оценки эффективности метатехнологии защиты.

4. Провести экспериментальное исследование метатехнологии защиты с помощью программной реализации ее основных механизмов.

Методы исследования основаны на использовании методов решения изобретательских задач, теории вероятностей, теории функциональных и экспертных систем, теории графов и алгоритмов.

Основные положения, выносимые на защиту:

1. Разработанные метод и алгоритмы логической изоляции поведения программ позволяют реализовать эффективную. защиту различных типов информационных ресурсов.

. 2. . Разработанная концепция метатехнологии защи^ определяет способы модернизации существующих технологий защиты на основе метода логической изоляции и механизма отложенного принятия решений..

3. Разработанная методика оценки эффективности метатехнологии защиты позволяет моделировать применение механизма логической изоляции к различным реализациям статистических систем защиты.

4. Результаты экспериментального исследования предлагаемой метатехнологии подтверждают ее работоспособность.и возможность применения в реальных условиях.

Научная новизна работы заключается в следующем:

1. С помощью методов решения изобретательских задач осуществлено исследование систем защиты от вредоносного поведения программ и выявлены общие пути их развития.

. 2. Разработаны новые метод и алгоритмы логической изоляции поведения программ, основанные на модификации логики выполнения операций с ресурсами, предполагающей возможность отмены изменений и возврата к исходному состоянию в случае обнаружения неисправности.

3. Разработана концепция метатехнолопии защиты, в рамках которой предложены новые способы модернизации существующих технологий защиты, на основе метода логической изоляции и механизма отложенного принятия решений.

4. Разработана методика оценки эффективности предлагаемой метаггехнологии на базе экспертной системы, позволяющая оценивать целесообразность применения механизма логической изоляции к статистическим системам защиты.

Практическая ценность работы. В практическом плане ценность представляют разработанные метод и алгоритмы логической изоляции поведения программ, которые могут использоваться разработчиками для создания новых средств защиты различных типов информационных ресурсов.

Кроме того, разработанный метод логической изоляции позволяет модернизировать бинарный механизм принятия решений, используемый в существующих системах защиты, решающих задачи противодействия вирусам, контроля доступа и обнаружения вторжений, таким образом, чтобы была возможность отложенного принятия решений, когда ни пользователь, ни система не могут дать однозначного ответа по поводу блокирования поведения. Применение логической изоляции позволяет принимать правильные решения при появлении достаточной информации без риска для безопасности системы.

Ценность также представляет разработанная методика оценки целесообразности применения логической изоляции в различных реализациях статистических систем защиты.

Использование результатов. Результаты, полученные в ходе работы над диссертацией, были использованы на кафедре Безопасности информационных технологий ТРТУ при проведении научно-исследовательских работ «Создание программных и программно-аппаратных средств обнаружения и выявления сетевых атак в информационно-телекоммуникационных системах» и «Разработка материалов по вопросам обнаружения сетевых атак в ЛВС АС ВН и создания программного макета системы тестирования системы обнаружения атак», а также при проведении научных исследований, поддержанных грантом РФФИ № 04-07-90137 «Исследование и разработка моделей, методов и средств обнаружения атак».

Достоверность полученных результатов подтверждается полнотой и корректностью теоретических обоснований и результатами экспериментов, проведенных с помощью разработанных в диссертации программ.

Апробация работы. Основные результаты, полученные в ходе работы над диссертацией, были представлены на:

1. Международных научно-практических конференциях «Информационная безопасность», г. Таганрог, 2003,2004,2005 годов.

2. Всероссийских научных конференциях «Проблемы информационной безопасности в системе высшей школы», г. Москва, 2003 и 2006 годов.

3. Международной научно-практической конференции «Комплексная защита информации», г. Суздаль, 2006 г.

4. Международном конкурсе по информационной безопасности «8есип1а1еа ¡п&>гпДОюпа1а - 2006», г. Кишинев, 2006 г.

Публикации.

По теме диссертации опубликовано 11 научных статей и тезисов докладов, из них одна статья опубликована в журнале «Проблемы информационной безопасности. Компьютерные системы» из перечня, рекомендованного ВАК РФ для публикации результатов диссертационных работ.

Объем и структура диссертации.

Диссертация состоит из введения, пяти глав, заключения, списка литературы, включающего 70 наименований, приложений. Основной текст диссертации изложен на 136 страницах, включая 36 рисунков и 7 таблиц.

СОДЕРЖАНИЕ РАБОТЫ

Во введении кратко рассматривается актуальность работы, цели и основные задачи, научная новизна и практическая ценность работы, приводится визуальная карта всей работы.

В первой главе определяются основные понятия, относящиеся к теме работы, рассматривается типовая модель компьютерной атаки, анализируются технологии блокирования вредоносного поведения программ, выделяются границы исследования.

Термин метатехнология как таковой входит в понятийный аппарат теории метапознания, которая используется для установления координации и единства подходов в тех областях знаний, которые отличаются наибольшей разработанностью и нуждаются в обобщениях и переосмыслении. В данной работе под понятием метатехнология будем понимать технологию модернизации существующих технологий защиты. Разработка метатехнологии защиты предполагает выделение класса технологий, по отношению к которым она будет применяться, а также параметров, которые она будет улучшать.

Анализ типовой модели компьютерной атаки, позволил выделить класс наиболее востребованных технологий блокирования вредоносного поведения программ, общей особенностью которых является возможность идентифицировать и блокировать вредоносные действия, до того как они произойдут в режиме реального времени. Важно отметить, что под вредоносным поведением понимаются не только несанкционированные и скрытые действия программ, но также и легальные действия, вызванные ошибками или некомпетентностью пользователей.

Анализ публикаций в открытой печати показал, что в рамках парадигмы блокирования поведения сформировались три основных направления: контроль доступа, обнаружение вторжений и антивирусное сканирование в режиме "при обращении". Было выявлено, что в рамках данных технологий решаются следующие основные задачи:

• перехват обращений процессов к ресурсам;

• проверка легитимности каждой выполняемой операции;

■ блокирование выполнения вредоносных операций.

Исходя из перечисленных задач, общую модель системы блокирования поведения можно представить в виде управляющего и исполнительного компонентов. Взаимодействие данных компонентов носит двухсторонний характер. Первый компонент реализует алгоритм проверки критерия, по которому то или иное действие приложения можно считать вредоносным, а второй компонент необходим для решения технологических задач, таких как перехват и блокирование конкретных действий приложений.

Исполнительный компонент предоставляет управляющему всю необходимую информацию для принятия решения, которая может включать имя приложения выполняющего запрос, имя ресурса к которому происходит обращение и другие атрибуты операции. На основании полученных данных система принимает решение и приводит его в исполнение.

Очевидно, что задачу модернизации технологий блокирования поведения можно свести к задаче повышения эффективности принятия решений в системах блокирования поведения.

б

Качественный аспект механизма принятия решений заключается в бинарном характере его работы, поскольку он всегда вьшает только два типа решений: "норма" или "тревога". Количественный аспект характеризуется мерой неопределенности, выражаемой ошибками первого и второго рода.

Выделяя границы исследования, в работе предлагается классификация технологий блокирования поведения по способу анализа обращений процессов к ресурсам: технологии на основе правил или политик безопасности, технологии на основе сигнатур, технологии на основе статистических данных. Далее в главе проводится функциональный анализ перечисленных технологий.

Характер поставленной цели работы требует не только выявления функциональных и структурных особенностей технологий блокирования поведения, но и более комплексного исследования, раскрывающего перспективы их развития.

Во второй главе проводится исследование систем блокирования поведения с помощью методов решения изобретательских задач, и выявляются общие пути их развития, служащие ориентиром для разработки новых решений в выделенной проблемной области.

