автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Модели и методы защиты от вредоносных программ на основе контроля доступа к файлам

На правах рукописи

Маркина Татьяна Анатольевна

МОДЕЛИ И МЕТОДЫ ЗАЩИТЫ ОТ ВРЕДОНОСНЫХ ПРОГРАММ НА ОСНОВЕ КОНТРОЛЯ ДОСТУПА К ФАЙЛАМ

Специальность: 05.13.19 - Методы и системы защиты информации,

информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

005549851

5 Ш 2014

Санкт-Петербург - 2014

005549851

Работа выполнена в Санкт-Петербургском национальном исследовательском университете информационных технологий механики и оптики.

Научный руководитель: доктор технических наук, профессор

Щеглов Андрей Юрьевич

Официальные оппоненты: Буйневич Михаил Викторович

доктор технических наук, профессор, кафедра защищенных систем связи Санкт-Петербургского государственного университета телекоммуникаций им. проф. М.А. Бонч-Бруевича, профессор

Сердюк Виктор Александрович

кандидат технических наук, ЗАО «ДиалогНаука», Генеральный директор

Ведущая организация: ОАО «ЭЛВИС-ПЛЮС»

Защита состоится «18» июня 2014 года в 15:50 часов на заседании диссертационного совета Д 212.227.05 при Санкт-Петербургском национальном исследовательском университете информационных технологий, механики и оптики по адресу: 197101, Санкт-Петербург, Кронверкский пр., д.49, ауд. 461.

С диссертацией можно ознакомиться в библиотеке Санкт-Петербургского национального исследовательского университета информационных технологий, механики и оптики по адресу: 197101, Санкт-Петербург, Кронверкский пр., д.49 и на сайте fppo.ifmo.ru.

Автореферат разослан «$» -¿¿¿^ 2014 г.

Ученый секретарь

диссертационного совета Д212.227.05 кандидат технических наук, доцент / - В.И. Поляков

Общая характеристика работы

Актуальность работы.; Одной из ключевых современных проблем обеспечения компьютерной безопасности является необходимость эффективного противодействия вредоносным программам. При этом необходимо учитывать, что это могут быть, как самостоятельные программы, призванные осуществлять соответствующие несанкционированные действия, так и вполне легальные, санкционировано используемые приложения, наделяемые в процессе работы вредоносными свойствами. В общем случае атаки подобных программ могут бьггь нацелены, как на хищение данных, так и на вывод из строя компьютерных ресурсов, как следствие, объектами защиты, применительно к данным угрозам, должны являться, как информационные, так и системные компьютерные ресурсы.

Актуальность задачи защиты от вредоносных программ возрастает из года в год. Известная статистика указывает на то, что в 2013 году выпущено порядка 50 млн. новых вредоносных программ, то есть 136 тысяч ежедневно, а по прогнозам экспертов - в 2015 году количество новых вредоносных программ может превысить 200 млн.

На сегодняшний день для решения рассматриваемых задач широко используются всевозможные способы сигнатурного и поведенческого анализов, призванных предотвратить возможность несанкционированного внедрения и запуска вредоносных программ на защищаемые ресурсы. Однако существующая статистика роста вредоносных программ позволяет сделать предположение о весьма низкой эффективности известных методов решения этих наиболее актуальных современных задач защиты информации.

Объектом исследования являются технологии защиты от внедрения и запуска вредоносных программ.

Предметом исследования являются методы и механизмы защиты на основе контроля доступа к файлам.

Целью диссертационной работы является развитие методов защиты от вредоносных программ применительно к современным информационным системам.

Задачи исследования. В рамках диссертационного исследования были решены следующие задачи:

1. Анализ основных типов вредоносных программ и их классификация по способам загрузки и выполнения вредоносных файлов.

2. Исследование эффективности существующих методов и средств защита от вредоносных программ, основанных на сигнатурном и поведенческом анализах.

3. Разработка моделей и методов защиты от вредоносных программ на основе контроля доступа к файловым объектам.

4. Разработка требований к построению безопасной системы.

5. Разработка функциональной схемы, политик безопасности, направленных на защиту информационной системы от вредоносных программ.

6. Оценка эффективности предложенных методов защиты и оценка влияния реализующих их средств защиты на загрузку вычислительных ресурсов информационной системы.

Научная новизна работы заключается в следующем:

1. Предложен общий подход к построению системы защиты от вредоносных программ на основе контроля доступа к файловым объектам по типам файлов, идентифицируемых по их расширениям.

2. Разработаны методы, позволяющие защищать информационную систему, как от загрузки, так и от исполнения бинарных и скриптовых вредоносных файлов.

3. Разработаны модели безопасной системы контроля доступа к файловым объектам, позволяющие оценить возможные способы утечки прав доступа и сформулировать требования, реализация которых обеспечивает эффективную защиту от вредоносных программ.

4. Сформулированы требования к эксплуатационным параметрам средства защиты и оценена эффективность разработанных методов защиты от вредоносных программ по сравнению с известными методами.

Практическая ценность результатов работы состоит в следующем:

1. С использованием разработанной модели массового обслуживания получена количественная оценка эффективности известных методов защиты от вредоносных программ, объясняющая их стремительный рост в последние годы.

2. На модели атаки показано, что наиболее актуальными угрозами для современных информационных систем являются бинарные и скриптовые вредоносные файлы.

3. Сформулированы и обоснованы требования к средствам защиты при помощи предложенных моделей, реализующим разработанные методы, выполнение которых позволяет строить безопасную систему.

4. Рассмотрена реализация предложенных методов, на которой апробирована возможность практической реализации разработанных методов защиты от вредоносных программ и сформулированных требований.

5. Разработаны политики безопасности - варианты настройки средства защиты от вредоносных программ.

6. Разработаны требования к параметрам средства защиты, при выполнении которых обеспечивается значение вероятности готовности средства защиты к безопасной эксплуатации 0,96 и выше, а значение среднего времени безотказной работы (наработки на отказ информационной безопасности) средства защиты более года.