Эволюционирование любой технической или программной системы, как правило, протекает за счет улучшения одних характеристик и неизбежного ухудшения других. Так неизбежно возникают противоречия между внутренними компонентами системы, которые необходимо устранять.

Удобный аппарат для выявления и разрешения системных противоречий предлагает теория решения изобретательских задач (ТРИЗ), в рамках которой вводятся следующие определения:

• Поверхностное противоречие (ПП) - противоречие между потребностью и возможностью его удовлетворения. г. ■

• Углубленное противоречие (УП) - противоречие между определенными частями, качествами или параметрами системы.

• . Обостренное противоречие (ОП) - предъявление диаметрально противоположных

свойств к определенной части системы.

• Идеальный конечный результат (ИКР) • эталонное (идеальное) решение поставленной задачи.

Этапы точной формулировки задачи и ее решения в ТРИЗ представляются следующим образом: ПП-> УП-> ИКР-> ОП-> РЕШЕНИЕ.

______В работе отмечается, что одной из

Гг

Сист*м* мцитм

. Субмкг (|фМ0КС)

Ж

<2.

Л—N ВДлрмил \|—У 6*юпмноек

Объект

Рис. 1. Общая схема системы блокирования поведения на основе правил безопасности.

наиболее значимых причин, порождающих недостатки систем блокирования поведения, является увеличение сложности системы при расширении ее функциональных

возможностей. Поскольку данная особенность наиболее ярко выражена в системах блокирования поведения на основе правил или политик безопасности, то в качестве объекта ТРИЗ-исследования предлагается рассмотреть общую схему системы данного типа, представленную на рисунке I.

Рассматривая а качестве основной конфликтующей пары пользователя, представляющего внешнюю среду, и БД

правил безопасности, можно сформулировать исследовательскую задачу в виде следующей цепочки противоречий:

ПП1: Система блокирования поведения должна обеспечивать защиту не только от известных вредоносных программ, но и от неизвестных, которые могут появиться в будущем. Для этого необходимо реализовать правила безопасности для всех типов программ (пользовательские приложения, сервисы, скрипты, драйверы и т.д.) и ресурсов (файлы, ключи реестра, устройства внешней памяти и др.), а сами правила должны учитывать не только одиночные операции, но также и последовательности взаимосвязанных операций. Таким образом, можно добиться высокой вероятности обнаружения и блокирования вредоносных программ. Требование А: Система защиты должна иметь правила безопасности, которые можно применять ко всем типам программ и ресурсов.

ПП2: Правила безопасности должны быть понятны для неопытных пользователей, а создание и обновление правил безопасности должно проходить при минимальном участии пользователя. Это позволит упростить эксплуатацию и настройку системы защиты. Требование Б: Участие пользователя в настройке правил безопасности должно быть минимальным.

УП1: Чем больше типов программ и ресурсов поддерживают правила безопасности, тем больше времени и знаний необходимо для настройки и эксплуатации системы защиты. А — анти Б: требование А противоречит требованию Б.

УП2: Чем меньше участия пользователя в создании и поддержании правил безопасности, тем больше решений принимает сама система защиты. Это может привести к созданию правил, не отвечающих требованиям безопасности. Б - анти А: требование Б противоречит требованию А.

ИКР: Система защиты должна поддерживать правила безопасности, применимые к любым типам программ и ресурсов. Все правила должны создаваться автоматически, без участия пользователя. Обновление правил должно проходить также автоматически и без генерации ложных тревог.

ОП: Правила безопасности должны быть, так как с их помощью система защиты определяет, какие действия программ разрешены, а какие запрещены. Правил безопасности не должно быть, так как они затрудняют эксплуатацию системы защиты.

. При решении изобретательских задач требуется определенная направленность поиска, которая может быть достигнута ориентировкой на результаты исследований конкретной предметной области и на общие законы развития систем, прежде всего, на закон увеличения степени идеальности системы.

В данной работе важно обратить внимание на теоретические исследования вредоносных программ (вирусов), проведенные в диссертационной работе Фреда Кохена. Им было формализовано понятие вируса в терминах теории множеств и построена математическая модель вредоносного поведения. В результате исследований было доказано следующее утверждение: защищенность данных может быть гарантирована только в том случае, если они физически изолированы от выполняемых программ. Во всех остальных случаях можно говорить о защите лишь с определенной вероятностью.

Учитывая фундаментальность данной аксиомы, целесообразно использовать ее в качестве ориентира для решения поставленной задачи. В теории решения изобретательских задач решение достигается за счет разделения выявленных противоречивых свойств рассматриваемой системы в структуре и во времени. В работе было предложено разделение противоречивых свойств в структуре путем изоляции поведения программ и ресурсов системы, а также разделение противоречивых свойств во времени путем разделения и оптимизации работы. Представленные на рисунке 2 решения не являются готовыми инструкциями по разработке, но указывают на основные пути, по которым может быть разрешена проблема увеличения сложности при расширении функциональности системы блокирования поведения.

Изоляция поведения программ

Изоляция ресурсов системы

Разделение работы

Оптимизация работы

Эалроск ресурсу

Рис. 2. Решения поставленной задачи.

В результате проведенного исследования было выделено два основных направления развития систем блокирования поведения. Первое и наиболее перспективное направление заключается в реализации принципа изоляции, а второе направление предполагает модернизацию и интеграцию существующих систем защиты.

В третьей главе разрабатываются метод и алгоритмы логической изоляции поведения программ. Рассматривается внутренняя структура механизма логической изоляции. Разрабатывается концепция метатехнологии защиты, раскрывающая аспекты применения метода логической изоляции. Рассматривается общая архитектура системы защиты, объединяющая в единое целое механизм логической изоляции и системы блокирования поведения.

„-ч Развивая принцип изоляции,

предлагается отказаться от изоляции операционной среды, а изолировать только ресурсы системы таким образом, чтобы они логически были разделены, а физически находились в рамках одной системы (см. рисунок 3). Это позволяет установить компромисс между сложностью реализации, уровнем изоляции и издержками

производительности системы.

Логическая изоляция достигается за счет перехвата операций создания или модификации каких-либо ресурсов системы. Перехваченные операции обрабатываются таким образом, чтобы

Алгоритмы

ЮШ1ЯЦИМ

31

М«хамиэм логической

ИЭОЛЯЦИМ

... ... - И

,—^ 1 Рвальмьм ■ 1 Идепироминые '

1 ркукы 1 V__.____ ' 1 ркурсы 1

J

Рис, 3. Общая схема механизма логической изоляции.

I Процесс V

Подметай« кэопмри

}

*__i____

Омрмдомма»

сметам*

"Г

_L

Подсистема упрмпанмя

Подсистем«

АМН»

Рис. 4. Внутренняя структура механизма логической изоляции.

всегда оставалась возможность возврата к исходному состоянию. После выхода системы из режима изоляции, все изменения ресурсов можно выборочно применить или отменить на основе анализа отчета о поведении системы. Важно отметить, что отчет может содержать не только список измененных файлов, но также имена процессов, которые обращались к ресурсам и другие атрибуты операций.

.------Исходя из функционального описания

1 механизма логической изоляции, его внутреннюю структуру можно представить с помощью подсистем управления, изоляции и памяти (см. рисунок 4). Подсистема управления реализует включение / выключение изоляции, установку режимов изоляции и внутренних параметров работы. Подсистема изоляции обеспечивает перехват и обработку запросов приложений к ресурсам. Подсистема памяти реализует выделение / удаление изолированной области памяти, индексацию памяти, поиск - и .выборку данных. Характер взаимодействия • данных подсистем определяется конкретными алгоритмами механизма логической изоляции.

В работе подробно рассматриваются алгоритмы изоляции логических объектов хранения данных, таких как файлы, ключи реестра, объекты ядра системы, а также физических объектов - секторов жесткого диска в рамках операционной системы Microsoft Windows.