7. Проведены исследования влияния средства защиты на загрузку ЦП системы, в результате которых показано, что дополнительная загрузка ЦП не превысит 17%.

Методы исследования. При решении поставленных задач использовались методы теории массового обслуживания, теории надежности, теории графов, методы статистической обработай результатов эксперимента.

На защиту выносятся следующие положения:

1. Подход к построению системы защиты от внедрения и запуска вредоносных программ на основе контроля доступа к ресурсам по расширениям и типам файлов, модели и методы защиты информационной системы от бинарных и скриптовых вредоносных файлов на основе реализации разграничительной политики доступа к файловым объектам.

2. Модели безопасной системы, позволяющие оценить возможные способы утечки прав доступа в системе контроля доступа и сформулировать требования к построению безопасной системы, модели и методы количественной оценки актуальности угроз и эффективности средств защиты.

Степень достоверности. Достоверность результатов обусловлена корректностью используемого математического аппарата, подтверждена натурным моделированием, экспертными заключениями при получении гранта, апробацией полученных результатов на конференциях, а также результатами внедрения.

Апробация результатов работы. Результаты выполненных исследований были представлены на VII Всероссийской межвузовской конференции молодых ученых, XXXIX Неделе науки Санкт-Петербург ГПУ, II Всероссийской научно-технической конференции «Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур», II научно-практической конференции молодых ученых «Вычислительные системы и сети (Майоровские чтения)», ХЫ1 научной и учебно-методической конференции НИУ ИТМО, а также на II и III Всероссийском конгрессе молодых ученых.

Исследования поддержаны грантом в рамках конкурса грантов 2011 года для студентов, аспирантов вузов и академических институтов, расположенных на территории Санкт-Петербурга.

Публикации. Основные результаты диссертационного исследования опубликованы в 11-ти научных публикациях общим объемом 2 п. л.: 6 статей, 5 тезисов, в том числе 2 статьи в изданиях, включенных в Перечень изданий ВАК.

Структура и объем работы. Диссертационная работа состоит из введения, основной части, содержащей 5 глав, заключения и списка литературы. Общий объем работы - 140 страницы. Работа содержит 39 иллюстрации и 14 таблиц. Список литературы включает 92 библиографических источника.

Основное содержание работы

Во Введении сформулированы актуальность работы, ее цель, решаемые задачи, основные научные результаты и положения, выносимые на защиту, приведены сведения о научной новизне и практической ценности работы,

внедрению и апробации результатов работы, вкладе автора, описаны структура и объем работы.

В первой главе «Исследование актуальности задачи защиты от вредоносных программ» рассмотрена классификация и проведено исследование существующих вредоносных программ и методов защиты от них. В результате показано, что в общем виде вредоносные программы следует делить на исполнимые и макро-программы, в свою очередь исполнимые делятся на бинарные, которые включают в себя загрузочные вредоносные программы, классические компьютерные вирусы, троянские программы, компьютерные черви, хакерские утилиты, потенциально нежелательные программы, и скриптовые вредоносные программы. На основании проведенного исследования существующей статистики сделан вывод в отношении того, что наиболее актуальными для защиты являются исполнимые бинарные и скриптовые файлы. Дополнительно проведено исследование способов внедрения вредоносных программ, в результате которого сделан вывод, что рассматриваемые классы вредоносных программ предполагают обязательное сохранение файла на жестком диске перед его исполнением (чтением). Это позволило сделать вывод, что возможно использовать для защиты от вредоносных программ методы, основанные на контроле доступа к файлам (разграничение прав доступа).

Проведено исследование существующих подходов к оценке эффективности методов и средств защиты от вредоносных программ, в результате которого сделаны выводы о невозможности с использованием известных подходов ни количественно оценить актуальность отдельной угрозы для информационной системы в целом (с учетом множества иных потенциальных угроз), в том числе угрозы занесения и запуска вредоносных программ, ни количественно оценить основные стохастические характеристики безопасности системы от вредоносных программ. В результате чего сформулирована задача разработки соответствующих математических моделей и последущего проведения на них исследований, позволяющих получить необходимые количественные оценки.

Во второй главе «Оценка актуальности угрозы вредоносных программ и эффективности существующих методов защиты» предложены подходы к количественному оцениванию актуальности угрозы (задачи защиты от вредоносных программ) и к количественному оцениванию эффективности средств защиты. Для оценивания актуальности задачи защиты от внедрения и запуска вредоносных программ была использована модель атаки, как последовательность реализаций угроз на орграфе (рисунок 1), где каждая угроза характеризуется вероятностью её отсутствия.

На орграфе дуги указывают последовательность реализации угроз при совершении атаки, вершина «3» - злоумышленник, вершины «У,» -. угрозы (потенциальные угрозы) с заданной (рассчитанной) вероятностью их отсутствия в системе в момент осуществления атаки (отсутствия реальной угрозы), вершины «Ц,» - цели атаки - хищение (кража) информации, модификация информации или отказ в доступе.

Для того, чтобы совершить переход из начального состояния «3» в конечные состояния «Ц,», «Цд» и «Цз» злоумышленник должен последовательно реализовать все угрозы (угрозы должны быть реальными) на его пути следования (реализовать все этапы атаки). В результате данное представление можно интерпретировать как схему параллельного резервирования, где каждый узел представляет собой резервирующий элемент. Из схемы, где была добавлена угроза преодоления средства защиты информации (СЗИ), была получена следующая рассчетная формула построенной модели, позволяющая оценить вероятность возможности успешного осуществления атаки:

п

Роосуща = (1 - РоГЗи) * ]"[(1 - Рои).

¿=1

где рос.зи- вероятность отсутствия угрозы в средстве защиты информации; роу, — вероятность отсутствия 1-й угрозы в информационной системе, 1 = 1, ..., п.

Представление в виде схемы параллельного резервирования позволило ввести одну из важнейших эксплуатационных характеристик безопасности -среднее время безопасной работы системы (среднего времени наработки на отказ безопасности) Т0, определяемое для средства защиты следующим образом:

^ __Рос.зи_

~Р(к:зи) * Рези

где роези - вероятность отсутствия угрозы в средстве защиты информации; Исзи- интенсивность исправления ошибок.

На основании интерпретации атаки как схемы параллельного резервирования был сделан вывод, что не имеет значения то, какую из угроз в актуальной атаке (в последовательности реализации угроз) следует

нивилировать средством защиты (где в орграфе атаки размещать взвешенную вершину СЗИ), как следствие, в данных условиях сформулирована задача определения и количественного оценивания актуальности угрозы.

Введено новое понятие актуальности угрозы. Исходя из идеи, что не имеет значения, какую из угроз, используемых атакой, нивелировать СЗИ, в качестве критерия актуальности угрозы можно рассматривать число атак на вычислительную систему, использующих данную угрозу. При этом наиболее актуальна та угроза, нивелирование которой приводит к защите от большего числа атак. Аналогичным образом может быть введен и соответствующий критерий актуальности СЗИ для информационной системы.

Предложена количественная оценка актуальности угрозы. Актуальность угрозы, определяемой на орграфе совокупности атак (потенциально возможных атак) на вычислительную систему (рисунок 2) характеризуют число атак (дуг на орграфе), позволяющих перейти в данное состояние (в соответствующую вершину угрозы на орграфе) и число атак, исходящих из данного состояния. С учетом сказанного, может быть введен критерий актуальности угрозы, который количественно следует определять коэффициентом Ка по формуле:

Ка — U *S,

где U — количество атак, входящих в вершину угрозы на орграфе;

5- количество атак, исходящих из вершины угрозы на орграфе.

На основании информации, полученной из отчетов компаний ESET, Cisco, Лаборатории Касперского, большинством атак за прошедший 2013 год использовались вредоносные программы. Проиллюстрируем результатаы проведенного исследования — представим наиболее часто реализуемые атаки соответствующим орграфом (рисунок 2).

Роу1 роуг Роуз

на вычислительную систему орграфом На орграфе дуги указывают последовательность реализации угроз при совершении атак, вершина «3» - злоумышленник, вершины «У;» - угрозы: «У1» — угроза взлома веб-сайта или сервера, «У2» — угроза вскрытия или перехватывания паролей, «Уз» - угроза компрометации файлов ОС, «У4 -

угроза социальной инженерии, «У5» - угроза внедрения вредоносного ПО, «Ув» - угроза повышения привилегий, «У7» - угроза уязвимости в протоколе сетевого взаимодействия, «Ув» — угроза уязвимости в сети, вершина «Ц» -хищение (кража) информации, модификация информации или отказ в доступе.

Представим, что средством защиты нивелируется первая угроза (У]), тогда коэффициент Ка будет равен 4, если же нивелировать пятую угрозу (У5), коэффициент Ка будет равен 9 и соответственно будет реализована защита от девяти потенциальных атак.

Полученный результат в отношении актуальности угрозы вредоносных программ достаточно просто объясним, поскольку для того, чтобы злоумышленнику совершить атаку, ему нужен некий инструментарий для осуществления запланированных им действий. Именно вредоносная программа предоставляет злоумышленнику возможность дальшего осуществления атаки.

Для количественного оценивания эффективности современных антивирусных средств защиты была предложена математическая модель в виде системы массового обслуживания (СМО) М/М/С (пуассоновский входящий поток, экспоненциальное распределение, С — количество обслуживающих приборов - количество вирусных аналитиков, обеспечивающих выявление сигнатуры вредоносной программы - нивелирование угрозы), расчетная формула для которой:

с (%)" (Я/д)С+1

где ро — вероятность отсутствия заявок в СМО, под заявками понимаются новые обнаруженные вредоносные программы;

С - количество обслуживающих приборов - количество аналитиков, обеспечивающих выявление сигнатуры вредоносной программы; Я - интенсивность поступления заявок на обслуживание в СМО (интенсивность обнаружения новых вредоносных программ); // - интенсивность обслуживания заявок, поступающих в СМО (выявления сигнатур новых вредоносных программ). Из соответствующих аналитических отчетов была определена интенсивность появления новых вредоносных программ, для различного задаваемого количества обслуживающих приборов (работающих в антивирусной компании аналитиков) рассчитывалась вероятность отсутствия заявок в СМО и среднее время обслуживания заявки в условиях стационарности СМО. В результате проведенное исследование показало (рисунок 3), что если в системе 1000 обслуживающих приборов, то стационарное состояние достижимо в случае среднего времени обслуживания одной заявки не более 13 минут, при этом средняя длина очереди составляет 7300 заявок. Если же среднее время обслуживания одной заявки увеличивается до 65 минут, то для обеспечения стационарного режима СМО уже необходимо 5000 обслуживающих приборов (5000 вирусных аналитиков в одной компании). В результате сделан вывод в отношении того, что моделируемая система

антивирусной защиты должна описываться нестационарной СМО, для которой очередь заявок на обслуживание и время обслуживания заявок бесконечно возрастают. ______

0 5 1С В 20 25 30 35 « № 50 55 55 65 та

Г

ъа

■ги 100 1000 2500 3000

250-

2СО ?Я-

!М 1№-

;ез 160

тла №

12! 150

■00 КО

■8С ю

И а.