В результате исследования было установлено, что все логические Объекты изоляции — файлы, ключи реестра и объекты ядра имеют иерархическую структуру. Кроме того, функции для работы с данными объектами очень схожи и могут быть разделены на две группы. Первая группа включает в себя функции, принимающие на вход текстовые, имена в качестве параметров. Как правило, это функции создания или открытия объектов. Вторую группу составляют функции, принимающие описатели созданных объектов. Например, функции чтения и записи. Благодаря этому, изоляцию всех логических объектов можно организовать единым способом, за счет перехвата и перенаправления функций первой, группы.

Изоляция физических объектов системы — секторов жесткого диска выполняется за счет перехвата операций чтения и записи секторов. При этом реализуются два различных способа обработки запросов. Первый способ заключается в том, что изменения секторов перенаправляются в кэш, а оригинальные секторы остаются на месте без изменений. Второй способ заключается в том, что оригинальные секторы копируются в кэш перед непосредственным изменением на исходном месте.

Эффективность алгоритмов изоляции во многом зависит от способа выделения и индексации изолированной области памяти. В работе рассматриваются два основных способа выделения памяти для изолируемых секторов жесткого диска: однократное выделение дискового пространства, равного по размеру защищаемому разделу диска и выделение памяти блоками, по мере необходимости. Для первого способа реализуется индексация данных « помощью битового массива, а для второго с помощью хеш-таблицы. Преимуществом первого подхода является максимальная скорость выборки данных, независящая от количества изолированных данных, а недостатком - необходимость выделения большого объема дискового пространства для изолированной области. Второй подход отличается экономным выделением дисковой памяти, но при этом более сложным алгоритмом индексации.

Разработанный метод логической изоляции поведения программ предлагается положить в основу метгггехн ологии защиты. Общую концепцию предлагаемой метатехнологии можно выразить с помощью следующих формул:

• Изоляция + технологии, основанные на правилах или политиках безопасности (контроль доступа).

• Изоляция + технологии, основанные на статистических методах (обнаружение вторжений).

• Изоляция + технологии, основанные на сигнатурных методах (антивирусы).

Ввиду того, что современные системы зашиты должны изначально предполагать, что, не смотря ни на какие меры безопасности, система может быть выведена из строя, а пользовательские ресурсы повреждены, необходимо предусмотреть средства поиска неисправностей и средства устранения последствий сбоев и восстановления работы. В рамках данного требования результат системы защиты можно сформулировать как реализация доступности системы в условиях неопределенности.

Понятие доступности системы предлагается описать в общем виде следующей формулой: £> = 1 / (1 + Т„ + Тв). В данной формуле коэффициент доступности системы О определяется такими параметрами как время поиска неисправности Т„ и время восстановление системы Т, и может принимать значения от 0 до 1. В идеальном случае, когда временные параметры равны нулю, коэффициент доступности равен 1, однако в реальных условиях данная ситуация невозможна.

Для перевода наших исследований в область практики необходимо обратить внимание на другой важный параметр, обуславливающий временные параметры в приведенной формуле. Таким безусловным параметром является количество информации, которое необходимо анализировать для поиска неисправности и восстановления системы или, говоря более конкретно, количество измененных файлов с начала рабочего сеанса до момента обнаружения факта неисправности. Как видно на рисунке 5 зависимость между временными параметрами Т,„ Г, и количеством измененных файлов носит пропорциональный характер.

Минимизировать временные параметры можно путем сжатия зависимости, что может быть достигнуто локализацией всех изменений ресурсов, которые производятся на определенном интервале времени. Сглаживание зависимости можно осуществить за счет применения интеллектуальных средств анализа сделанных изменений и аргументации, способствующей идентификации неисправности.

Основу для решения задачи локализации изменений составляет метод логической о количество измененных файлов N изоляции, так как он предоставляет эффективные Рис. 5. Зависимость параметров механизмы изоляции изменяемых ресурсов и их

доступности системы. восстановление. Задача анализа изменений может

быть решена за счет использования информации о правилах безопасности и данных, генерируемых в процессе работы статистическими и сигнатурными системами защиты.

Общая архитектура системы, объединяющая в единое целое существующие системы защиты и механизм логической изоляции, представлена на рисунке б. Интегрирующим элементом системы является неотъемлемый компонент любой системы защиты - механизм принятия решений.

Использование логической изоляции позволяет пересмотреть концепцию бинарного принятия решений и модернизировать механизм принятия решений таким образом, чтобы он учитывал ситуации неопределенности, и мог откладывать решения "на потом" без ущерба безопасности. Реализация отложенного принятия решений и учета неопределенных ситуаций может быть достигнута за счет введения нового варианта решения — "неопределенность".

В том случае, когда ни система, ни пользователь не могут достоверно сказать, приведут ли дальнейшие действия к сбою или нет, поведение системы классифицируется как неопределенное и происходит переход в режим изоляции. Модернизированный механизм принятия решений можно представить в виде «черного ящика», на вход которого поступает - информация из внешней среды, а на выходе генерируется ответ, принимающий три возможных значения: "Норма", "Тревога" и "Неопределенность".

Такой черный ящик играет роль классификатора, работающего по заранее заданному, алгоритму, как показано на рисунке 7.

Гг

AtpaBfiM боавпкмосга Машуи

Лрвют гаитрпвя доступ« &

Г СЮмо | ДОЧМ4 J

лг

И-N нмпр —N.

ж

ж

Снетт К 1

обнаруммн»

щпржттЛ тц"

Рис. 6. Объединение существующих систем Рис. 7. Общая схема классификации состояний защиты и механизма логической изоляции. системы или принятия решений.

В рамках систем контроля доступа обработка ситуаций неопределенности может быть реализована за счет добавления нового вида правил безопасности, определяющих отношение неопределенности между субъектами (процессами) и объектами (ресурсами). В рамках систем обнаружения вторжений и антивирусных систем на основе эвристики, работающих в режиме при обращении, неопределенность реализуется за счет введения зоны неопределенности, выражаемой численным расстоянием между состояниями нормы и тревоги.

Поскольку генерируемый системой изоляции отчет о ресурсных изменениях можно рассматривать как спецификацию работы изолируемых приложений, то его можно использовать для автоматизации таких задач как создание и обновление правил безопасности, вирусных сигнатур и статистического профиля поведения системы.

В четвертой главе предлагается методика оценки эффективности предлагаемой метатехнологии на базе экспертной системы, позволяющая оценивать целесообразность применения механизма логической изоляции к статистическим системам защиты.

В основе работы статистических систем защиты, к которым можно отнести системы обнаружения вторжений, лежит использование алгоритмов классификации, определяемых в рамках теории распознавания образов.

Базовыми характеристиками качества классификации являются уровни ошибок' первого и второго рода (error rates) и коэффициент обнаружения или эффективности (detection rate). Ошибка первого рода - это "ложный пропуск" (false negative), когда интересующее нас событие ошибочно не обнаруживается. Ошибка второго рода - "ложное обнаружение" (false positive), когда при отсутствии события ошибочно выносится решение о его присутствии. Коэффициент эффективности определяет процент обнаружения искомых

D.

Тревога

/1 1 \ Неопределенность

/ 1 /_|___ 1

1 1 1 1 1 ' 1 X . Норма 1 I 1 1 I I 1 ! 1 1 1

Рис. 7. Пример работы классификатора.

событий (вредоносных действий) среди всех искомых событий, которые имели место, и выражает общую способность классификатора принимать правильные решения.

Часто характеристики качества классификатора пытаются улучшить за счет комбинации нескольких алгоритмов классификации или применения обратной связи для дообучения классификаторов в режиме реального времени. В данной работе, как было сказано ранее, предлагается улучшение качества классификации за счет введения нового типа решения - "Неопределенность" и логической изоляции поведения системы в том случае, когда оно классифицируется как неопределенное.