■40 да-

20 г го

г (

**

5 5 10 к м 35 « 50 55

Рисунок 3 - Графики зависимости средней длины очереди от среднего времени обслуживания заявок

Для количественной оценки значений основных характеристик антивирусных средств защиты - среднего времени ожидания новой вредоносной программы в очереди на обслуживание (выявление сигнатуры) Точ и средней длины очереди Ьоч, проведено моделирование в условиях, близких к нестационарным. Расчет производился по формулам:

(Я/М)С+1Ро

1оч = с* С1 а-А/Сиу'

где р0 — вероятность отсутствия заявок в СМО, под заявками понимаются новые вредоносные программы,

С - количество обслуживающих приборов — количество аналитиков, обеспечивающих выявление сигнатуры, 2 - интенсивность поступления заявок, ц - интенсивность обслуживания заявок.

В результате моделирования получено, что, если среднее время обслуживания заявки (выявления сигнатуры) составляет 64,808 мин, с учетом интенсивности поступления заявок - 77,15 заявок в минуту (стационарность системы обеспечивается при числе обслуживающих приборов, равном 5000), средняя длина очереди равна 79529,91, а среднее время ожидания в очереди составляет 1030,85 мин. Если же среднее время обслуживания заявок увеличить лишь на 0,0007 мин (42 мс), то средняя длина очереди и время ожидания вырастут в 7 раз. Это наглядно иллюстрирует, что используемая сегодня на

практике характеристика эффективности антивирусных средств защиты -среднее время обслуживания заявки (выявления сигнатуры) никоим образом не отражает реального положения дел.

На основании проведенных исследований сделан вывод о принципиальной невозможности построения эффективной защиты от вредоносных программ с использованием известных методов антивирусной защиты, что указывает на необходимость разработки новых подходов к защите, основанных на иных принципах, и новых методов защиты от вредоносных программ.

В третьей главе «Предлагаемые модели и методы защиты от вредоносных программ» предложен общий подход к защите от вредоносных программ на основе контроля доступа к файлам по их типам. Основная идея предлагаемого подхода защиты состоит в том, что объекты доступа определяются по их расширениям (исполнимые, системные или информационные); исключается любая возможность несанкционированной модификации заданных объектов; исключается любая возможность несанкционированного удаления заданных объектов; исключается любая возможность создания заданных объектов; только заданные объекты доступа разрешается исполнять.

Предложено строить защиту от вредоносных программ на основе дискреционной модели разграничения доступа к объектам файловой системы. Для анализа безопасности системы защиты, реализующую дискреционную политику безопасности, использовалась модель Харрисона - Руззо - Ульмана. Для заданной модели начальное состояние С?о = (Бо, О0, М0) является безопасным относительно права г, если не существует применимой к СЬ последовательности команд, в результате которой право г будет занесено в ячейку матрицы М, в которой оно отсутствовало в состоянии 00. Другими словами это означает, что субъект никогда не получит право доступа г к объекту, если он не имел его изначально. Если же право г оказалось в ячейке матрицы М, в которой оно изначально отсутствовало, то говорят, что произошла утечка критичного права г по объекту доступа. Также может произойти утечка права доступа по субъекту в случае повышения привилегий пользователя. Другими словами это означает, что субъект доступа, олицетворяясь с пользователем с административными правами, получает все права доступа соответствующие администратору, при этом изменения матрицы доступа не происходит. Модель строится для оценки и формирования требований к построению безопасной системы и предотвращению утечки прав доступа.

В работе предлагаются семь методов, учитывающих возможность контроля расположения исполнимых файлов, возможность администрирования при работающей системе защиты, возможность контроля модификации объектов доступа, контроля переименования объектов доступа, возможность защиты от скриптовых вредоносных программ, в том числе с учетом возможности наделения вредоносными свойствами интерпретаторов (виртуальных машин).

Пример разработанной матрицы доступа M для метода защиты с дополнительной защитой от скриптовых исполнимых файлов:

Оссг, ... О снстт Оинф1 ♦ Оинфп

Чт, В, ЗпН, Зя€, Чт, ЗнН, Зн€, Чт, ЗпН, ЗпС,

Пм ПпН V Пи ПпН V Пн ПпН iL

ГШ, rltijrl, ^ 1 111, 1 IUI 1, т 1 111, 1 lui 1,

м=

Чт, В, ЗнН, 3hG, Чт, ЗнН, Зн€, Чт, ЗпН, ЗпС,

Пи ШИ iL тт.. ПпН iL Пи ПпН iL

1 111, 1 11311, - 1 111, 1 IUI 1, 1 111, HUI 1, -

Чт, Зп, В Чт, Зп Чт, Зп

В качестве субъектов доступа (СД) выступают пользователи системы и отдельно Администратор S,: S = {Sb ..., St, А}. Объекты доступа (ОД) делятся на исполнимые, системные и информационные: О = {Оиспь ..., Оисш, Ос,,ст!, ..., Осисти ОИНф1, ОИЯфП}. Под исполнимыми ОД понимаются файлы, содержащие в себе готовые к запуску программы, то есть рассмотрим только бинарные исполнимые файлы. Под системными ОД понимается файл, необходимый для функционирования операционной системы или программного обеспечения, за исключением исполнимых ОД. В качестве системных объектов выступают файлы с расширениями: *.config, *.manifest, *.fon, *.ttf, *.Iog. Под информационными ОД понимается любой файл, за исключением исполнимого и системного файла. В качестве объектов доступа выступают файлы с определенными расширениями, например: *.ехе. Конечный набор прав включает в себя: R = {Чт, В, ЗнН, Зн€, Пи, Нвй, ¥} (вычеркивание означает запрет). В предлагаемом методе право доступа «Запись» разделяется на создание нового объекта доступа и изменение существующего объекта доступа путем переименование. Запрет создания нового обозначается «ЗнН» и изменение существующего - «Зн€». Для учета различия между правом переименования существующего исполнимого файла от права переименования, например, информационного файла, запись которого разрешена, в исполнимый файл был дополнительно добавлен запрет переименования существующего исполнимого файла (обозначается «Ни»), запрет переименования в исполнимый файл (обозначается «НвИ»),

Предложенный метод заключается в следующем: о для субъекта доступа Администратор:

• разрешать чтение, запись (установка) и выполнение исполнимых ОД;

• разрешать чтение, запись (установка) системных ОД;

• разрешать чтение и запись информационных ОД;

• все остальное запрещать.

о для всех остальных субъектов доступа:

• разрешать чтение и выполнение только тех исполнимых ОД, которые уже находятся на системном диске;

• запрещать создания нового ОД. изменения существующего ОД, переименование существующего исполнимого ОД и в

. существующий ОД, удаление существующих исполнимых ОД на системном диске;

• разрешать чтение для системных ОД;

• запрещать для системных ОД создание нового ОД, изменение существующего ОД, переименование существующего ОД и в существующий, удаление;

• разрешать для информационных ОД чтение и запись;

. • запрещать для информационных ОД переименование существующего ОД и в существующий, удаление;

• все остальное запрещать.

На данной модели „были исследованы возможные вариднтц утечки прав доступа. Было определено, что в общем случае их существует трИ варианта: при создании нового объекта доступа, при повышении прав доступа субъекта до административных, при существовании сущности «Владелец». Первый вариант утечки прав доступа невозможен, так как объекты доступа задаются их типами (расширениями). Для предотвращения второго варианта утечки прав доступа следует контролировать процесс олицетворения (смены имени пользователя при запросе доступа к файлу). Третий вариант утечки прав доступа невозможен, так как используется принудительное управление потоками информации и «Владелец» исключен из схемы администрирования.

Сформулированы требования к реализации механизмов защиты и к назначаемым разграничительной политикой правилам доступа, выполнение которых позволит построить безопасную систему, что обосновано на построенных моделях. К подобным требованиям относится следующее: объекты доступа должны задаваться масками, как следствие, правила доступа должны назначаться не к объектам субъектов, в качестве их атрибутов, субъектам к объектам - матрица (таблица) прав доступа субъектов к объектам должна храниться в отдельном файле, для разделения объектов на исполнимые, системные и информационные по расширениям, должна использоваться маска «*.тип файла (расширение)», субъект доступа должен задаваться тремя сущностями первичный пользователь, эффективный пользователь и процесс, должны задаваться правила смены пользователя (первичного на эффективный) их выполнение должно контролироваться при каждом запросе доступа, правило для объекта запрета на его переименование, должно запрещать и переименование любого иного файлового объекта в данный файловый объект (в объект с данным расширением файла), а также создание нового объекта доступа с заданным расширением.

Четвертая глава «Реализация разработанных методов защиты» посвящена практической реализации предлагаемых методов защиты и разработке политик безопасности, обеспечивающих их практическое применение.

Предлагаемые методы реализованы в средстве защиты КСЗИ «Паниирь+» для ОС Microsoft Windows. Предлагаемые методы реализованы в двух механизмах защиты: «Управление олицетворением» и «Управление доступом к статичным объектам ФС».

Механизмом защиты «Управление олицетворением» реализуется правило, запрещающее олицетворение всех субъектов доступа с пользователем Администратор, для которого согласно предложенному методу разрешается запись исполнимых файлов (рисунок 4).

Файл Помощь

• > Гай

Щ ?о

I Учетные записи

• Управление олицетворением

Процесс

И1 пслыователв

полыовлталя

Режим гудита

J Ш1АМА.ад№ТгиггиД._ Ш1ЛНА-УМб\Адм»«1Ктрт>р -X:-

Рисунок 4 - Правило запрета олицетворения любого пользователя с

пользователем- администратором Механизмом защиты «Управление доступом к статичным объектам ФС» реализуются разграничительные политики доступа - задаваемые правила контроля доступа к файлам по их расширениям. Настройка апробированной разграничительной политики доступа состоит в следующем. Создаются два субъекта доступа, один является Администратором системы (первичный и эффективный пользователь - Администратор, процесс задается маской «*» -Любой процесс), другой предназначен для задания разграничительной политики доступа для всех остальных пользователей системы (первичный и эффективный пользователь задается маской «*» - Любой пользователь, процесс • Любой процесс) (рисунок 5). т&тятттштт' ЩШЛ * ^Щфр

субъекта доступа'

Выберите "эффективного" |<Лкзбой> польэор:.теля или группу: 1

Выберите "перечного"

пользователя:

: / Имя процесса - маска

! Обзор...

С

Рисунок 5 - Создание субъекта доступа и профиля защиты «Любой» С использованием соответствующих масок создаются объекты доступа, к которым требуется соответствующим образом разграничивать права доступа субъектов (рисунок 6).

......

Файл Помощь

Ф Ы Ы

7Ш,

15

■——--———

---г-^—

9,

Учетные записи Управление олицетворением Субъекты доступа

Профили

1 Управление доступом к О статичным объектам <К

Объекты

ввила доступа

Тип

ЫПр

! 1

Имя

CiV.exe СЛ'.Г С:\"л'Ь" С:\"лу5

СЛ'.сот

C:\-.dll

СЛ'.хг

Режим аудита

Рисунок 6 - Созданные объекты доступа Назначаются правила доступа (разграничения прав доступа) субъектов к объектам, направленные на реализацию предлагаемых методов защиты (рисунок 7).

I Учетные записи

Фш

Управление олицетворением

М Субъекты доступа

Профиль: У.;. лэофиль субъекта "ВСЕ"

Правила доступа аля выбранного профиля Тип

Объект файлсво Режим доступа Режим аудита

СА'.ехе +Ц-5+И-У-П ЧЗИУТкЧЗИУП

C:\-js- +Ч-3+И-У-П ЧЗИУП!«ЗИУП

СЛ'.иЬ* +Ч-3+И-У-П «ЗИУП:«ЗИУП

СЛ*.5у5 +Ч-3*И-У-П ЧЗИУЯ:ЧЗИУП

С:\*.л-5( +Ч-5+И-У-П ЧЗИУП:ЧЗИУП

OV.com +Ч-3+И-У-П МИУШЧЗИУП

C:\-.dH +Ч-3+И-У-П ЧЗНУИ:ЧЗИУП

Профили

! _ Управление доступом к статичным объектам ФС

06ьек1ы Г^ Правила доступа

Правила перенаправления

Рисунок 7 - Реализованная разграничительная политика доступа Разработанные и апробированные разграничительные политики доступа подтверждают возможность практической реализации разработанных методов, а также иллюстрируют простоту администрирования и эксплуатации реализующего их средства защиты.