Для реализации классификатора на базе трех видов решений Y = {Норма, Неопределенность, Тревога}, предлагается ввести два критерия классификации, по которым будет приниматься то или иное решение. Первый критерий классификации выражает величину порога неопределенности Ds, а второй критерий — величину порога тревоги D,. Данные величины определяются расстоянием входного вектора признаков от эталонных значений классификатора и позволяют варьировать соотношение характеристик качества классификатора (см. рисунок 7).

Исходя из сказанного методику оценки эффективности механизма логической изоляции, работающего совместно со статистической системой защиты, можно представить с помощью следующих шагов:

• Выбор информативных признаков и алгоритма классификации.

- • Создание тренировочного набора для классификатора.

• Обучение классификатора на тренировочном наборе.

• Получение тестового набора для классификатора.

• Получение характеристик качества классификатора без использования логической изоляции.

• Получение характеристик качества классификатора с использованием логической изоляции.

Данная методику выражает общий подход к исследованию эффективности механизма логической изоляции. Для конкретизации в работе предлагается рассмотреть предложенную методику в контексте систем обнаружения вторжений на основе динамики системных вызовов. Такие системы выполняют сбор статистики о системных вызовах в режиме реального времени и на основе анализа получаемой информации принимают решения о характере поведения системы. Если поведение некоторого приложения классифицируется как вредоносное, то его выполнение блокируется, а пользователь оповещается о вторжении.

Для построения модели описанной системы защиты предлагается использовать алгоритм классификации по расстоянию на основе вероятностных суффиксных деревьев (probabilistic suffix tree, PST) (см. рисунок 8), который был эффективно использован рядом авторов для решения задачи распознавания музыкальных стилей. Данный подход отличается' тем, что позволяет учитывать не только вероятности отдельных событий, но и их последовательность. Расстояние между деревьями определяется как кумулятивное расстояние

между узлами в каждом дереве (xi - х2)2 + (yi - уг)2 •+■.••+(k| - кг)2-

Тренировочный набор для классификатора будем составлять из последовательности системных вызовов представляющих априорно нормальный профиль поведения. Обучение-классификатора заключается в получении' значений эталона в виде вероятностного

_;___ суффиксного дерева на основе заданного

1 2312321 3 алгоритма. Для построения эталонного профиля

использовалась запись сеанса работы пользователя, в котором пользователь запускал файловый менеджер Total Commander; текстовый редактор MS Word, в котором запускались макросы; пользовательское приложение, имеющее возможность редактировать и удалять файлы на жестком диске и осуществлять запись в реестр. Программа Strace создала лог системных вызовов, на основе которого было построено эталонное PST.

Имитация вредоносного поведения осуществлялась с помощью специально разработанных макросов для приложений MS Office, которые в процессе эксперимента производили удаление пользовательских файлов (что нехарактерно для нормальных макросов), удаление файлов в системных каталогах, а также запись данных в определенные места реестра. Было разработано приложение, позволяющее модифицировать и удалять конфигурационные файлы операционной Системы. Для получения более точного представления об эффективности системы была смоделирована и псевдо-злонамеренная активность.

Далее моделировалась работа системы в реальном времени путбм подачи на вход обученного классификатора окна из начальных вызовов с последующим сдвигом на 1 вызов, т.е. аналогично механизму «скользящего окна». Экспериментальным путбм размер окна был принят равным 14 вызовам. Окна помечались экспертом как «нормальные» или «аномальные» на основе попадания в них таких системных вызовов, которые сигнализировали о вредоносной активности. В ходе эксперимента было произведено 100 сравнений тестовых векторов с эталонным образом. На основе вывода классификатора и присвоенной экспертом метки в процессе эксперимента был получен материал для оценки эффективности системы и значений ошибок.

Для оценки эффективности предлагается использовать экспертную систему,-которая позволяет вычислять и сравнивать качественные характеристики классификатора, работающего совместно с механизмом логической изоляции и без него.

Оценка без учета изоляции: Оценка с учетом изоляции:

piE^H^AH^iM^HJxAHJ+iAF^HJxpiHJ d" Р(Е:\ Я()х piH^/A^ | Я^х/^Н/Ч/Г, | W„)x *//„)

Я^Р^Ь",) *el = />(£,• I Hn)

Re2 =1-^.1^) Я 2 = |Я.)

В приведенных формулах:

Ei - событие говорящее о том, что имеет место вредоносное поведение; Hj - гипотеза о том, что поведение системы находится в зоне вредоносного поведения; Н,—гипотеза о том, что поведение системы находится в зоне подозрительного поведения; Нп - гипотеза о том, что поведение системы находится в зоне нормального поведения.

На вход экспертной системы подается набор со значениями отклонения, полученный на предыдущем шаге, а на выходе получаются значения ошибок первого (R»|) и второго рода

Числовой набор PST дерево

(1,0.01 (0.0.1) (0,1.0) ffi.0.1)

Рис. 8. Пример построения PST.

(R^), a также коэффициент эффективности системы (Rj) при заданных критериях классификации D, и Dj.

Основываясь на предложенной ранее методике, эксперимент состоял из следующих шагов: экспертный выбор порога D (Ц = D,) и вычисление параметров Rj, R,, и R^; экспертный выбор Dj и Ds затем повторное вычисление параметров R<j, R^, и R^. Первоначально был выбран порог D = 5000. В результате были получены следующие значения: R^j = 93%; Rei = 3% (пропуск цели); R*2 = 20% (ложное срабатывание). Затем был выбран порог неопределенности Ds = 4000, а порог тревоги D, = 8000. В результате были получены следующие значения: Rj = 97%; R^i = 2,7% (пропуск цели); R^ = 4% (ложное срабатывание).

Сравнивая полученные результаты можно отметить, что при использовании логической изоляции в статистической системе защиты и правильном подборе значений D, и Ds происходит существенное улучшение характеристик качества системы. Однако это может происходить не всегда, поскольку характеристики качества во многом зависят от конкретной тестовой выборки.

В пятой главе рассматриваются общие подходы к реализации механизма логической изоляции, проводится их сравнительный анализ. Разрабатывается ядро механизма логической изоляции на уровне перехвата дисковых операций в операционной системе Microsoft Windows NT и выполняется его экспериментальная проверка и сравнение с аналогом.

В операционных системах семейства Microsoft Windows NT существует несколько базовых механизмов, вокруг которых возможно построение систем защиты. Это диспетчер системных сервисов и стек драйверов внешней памяти, в который входят драйверы файловых систем и дисков. В зависимости от положения в иерархии драйверов выделяются следующие уровни реализации средств защиты:

• Уровень перехвата системных сервисов.

• Уровень фильтра файловой системы.

: • Уровень фильтра дисковых операций.

Каждый из перечисленный уровней предоставляет возможность встраивания дополнительной логики в операции ввода-вывода, благодаря чему становится возможной реализация механизма логической изоляции.

Анализ способов реализации механизма логической изоляции показал, что наиболее предпочтительной с точки зрения надежности и производительности является реализация на уровне фильтра дисковых операций, так как на этом уровне можно изолировать минимально адресуемые блоки данных — секторы жесткого диска. Ç точки зрения функциональности наибольшими преимуществами обладает способ реализации на уровне перехвата системных сервисов, поскольку данный уровень позволяет изолировать все типы логических объектов -файлы, ключи реестра, объекты ядра системы и формировать детальные отчеты о работе, включающие не только список измененных ресурсов, но и имена приложений, которые работали с данными ресурсами

Перед разработкой макета механизма логической изоляции была поставлена цель экспериментальной проверки работоспособности метода логической изоляции на уровне секторов жесткого диска и численная оценка его производительности. В качестве аналога для сравнения была выбрана одна из наиболее популярных виртуальных машин VMWare Workstation.