В пятой главе «Оценка эффективности защиты» для оценки эффективности разработанных методов был определен обеспечиваемый ими потенциальный уровень защиты и условия, при которых он будет обеспечен, кроме того определено, как скажется на загрузку вычислительных ресурсов внедрение в систему разработанных методов защиты.

Для оценки эффективности защиты был построен орграф атаки, на котором были исследованы альтернативные варианты реализации защиты информации. В данном орграфе вершины, в том числе, включаемая в граф по одному из рассматриваемых вариантов вершина, соответствующая средству

защиты, взвешены вероятностями отсутствия соответствующих угроз, дуги указывают последовательность использования угроз, в том числе, угроз, вносимых средством защиты, при совершении атаки на информационную систему, иными словами показывают процесс использования уязвимостей и преодоления средства защиты. Альтернативными рассмотренными вариантами использования СЗИ являются: средство защиты нивелирует угрозу, средство защиты предотвращает последствия реализации угрозы, средство защиты и нивелирует угрозу, и предотвращает последствия реализации угрозы. В нашем случае (при использовании разработанных методов защиты) функционал одного средства защиты информации включает в себя, как возможность предотвращения внедрения вредоносной программы (нивелирование угрозы), так и возможность предотвращения последствий от проведенной атаки -запуска внедренных вредоносных программ. В результате была построена схема параллельного резервирования, с использованием которой был сделан вывод о том, что с точки зрения обеспечиваемого уровня безопасности рассматриваемые альтернативные решения эквивалентны.

Для оценки потенциального уровня защиты, обеспечиваемого разработанными методами, и определения, при каких условиях он достижим, использована модель СМО М/М/С (пуассоновский входящий поток, экспоненциальное распределение, С - количество обслуживающих приборов), позволяющая сформулировать требования к эксплуатационным параметрам средства защиты — к интенсивности обнаружения уязвимостей в средстве защиты, позволяющих осуществить успешную атаку, и интенсивности их устранения, выполнение которых обеспечивает необходимые для современных информационных систем значения эксплуатационных характеристик средства защиты.

С использованием разработанной модели средства защиты (исследовались худшие условия, определяемые равенством С = 1) показано, что при интенсивности обнаружения уязвимостей в средстве защиты - угроз преодоления защиты, составляющей 1 - 3 раза в год, при продолжительности устранения уязвимости в средстве защиты, составляющей 3 — 7 суток (данные значения достижимы на практике), значение вероятности готовности средства защиты к безопасной эксплуатации составляет 0,96 - 0,99, значение же среднего времени наработки на отказ безопасности средства защиты при этом составляет от полу года до двух лет.

Проведено исследование влияния средства защиты, позволяющего реализовать разработанные методы, на загрузку вычислительных ресурсов информационной системы — на загрузку центрального процессора (ЦП) вычислительной системы. Показано, что дополнительная загрузка ЦП в режиме запуска приложения не превышает 23%, а в штатном режиме работы приложения не превышает 17%, при этом время запуска приложений увеличивается не более чем на 4 с, что является незначительным. Адекватность полученных результатов подтверждена статистической обработкой экспериментов.

В результате проведенных исследований сделан вывод о существенном превосходстве предлагаемых методов защиты от вредоносных программ, основанных на реализации контроля доступа к файловым объектам по их типам, над известными методами антивирусной защиты по обеим ключевым характеристикам: эффективность защиты и загрузка вычислительных ресурсов информационной системы.

Заключение

Главный научный результат выполненной диссертационной работы заключается в развитии методов защиты от вредоносных программ в современных информационных системах, состоящем в разработке методов защиты, основанных на реализации контроля доступа к файлам по их типам, идентифицируемым расширениями файлов, существенно превосходящих известные методы антивирусной защиты, как по эффективности защиты, так и по мере влияния на загрузку вычислительных ресурсов информационной системы.

В ходе решения поставленных задач было:

1. Исследована эффективность известных методов антивирусной защиты. С этой целью разработана математическая модель средства антивирусной защиты - модель системы массового обслуживания М/М/С. С использованием данной модели, с иучетом существующей статистики выявления новых вредоносных программ, в частности показано, что при 1000 обслуживающих приборах (при 1000 вирусных аналитиков в компании) стационарное состояние СМО достижимо при средней продолжительности обслуживания заявки (выявления сигнатуры вредоносной программы) не превышающей 13 минут, при этом средняя длина очереди заявок на обслуживание (число вредоносных программ, для которых не выявлена сигнатура) составляет 7300 заявок, при увеличении же средней продолжительности обслуживания заявки до 65 минут, для обеспечения стационарного режима обслуживания, уже необходимо 5000 обслуживающих приборов (5000 вирусных аналитиков в одной компании). В результате проведенных исследований сделан вывод о крайне низкой эффективности известных методов защиты от вредоносных программ.

2. Исследованы существующие способы внедрения и запуска вредоносных программ, в результате чего сделан вывод о том, что наиболее актуальными для защиты являются исполнимые бинарные и скриптовые файлы и о том, что данные классы вредоносных программ предполагают обязательное сохранение вредоносного файла на жестком диске перед его исполнением (чтением). Это позволило сделать вывод в отношении того, что защита от вредоносных программ может строиться реализацией контроля (разграничения прав) доступа к файлам.

3. Предложен общий подход к реализации защиты от вредоносных программ, основанный на реализации контроля доступа к файлам по их типам,

идентифицируемым расширениями файлов. Возможность использования подобного подхода обоснована проведенным исследованием способов

4. Разработаны методы защиты от вредоносных программ, позволяющие защищать информационную систему, как от загрузки, так и от исполнения бинарных и скриптовых вредоносных файлов, отличающиеся возможностью учета расположения исполнимых файлов, возможностью администрирования при работающей системе защиты, возможностью контроля модификации объектов доступа, переименования объектов доступа, возможностью защиты от скриптовых вредоносных программ, в том числе с учетом возможности наделения вредоносными свойствами интерпретаторов (виртуальных машин).

5. Разработаны модели контроля доступа, позволившие на построенных матрицах доступа сформулировать требования к построению безопасной системы, выполнение которых предотвращает утечку заданных прав доступа субъектов к объектам.

6. Оценена эффективность разработанных методов защиты. С этой целью разработана математическая модель средства защиты - модель системы массового обслуживания М/М/С, с использованием которой определены условия, при выполнении которых достигается высокий уровень эффективности защиты. В частности показано, что при интенсивности обнаружения уязвимостей в средстве защиты — угроз преодоления защиты, составляющей 1-3 раза в год, при продолжительности устранения уязвимостей в средстве защиты, составляющей 3 — 7 суток (данные значения достижимы на практике), значение вероятности готовности средства защиты к безопасной эксплуатации составляет 0,96 - 0,99, а значение среднего времени безопасной работы (наработки на отказ безопасности) средства защиты - от полу года до двух лет.

7. Проведены испытания и оценено влияние средства защиты, реализующего разработанные методы, на загрузку вычислительного ресурса, в результате чего показано, что оно значительно ниже, чем влияние на загрузку вычислительного ресурса антивирусных средств, в частности, дополнительная загрузка центрального процессора в режиме запуска приложения не превышает 23%, а в штатном режиме работы приложения не превышает 17%, при этом время запуска приложений увеличивается не более чем на 4 е., что незначительно сказывается на работе пользователя.

Таким образом получены следующие основные научные результаты: 1. Подход к построению системы защиты от внедрения и запуска вредоносных программ на основе контроля доступа к ресурсам по расширениям и типам файлов, модели и методы защиты информационной системы от бинарных и скриптовых вредоносных файлов на основе реализации разграничительной политики доступа к файловым объектам.

2. Модели безопасной системы, позволяющие оценить возможные способы утечки прав доступа в системе контроля доступа и сформулировать требования к построению безопасной системы,: модели и , методы количественной оценки актуальности угроз и эффективности средств защиты.

Основные публикации по теме диссертации

Публикации в изданиях из перечня ВАК:

1. Маркина Т.А. Метод защиты от атак типа drive-Ьу-загрузка / Т.А. Маркина, А.Ю. Щеглов // «Известия вузов. Приборостроение». - 2014. -№4. - С. 15-20. - 0,5 п.л. / 0,25 п.л.

2. Шибаева Т.А. Защита от внедрения и запуска вредоносных программ / Т.А. Шибаева (Маркина), А.Ю. Щеглов, A.A. Оголюк // Вопросы защиты информации. Научно-практический журнал. - 2011. - Выпуск 2 (93). - С. 26-35. - 0,31 п.л. / 0,11 п.л.

Публикации в других изданиях:

3. Маркина Т.А. Метод формального проектирования системы защиты / Т.А. Маркина // Сборник тезисов докладов конгресса молодых ученых. -2013.-Выпуск 1.-С. 106-107.-0,13 пл.

4. Маркина Т.А. Оценка эффективности антивирусного программного обеспечения / Т.А. Маркина // Сборник тезисов докладов конгресса молодых ученых.-2014. — Выпуск 1.-С. 217-221.-0,31 пл.

5. Маркина Т.А. Security Measures Against Malware Penetration and Spreading / Т.А. Маркина, A.A. Оголюк // Теш Journal. - 2013. - Iss.2. №1. - С. 8386. - 0,25 пл. / 0,13 пл.

6. Шибаева Т.А. Анализ методов защиты от вредоносных программ / Т.А. Шибаева (Маркина) // Сборник тезисов докладов VIII Всероссийской межвузовской конференции молодых ученых. - 2011. - Выпуск 1. — С. 175-176.-0,13 пл.

7. Шибаева Т.А. Метод защиты от внедрения и запуска вредоносных программ / Т.А. Шибаева (Маркина) // Сборник тезисов докладов VII Всероссийской межвузовской конференции молодых ученых. - 2010. -Выпуск 1,-С. 35-36.-0,13 пл.

8. Шибаева Т.А. Метод защиты от несанкционированного внедрения и запуска вредоносных программ / Т.А. Шибаева (Маркина) // Сборник докладов XXXIX Недели науки Санкт-Петербург ГПУ. - 2010. - Часть XVIII.-С. 5-6.-0,13 пл.

9. Шибаева Т.А. Метод защиты программного обеспечения от вредоносных программ / Т.А. Шибаева (Маркина) // Сборник трудов молодых ученых и сотрудников кафедры ВТ. - 2010. - Выпуск 1. - С. 83-86. - 0,25 пл.

10. Шибаева Т.А. Скриптовые вредоносные программы: способы внедрения и защита от них / Т.А. Шибаева (Маркина) // Сборник трудов молодых ученых и сотрудников кафедры ВТ. - 2012. — Выпуск 3. - С. 78-80. - 0,19 пл.

П.Шибаева Т.А. Способы проникновения вредоносных программ / Т.А. Шибаева (Маркина) // Межвузовский сборник трудов II Всероссийской научно-технической конференции ИКВО НИУ ИТМО. - 2011. - С.124-128.-0,31 пл.

Тиражирование и брошюровка выполнена в учреждении «Университетские телекоммуникации» 197101, г. Санкт-Петербург, Саблинская ул., 14. Тел.: (812) 233-46-69, объем 1 п. л. Тираж 100 экз.