Разработанный механизм логической изоляции реализует подсистему изоляции на уровне фильтра дисковых операций, работающую в режимах "перенаправления при записи" и "копирования при записи", подсистему памяти, выполняющую фиксированное выделение изолированной ' области памяти и ее индексацию с помощью битовой маски, а также подсистему управления, координирующую работу механизма логической изоляции.

Оценку производительности системы было предложено сделать путем вычисления и сравнения времени выполнения тестовых операций чтения, записи и копирования файла размером 10 МБ при включенной и выключенной изоляции.

При проведении тестов использовалась операционная система Microsoft Windows 2000, компьютер с процессором Intel Pentium М с частотой 1,7 ГГц и оперативной памятью размером 512 МБ. Жесткий диск, на котором проводились эксперименты, был подключен к компьютеру через порт USB 2.0. Численные результаты тестов приведены на рисунке 8.

Сравнивая полученные результаты можно отметить, что работа механизма логической изоляции в режиме "перенаправления при записи" оказывает минимальное влияние на

производительность системы. Данный режим снижает производительность системы при операциях записи, чтения и копирования примерно на один процент.

Исследование работы драйвера логической изоляции в режиме "копирования при записи" показало, что он замедляет работу системы более чем в два раза при выполнении операции Рис. 8. Результаты тестов на файле 10МБ. записи. Это обусловлено выполнением

дополнительной операцией копирования секторов в изолированную область при первом обращении. Однако при последующих операциях записи уже изолированных секторов копирование не будет выполняться, поскольку оригинальная копия сектора уже присутствует в изолированной области.

При выполнении тестов записи, чтения и копирования файла в виртуальной машине VMWare Workstation было зафиксировано падение производительности системы примерно в два раза. Это обусловлено, прежде всего, тем, что изоляция в рамках данной виртуальной машины происходит как на уровне ресурсной среды, так и на уровне операционной среды компьютера. Важным отличием механизма логической изоляции от выбранного аналога является то, что выполняется только ресурсная изоляция, за счет чего мы добиваемся лучшей производительности.

После выполнения всех тестов была также успешно протестирована операция сохранения всех изменений, которая заключалась в копировании секторов из изолированной области на исходное место.

В заключении перечисляются основные результаты работы и делаются общие выводы.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

1. Проведено исследование существующих систем защиты от вредоносного поведения программ с помощью методов решения изобретательских задач, выявлены общие пути их развития, служащие ориентиром для разработки новых решений в выделенной проблемной области.

2. Разработан метод логической изоляции вредоносного поведения программ, а также алгоритмы изоляции логических и физических объектов системы, позволяющие реализовать доступность системы в условиях неопределенности.

3. Разработана концепция метатехнологии защиты, раскрывающая способы модернизации технологий блокирования поведения на основе метода логической изоляции и механизма отложенного принятия решений.

Время (мс) 5000т 4000

3000 2000 1000 0

Ш

:

Чтение

■ Тест без изоляции

■ Тест "перенаправления при записи"

□ Тест "копирования при запйен"

□ Тест на VMWare Workstation

4. Разработана методика оценки эффективности предлагаемой метатехнологии по отношению к различным реализациям статистических систем защиты. Особенностью методики является возможность моделирования и оценки логической изоляции без непосредственной реализации.

5. Разработана программная реализация механизма логической изоляции на уровне фильтра дисковых операций, экспериментальное исследование которой показало возможность применения предлагаемой метатехнологии в реальных условиях.

По теме диссертации опубликованы следующие основные работы:

1. Косолапое Ф.А. Метод логической изоляции поведения вредоносного программного кода // Материалы VI международной научно-практической конференции «Информационная безопасность», Таганрог, 2004 г.

2. Косолапое Ф.А. Блокирование поведения вредоносного программного кода. // Материалы VII Всероссийской с международным участием научной конференции молодых ученых и аспирантов «Новые информационные технологии. Разработка и аспекты применения», Таганрог, 2004 г.

3. Косолапое Ф.А. Анализ общих путей эволюционирования систем блокирования поведения. // Ежеквартальный журнал «Проблемы информационной безопасности. Компьютерные системы», Xsl, Санкт-Петербург, 2005 г.

4. Косолапое Ф.А. Исследование систем блокирования поведения с использованием теории решения изобретательских задач. И Материалы VII международной научно-практической конференции «Информационная безопасность», Таганрог, 2005 г.

5. Косолапое Ф.А., Макаревич О.Б. Проблема блокирования вредоносного поведения программ и пути ее решения. // Сборник трудов всероссийского смотр-конкурса научно-технического творчества студентов высших учебных заведений «Эврика -2005», Новочеркасск, 2005 г.

6. Косолапое Ф.А. Метатехнология защиты от вредоносного поведения программ. // Материалы XIII Всероссийской научной конференции «Проблемы информационной безопасности в системе высшей школы», Москва, 2006 г.

7. Косолапое Ф.А., Макаревич О.Б. Проблема принятия решений в системах защиты от вредоносного поведения программ и пути ее решения. // Материалы X международной научно-практической конференции «Комплексная защита информации», Суздаль, 2006 г.

8. Косолапое Ф.А. Принятие решений в системе логической изоляции вредоносного поведения программ. // Материалы III международного конкурса по информационной безопасности «Securitatea informationala», Кишинев, 2006 г.

Личный вклад автора в работах, написанных в соавторстве, состоит в следующем: [5] — системный анализ технологий блокирования поведения и выявление способов их модернизации; [7] — разработка метода отложенного принятия решений для систем блокирования поведения.

ЛР Ха 020565 от 23.06.97 г.

Подписано в печать формат 60x84 1/16

Бумага офсетная. Печать офсетная. Усл. п.л. — 1 Тираж 100 экз. Заказ X» 2£/0 "С"

Издательство Таганрогского государственного радиотехнического университета

ГСП 17 А, Таганрог - 28, Некрасовский, 44. Типография Таганрогского государственного радиотехнического университета ГСП 17 А, Таганрог - 28, Энгельса, 1.

ВВЕДЕНИЕ.

1. АНАЛИЗ СУЩЕСТВУЮЩИХ ТЕХНОЛОГИЙ БЛОКИРОВАНИЯ

• ВРЕДОНОСНОГО ПОВЕДЕНИЯ ПРОГРАММ.

1.1. Основные понятия и определения.

1.2. Актуальность систем блокирования поведения.

1.3. Цели и задачи систем блокирования поведения.

1.4. Анализ типовых стадий компьютерной атаки.

1.5. Классификация технологий блокирования поведения.

1.5.1. Технологии на основе политик безопасности.

1.5.1. Технологии на основе сигнатур.

1.5.1. Технологии на основе статистических данных.

Ф 1.6. Преимущества и недостатки технологий блокирования поведения.

1.7. Выводы.

2. ИССЛЕДОВАНИЕ СИСТЕМ БЛОКИРОВАНИЯ ВРЕДОНОСНОГО ПОВЕДЕНИЯ ПРОГРАММ И ВЫЯВЛЕНИЕ ОБЩИХ ПУТЕЙ ИХ РАЗВИТИЯ.

2.1. Теория решения изобретательских задач как инструмент исследования.

2.1.1. Этапы формулировки задачи и ее решения.

2.1.2. Методика перехода от изобретательской ситуации к комплексу задач.

2.2. Изобретательская ситуация в исследуемой проблеме.

2.3. Постановка задачи блокирования вредоносного поведения в виде системы противоречий.

2.4. Решение поставленной задачи.

2.4.1. Разделение противоречивых свойств в структуре путем изоляции поведения программ.

2.4.2. Разделение противоречивых свойств в структуре путем изоляции ресурсов.

2.4.3. Разделение противоречивых свойств во времени путем разделения работы.

2.4.4. Разделение противоречивых свойств во времени путем оптимизации работы.

2.5. Общие пути развития систем блокирования вредоносного поведения.

2.6. Выводы.

3. РАЗРАБОТКА МЕТОДОЛОГИЧЕСКОЙ И АЛГОРИТМИЧЕСКОЙ ОСНОВЫ МЕТАТЕХНОЛОГИИ ЗАЩИТЫ ОТ ВРЕДОНОСНОГО ПОВЕДЕНИЯ ПРОГРАММ.

3.1. Метод логической изоляции поведения программ.

3.2. Внутреннее представление механизма логической изоляции.

3.3. Разработка алгоритмов логической изоляции.

3.3.1. Способы обработки запросов к ресурсам.

3.3.2. Способы выделения памяти для изолируемых ресурсов.

3.3.3. Алгоритмы изоляции логических объектов.

3.3.4. Алгоритмы изоляции физических объектов.

3.4. Разработка концепции метатехнологии защиты.

3.4.1. Реализация доступности системы в условиях неопределенности.

3.4.2. Интеграция механизма логической изоляции с существующими системами защиты.

3.5. Выводы.

4. ОЦЕНКА ЭФФЕКТИВНОСТИ МЕТАТЕХНОЛОГИИ ЗАЩИТЫ В СТАТИСТИЧЕСКИХ СИСТЕМАХ.

4.1. Методика оценки эффективности механизма логической изоляции.

4.2. Моделирование логической изоляции в системе обнаружения вторжений на основе динамики системных вызовов.

4.2.1. Построение классификатора на основе вероятностных суффиксных деревьев.

4.2.2. Получение обучающего и тестового набора для классификатора.

4.2.3. Построение экспертной системы для оценки классификатора.

4.2.4. Получение и сравнение характеристик качества классификатора.

4.3. Выводы.

5. ПРОГРАММНАЯ РЕАЛИЗАЦИЯ И ПРАКТИЧЕСКАЯ ОЦЕНКА ОСНОВНЫХ МЕХАНИЗМОВ ПРЕДЛАГАЕМОЙ

МЕТАТЕХНОЛОГИИ.

5.1. Подходы к реализации метода логической изоляции.

5.1.1. Реализация на уровне фильтра системных сервисов.

5.1.2. Реализация на уровне фильтра файловых операций.

5.1.3. Реализация на уровне фильтра дисковых операций.

5.2. Сравнительный анализ рассмотренных подходов реализации.

5.3. Разработка механизма логической изоляции.

5.4. Практическая оценка механизма логической изоляции.

5.5. Выводы.

В настоящее время в сфере информационных технологий отчетливо просматривается тенденция быстрого усложнения и обновления информационных систем, что является причиной появления все новых и новых угроз безопасности. Системам защиты, в свою очередь, необходимо учитывать больше аспектов безопасности, что также приводит к их усложнению. Они становятся громоздкими и сложными в эксплуатации и настройке.

Кроме того, данные статистики говорят о том, что существующие средства защиты от вредоносного поведения программ, к которым традиционно относят системы контроля доступа, обнаружения вторжений и антивирусные сканеры не способны в полной мере защитить компьютеры пользователей от новых и неизвестных вредоносных программ.

Современная система защиты должна обеспечивать адекватное противодействие новым и неизвестным вредоносным программам. Актуальной становится проблема разработки контрмер по отношению к вредоносным воздействиям. Система защиты должна предполагать, что часть атак со стороны вредоносных программ все же достигнет успеха и необходимо иметь заранее подготовленный арсенал контрмер.

Суть проблемы заключается в том, что наиболее разработанные и доминирующие технологии защиты, такие, как контроль доступа, обнаружение вторжений и антивирусное сканирование, работают в рамках парадигмы блокирования действий или предотвращения вторжений, которая утрачивает свою адекватность реальным условиям. Возникает необходимость переосмысления существующих технологий в свете сегодняшних тенденций и качественного их усовершенствования.

Актуальность темы

Диссертация посвящена исследованию методологических аспектов актуальной проблемы защиты информационных ресурсов от вредоносного поведения программ. Теоретические исследования ряда авторов показали с математической строгостью принципиальную ограниченность техник обнаружения и блокирования вредоносного программного кода. В этой связи на передний план выходит задача разработки не абсолютной, но адекватной системы защиты, что вызывает необходимость обобщения и систематизации концепций и подходов, имеющих отношение к обозначенной проблеме.

Принимая во внимание сегодняшнюю тенденцию быстрого усложнения и увеличения объемов информационных потоков, важно отметить, что помимо задачи обнаружения и блокирования новых и неизвестных угроз безопасности особое значение приобретает задача оперативного поиска и ликвидации последствий вредоносных воздействий. Не смотря на то, что данные задачи направлены на решение одной проблемы, попытки их комплексного рассмотрения до сих пор не предпринимались.

В диссертации предлагается восполнить данный пробел рассмотрением задач блокирования вредоносных воздействий и восстановления системы после сбоев в рамках принципа изоляции поведения программ. Учитывая успехи и продолжающееся развитие теории метапознания в таких науках как математика (металогика), физика (метафизика), информатика (метапоиск), представляется целесообразным раскрытие методологического значения принципа изоляции посредством понятия «метатехнология защиты». Роль идеи метатехнологии заключается в том, что она фиксирует общие моменты и особенности технологий, по отношению к которым она применяется и указывает на конкретные способы их модернизации.

Цели и задачи работы

Целью работы является разработка метатехнологии защиты, позволяющей качественно модернизировать существующие технологии защиты информационных ресурсов от вредоносного поведения программ в части принятия решений о допустимости и недопустимости информационных воздействий.

Для достижения указанной цели были поставлены следующие задачи:

1. Исследовать существующие системы защиты от вредоносного поведения программ и выявить общие пути их развития.

2. Разработать алгоритмическую и методологическую основу метатехнологии защиты.

3. Разработать методику оценки эффективности метатехнологии защиты.

4. Провести экспериментальное исследование метатехнологии защиты с помощью программной реализации ее основных механизмов.

Методы исследованя

Для решения перечисленных задач использовались методы решения изобретательских задач, теории вероятностей, теории функциональных и экспертных систем, теории графов и алгоритмов.

Объект и предмет исследования

Объектом исследования являются технологии защиты от вредоносного поведения программ. Предметом исследования являются аспекты развития и модернизации существующих технологий защиты.

Результаты, выносимые на защиту

1. Разработанные метод и алгоритмы логической изоляции поведения программ позволяют реализовать эффективную защиту различных типов информационных ресурсов.

2. Разработанная концепция метатехнологии защиты определяет способы модернизации существующих технологий защиты на основе метода логической изоляции и механизма отложенного принятия решений.

3. Разработанная методика оценки эффективности метатехнологии защиты позволяет моделировать применение механизма логической изоляции к различным реализациям статистических систем защиты.

4. Результаты экспериментального исследования предлагаемой метатехнологии подтверждают ее работоспособность и возможность применения в реальных условиях.

Научная новизна работы

Научная новизна работы заключается в следующем:

1. С помощью методов решения изобретательских задач осуществлено исследование систем защиты от вредоносного поведения программ и выявлены общие пути их развития.

2. Разработаны новые метод и алгоритмы логической изоляции поведения программ, основанные на модификации логики выполнения операций с ресурсами, предполагающей возможность отмены изменений и возврата к исходному состоянию в случае обнаружения неисправности.

3. Разработана концепция метатехнологии защиты, в рамках которой предложены новые способы модернизации существующих технологий защиты, на основе метода логической изоляции и механизма отложенного принятия решений.

4. Разработана методика оценки эффективности предлагаемой метатехнологии на базе экспертной системы, позволяющая оценивать целесообразность применения механизма логической изоляции к статистическим системам защиты.

Карта работы

Основные этапы диссертационной работы можно представить с помощью визуальной карты, как показано на рисунке 1.

Технологии контроля доступа

Технологии обнаружения вторжений

Технологии антивирусного сканирования

ТРИЗ исследование

Развитие прежних концепций

Развитие идеи изоляции 4

Концепция метатехнологии защиты

Метод логической изоляции

Описание

Алгоритмы

Оценка

Реализация

Рис 1. Визуальная карта работы.

Данный рисунок показывает, каким образом выполняется переход от объекта исследования, представленного технологиями контроля доступа, обнаружения вторжений и антивирусного сканирования, к предмету исследования, выраженного концепцией метатехнологии защиты.

Практическая ценность работы

В практическом плане ценность представляют разработанные метод и алгоритмы логической изоляции поведения программ, которые могут использоваться разработчиками для создания новых средств защиты различных типов информационных ресурсов.

Кроме того, разработанный метод логической изоляции позволяет модернизировать бинарный механизм принятия решений, используемый в существующих системах защиты, решающих задачи противодействия вирусам, контроля доступа и обнаружения вторжений, таким образом, чтобы была возможность отложенного принятия решений, когда ни пользователь, ни система не могут дать однозначного ответа по поводу блокирования поведения. Применение логической изоляции позволяет принимать правильные решения при появлении достаточной информации без риска для безопасности системы.

Ценность также представляет разработанная методика оценки целесообразности применения логической изоляции в различных реализациях статистических систем защиты.

Использование результатов

Результаты, полученные в ходе работы над диссертацией, были использованы на кафедре Безопасности информационных технологий ТРТУ при проведении научно-исследовательских работ «Создание программных и программно-аппаратных средств обнаружения и выявления сетевых атак в информационно-телекоммуникационных системах» и «Разработка материалов по вопросам обнаружения сетевых атак в ЛВС АС ВН и создания программного макета системы тестирования системы обнаружения атак», а также при проведении научных исследований, поддержанных грантом РФФИ № 04-07-90137 «Исследование и разработка моделей, методов и средств обнаружения атак».

Достоверность полученных результатов подтверждается полнотой и корректностью теоретических обоснований и результатами экспериментов, проведенных с помощью разработанных в диссертации программ.

Апробация работы

По теме диссертации опубликовано 11 научных статей и тезисов докладов, из них одна статья опубликована в журнале «Проблемы информационной безопасности. Компьютерные системы» из перечня, рекомендованного ВАК РФ для публикации результатов диссертационных работ. Основные результаты, полученные в ходе работы над диссертацией, были представлены на:

1. Международных научно-практических конференциях «Информационная безопасность», г. Таганрог, 2003, 2004, 2005 годов.

2. Всероссийских научных конференциях «Проблемы информационной безопасности в системе высшей школы», г. Москва, 2003 и 2006 годов.

3. Всероссийском смотр-конкурсе научно-технического творчества студентов высших учебных заведений «Эврика - 2005», г. Новочеркасск, 2005 г.

4. Международной научно-практической конференции «Комплексная защита информации», г. Суздаль, 2006 г.

5. Международном конкурсе по информационной безопасности «Securitatea informationala - 2006», г. Кишинев, 2006 г.

5.5. Выводы

В данной главе были рассмотрены способы реализации механизма логической изоляции на различных уровнях иерархии драйверов операционной системы Microsoft Windows NT. Было показано, что механизм логической изоляции может быть реализован на уровне перехвата системных сервисов, фильтра файловой системы и фильтра дисковых операций. Поскольку рассмотренные технологические уровни используются также для реализации систем контроля доступа, обнаружения вторжений и антивирусных сканеров, можно отметить, что механизм логической изоляции может быть легко интегрирован с существующими системами защиты.

Было показано, что выбор того или иного способа реализации зависит от требований предъявляемых к механизму логической изоляции, так как каждый способ обладает своими преимуществами и недостатками.

Для экспериментальной проверки был выбран способ реализации на уровне фильтра дисковых операций, поскольку он является наиболее надежным и эффективным с точки зрения быстродействия.

Результаты тестирования показали работоспособность метода логической изоляции и возможность его использования с существующими системами защиты.

ЗАКЛЮЧЕНИЕ

Основные теоретические и практические результаты, полученные в диссертации, заключаются в следующем:

1. Проведено исследование существующих систем защиты от вредоносного поведения программ с помощью методов решения изобретательских задач, выявлены общие пути их развития, служащие ориентиром для разработки новых решений в выделенной проблемной области.

2. Разработан метод логической изоляции вредоносного поведения программ, а также алгоритмы изоляции логических и физических объектов системы, позволяющие реализовать доступность системы в условиях неопределенности.

3. Разработана концепция метатехнологии защиты, раскрывающая способы модернизации технологий блокирования поведения на основе метода логической изоляции и механизма отложенного принятия решений.

4. Разработана методика оценки эффективности предлагаемой метатехнологии по отношению к различным реализациям статистических систем защиты. Особенностью методики является возможность моделирования и оценки логической изоляции без непосредственной реализации.

5. Разработана программная реализация механизма логической изоляции на уровне фильтра дисковых операций, экспериментальное исследование которой показало возможность применения предлагаемой метатехнологии в реальных условиях.

1. CERT/CC Statistics 1988-2006. http://www.cert.org/stats

2. Fred Moore. InformationWeek Research survey of InformationWeek 500 executives // STORAGE NAVIGATOR, 2004.

3. Andrew Conry-Murray. Product Focus: Behavior-Blocking Stops Unknown Malicious Code // Network Magazine,http://www.aladdin.com/about/press/esafe/networkMag.htm, 2002.

4. Nicholas Weaver. Future Defenses: Technologies to Stop the Unknown Attack // SecurityFocus, http://www.securityfocus.com/infocus/1547, 2002.

5. Neil Desai. Intrusion Prevention Systems: the Next Step in the Evolution of IDS // SecurityFocus, http://www.securitvfocus.com/infocus/1670, 2003.

6. Carey Nachenberg. Behavior Blocking: The Next Step in Anti-Virus Protection // SecurityFocus, http://www.securityfocus.com/infocus/1557, 2002.

7. Peter Szor. The Art of Computer Virus Research and Defense. Addison-Wesley, ISBN: 0-321-30454-3, 2005.

8. Ю.Альтшуллер Г.С. Введение в ТРИЗ. Основные понятия и подходы / Официальный Фонд Г.С. Альтшуллера, Петрозаводск, 2004.

9. П.Петров В. Алгоритм решения изобретательских задач: Учебное пособие. Тель-Авив, 1992.

10. Саламатов Ю.П. Система законов развития техники (Основы теории развития технических систем). 2-е издание, - Красноярск: INSTITUTE OF INNOVATIVE DESIGN, 1996.

11. Fred Cohen. Computer Viruses. PhD Dissertation, University of Southern California, 1986.

12. Марков Ю.Г. Функциональный подход в современном научном познании. — Новосибирск: Наука, 1982.

13. Анохин П.К. Принципиальные вопросы общей теории функциональных систем. — М.: АН СССР, 1971.

14. Халин С.М. Метапознание (Некоторые фундаментальные проблемы): монография / С. М. Халин. Тюмень: ТюмГУ, 2003.

15. Т. Garfinkel and М. Rosenblum. A Virtual Machine Introspection Based Architecture for Intrusion Detection. // Proceedings of the 10th Annual Network and Distributed System Security Symposium (NDSS ), San Diego, CA, 2003.

16. Bochs x86 PC emulator // http://bochs.sourceforge.net, 2006.

17. Transmeta corp, Crusoe processor // http://www.transmeta.com/crusoe/architecture.html, 2006

18. Qemu cpu emulator // http://fabrice.bellard.free.fr/qemu/qemu-tech.html, 2006.

19. Susanta Nanda, Wei Li, Lap-Chung Lam, Tzi-cker Chiueh. BIRD: Binary Interpretation using Runtime Disassembly // Proceedings of 4th International Symposium on Code Generation and Optimization, New York, 2006.

20. Vasanth Bala, Evelyn Duesterwald, and Sanjeev Banerjia, Dynamo: a transparent dynamic optimization system // ACM SIGPLAN Notices, vol. 35, no. 5, 2000.

21. Vmware corp. Vmware workstation //http ://www. vmware. com/products/desktop/ws features.html. 2006.

22. Microsoft corp. Microsoft Virtual PC // http://www.microsoft.com/windows/virtualpc/default.mspx, 2004.

23. Andrew Whitaker, Marianne Shaw and Steven D. Gribble. Denali: Lightweight virtual machines for distributed and networked Applications // Proceedings of the USENIX Technical Conference, 2002.

24. Paul Barham, Boris Dragovic, Keir Fraser, Steven Hand, Tim Harris, Alex Ho, Rolf Neugebauer, Ian Pratt, and Andrew Warfield. Xen and the art of virtualization // Proceedings of the nineteenth ACM symposium on Operating systems principles, 2003.

25. Plex86 Virtual Machine // http://savannah.nongnu.org/proiects/plex86. 2006.

26. Jeff Dike. A user-mode port of the linux kernel // Proceedings of the 4th Annual Linux Showcase and Conference, Atlanta, Georgia, USW, 2000.

27. Dan Aloni. Cooperative linux // Proceedings of the Linux Symposium, Ottawa, Ontario, Canada, 2004.

28. ВШ Venners. The lean, mean, virtual machine // Java World, New York, NY, 1996.31 .Microsoft corp. Common language infrastructure (cli) concepts andarchitecture // http://msdn.microsoft.com/netframework/programming/clr. 2006.

29. Parrotcode: Parrot documentation // http://www.parrotcode.org/docs, 2006.

30. Wine Project. Wine user guide // http://www.winehq.com/site/docs/wineusr-guide/index. 2006.

31. Sun Microsystems. Wabi 2.1 documentation // http://docs.sun.com/app/docs/doc/802-3253, 2006.

32. Steven Ginzburg. Lxrun: linux emulator //http://www.ugcs.caltech.edu/~steven/lxrun, 2003.

33. Mainsofi. Port business-critical applications from windows to unix and linux // http://www.mainsoft.com/solutions/vmw5 wp.aspx. 2006.

34. Aaron B. Brown. A Recovery-Oriented Approach to Dependable Services: Repairing Past Errors with System-Wide Undo // EECS Department University of California, Berkeley, Technical Report No. UCB/CSD-04-1304, 2004.

35. Ann Chervenak, Vivekenand Vellanki, and Zachary Kurmas. Protecting file systems: A survey of backup techniques // Proceedings Joint NASA and IEEE Mass Storage Conference, 1998.

36. Norman C. Hutchinson, Stephen Manley, Mike Federwisch, Guy Harris, Dave Hitz, Steven Kleiman, Sean O'Malley. Logical vs. physical file system backup. // Proceedings of the USENIX Technical Conference, 1999.

37. Dilip Naik. Inside Windows Storage: Server Storage Technologies for Windows Server 2003, Windows 2000 and Beyond. Addison-Wesley, ISBN: 032112698X, 2003.

38. Petrocelli T. Data Protection and Information Lifecycle Management. -Pearson Education, Stoughton, MA, ISBN: 0-13-192757-4, 2005.

39. Ryutov, Т., Neuman, С., Kim, D., and Zhou, L. Integrated Access Control and Intrusion Detection for Web Servers. // IEEE Transactions on Parallel and Distributed Systems, 2003.

40. T. Ryutov, C. Neuman, and L. Zhou. Integrated Access Control and Intrusion Detection (IACID) Framework for Secure Grid Computing. // Technical Report, USC Internet and Grid Computing Lab (TR 2004-6), 2004.

41. Kumar, S. Classification and Detection of Computer Intrusions, PhD Thesis, Purdue University, 1995.

42. Хабаров С.П., Экспертные системы (конспекты лекций в формате internet-страниц) // http://firm.trade.spb.ru/serp/main es.htm. 2005.

43. S. Dubnov, G. Assayag, О. Lartillot, and G. Berjerano, Using machine learning methods for musical style learning. IEEE Computer, 36:73-80, 2003

44. J. Gregor, G. Mazeroff, and M. Thomason. Pattern analysis tools for probabilistic suffix trees with application to Windows XP code trace models. // Proceedings of the 17th International Conference on Pattern Recognition (ICPR), Cambridge, UK, 2004.

45. Eivind Naess, Deborah A. Frincke, A. David McKinnon, David E. Bakken: Configurable Middleware-Level Intrusion Detection for Embedded Systems. // ICDCS Workshops, Columbus, OH, USA, 2005.

46. Symposium on Security and Privacy, Oakland, CA, 1996. 56.Eleazar Eskin, Wenke Lee and Salvatore J. Stolfo. Modeling System Calls for Intrusion Detection with Dynamic Window Sizes. // Proceedings of the DISCEX II, 2001.

47. Steven A. Hofmeyr, Stephanie Forrest, Anil Somayaji. Intrusion Detection using Sequences of System Calls. // Journal of Computer Security, Vol. 6,1998.

48. K. Ghosh, A. Schwartzbard, M. Schatz. Learning program behavior profiles for intrusion detection. // Proceedings of the Workshop on Intrusion Detection and Network Monitoring, Santa Clara, CA, USENIX Association,1999.

49. Sal Stolfo, Ke Wang, Wei-Jen. Li. Fileprint Analysis for Malware Detection. // Technical report, Columbia Univesrity, 2005.

50. Wei-Jen Li, Ke Wang, Salvotore J. Stolfo. Fileprints: Identifying File Types by n-gram Analysis. // IEEE Information Assurance Workshop, West Point, 2005.

51. Salvatore J. Stolfo, Frank Apap, Eleazar Eskin, Katherine Heller, Shlomo Hershkop, Andrew Honig, Krysta Marie Svore: A comparative evaluation of two algorithms for Windows Registry Anomaly Detection. // Journal of Computer Security 13(4), 2005.

52. Y. Miretskiy, A. Das, C. P. Wright, and E. Zadok, AVFS: An on-access antivirus file system. // Proceedings of the 13th USENIX Security Symposium, 2004.

53. ВП1 Hayes. Who Goes There: An Introduction to On-Access Virus Scanning // SecurityFocus, http://www.securitvfocus.com/infocus/1622. 2002.

54. M. Руссинович, Д. Соломон. Внутреннее устройство Microsoft Windows: Windows Server 2003, Windows XP, Windows 2000. -Издательства: Питер, Русская Редакция, ISBN 5-467-01174-7, 5-75020085-Х, 0-7356-1917-4, 2005.

55. Светлана Сорокина, Андрей Тихонов, Андрей Щербаков. Программирование драйверов и систем безопасности. Учебное пособие. Издательство: БХВ-Петербург, ISBN: 5-94157-263-8, 5-94740005-7, 2002.

56. Свен Шрайбер. Недокументированные возможности Windows 2000. Издательство: Питер, ISBN: 5-318-00487-3, 0-201-72187-2, 2002.

57. Гэри Неббет. Справочник по базовым функциям API Windows NT/2000. Издательство: Вильяме, ISBN 5-8459-0238-Х, 2002.