САНКТ-ПЕТЕРБУРГСКИЙ НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, МЕХАНИКИ И

ОПТИКИ

На правах рукописи

04201459285

Маркина Татьяна Анатольевна

МОДЕЛИ И МЕТОДЫ ЗАЩИТЫ ОТ ВРЕДОНОСНЫХ ПРОГРАММ НА ОСНОВЕ КОНТРОЛЯ ДОСТУПА К ФАЙЛАМ

Специальность: 05.13.19 - Методы и системы защиты информации, информационная безопасность

Диссертация на соискание ученой степени кандидата технических наук

Научный руководитель

доктор технических наук,

профессор А. Ю. Щеглов

Санкт-Петербург - 2014

Содержание

Введение...........................................................................................................................5

1 Исследование актуальности задачи защиты от вредоносных программ.............10

1.1 Классификация вредоносных программ.........................................................10

1.1.1 Классификация и описание вредоносных программ..............................10

1.1.1.1 Вредоносные макро-программы............................................................14

1.1.1.2 Загрузочные вредоносные программы..................................................15

1.1.1.3 Сетевые вредоносные программы.........................................................15

1.1.1.4 Файловые вредоносные программы......................................................16

1.1.1.4.1 Классические компьютерные вирусы.................................................18

1.1.1.4.2 Троянские программы..........................................................................19

1.1.1.4.3 Компьютерные черви...........................................................................21

1.1.1.4.4 Хакерские утилиты, потенциально нежелательные программы и прочие вредоносные программы........................................................................23

1.1.1.5 Скриптовые вредоносные программы...................................................25

1.1.2 Предлагаемая классификация вредоносных программ..........................26

1.2 Способы внедрения вредоносных программ..................................................29

1.3 Существующие методы и средства защиты от вредоносных программ.....31

1.3.1 Методы защиты от вредоносных программ............................................31

1.3.2 Средства защиты от вредоносных программ..........................................38

1.4 Основные результаты и выводы......................................................................45

2 Оценка актуальности угрозы вредоносных программ и эффективности существующих методов защиты.................................................................................46

2.1 Оценка актуальности угрозы внедрения и запуска вредоносной программы для информационной системы..................................................................................46

2.2 Модель и количественная оценка эффективности существующих методов защиты от вредоносных программ............................................................................51

2.3 Основные результаты и выводы..........................................................................63

3 Предлагаемые модели и методы защиты от вредоносных программ..................65

3.1 Общий подход к защите от вредоносных программ на основе контроля доступа к ресурсам......................................................................................................65

3.2 Разработка моделей и методов защиты от вредоносных программ...............68

3.2.1 Модель и метод защиты без возможности администрирования при работающей системе защиты.................................................................................68

3.2.2 Модель и метод защиты с дополнительным контролем расположения исполнимых файлов................................................................................................70

3.2.3 Модель и метод защиты с возможностью администрирования при работающей системе защиты.................................................................................71

3.2.4 Модель и метод защиты с дополнительным контролем способов модификации объектов доступа............................................................................73

3.2.5 Модель и метод защиты с дополнительным контролем переименования объектов доступа.....................................................................................................76

3.2.6 Модель и метод защиты с дополнительной защитой от скриптовых исполнимых файлов................................................................................................78

3.2.7 Модель и метод защиты с дополнительной защитой от наделения вредоносными свойствами интерпретаторов (виртуальных машин)................81

3.3 Разработка требований, позволяющих построить безопасную систему.........84

3.3.1 Основополагающие требования...................................................................84

3.3.2 Требования к объектам доступа...................................................................84

3.3.3 Требования к субъектам доступа.................................................................85

3.3.4 Требования к заданию правил доступа.......................................................85

3.4 Основные результаты и выводы..........................................................................87

4 Реализация разработанных методов защиты...........................................................88

4.1 Предлагаемое решение.........................................................................................88

4.1.1 Реализация разграничительной политики доступа в ОС MS Windows ... 88

4.1.2 Функциональная схема механизма защиты................................................89

4.1.3 Интерфейс средства защиты информации..................................................90

4.2 Реализация разграничительных политик доступа для защиты от вредоносных программ......................................................................................................................93

4.2.1 Реализация разграничительной политики доступа в случае защиты от бинарных исполнимых вредоносных файлов......................................................93

4.2.2 Реализация разграничительной политики доступа в случае защиты от скриптовых исполнимых вредоносных программ..............................................99

4.3 Основные результаты и выводы........................................................................103

5 Оценка эффективности защиты..............................................................................104

5.1 Оценка эффективности разработанных методов.............................................104

5.2 Оценка влияния на загрузку вычислительного ресурса.................................112

5.3 Основные результаты и выводы........................................................................122

Заключение..................................................................................................................124

Список литературы.....................................................................................................127

Приложение А.............................................................................................................136

Введение

Актуальность работы. Одной из ключевых современных проблем обеспечения компьютерной безопасности является необходимость эффективного противодействия вредоносным программам. При этом необходимо учитывать, что это могут быть, как самостоятельные программы, призванные осуществлять соответствующие несанкционированные действия, так и вполне легальные, санкционировано используемые приложения, наделяемые в процессе работы вредоносными свойствами. В общем случае атаки подобных программ могут быть нацелены, как на хищение данных, так и на вывод из строя компьютерных ресурсов, как следствие, объектами защиты, применительно к данным угрозам, должны являться, как информационные, так и системные компьютерные ресурсы.

Актуальность задачи защиты от вредоносных программ возрастает из года в год. В статье [27] помимо попыток выявления причин сложившейся ситуации с защитой от вредоносного ПО, приведен прогноз роста вредоносного ПО. По мнению автора [27], в 2013 году выпущено порядка 50 млн. новых вредоносных программ, то есть 136 тысяч ежедневно, по его прогнозам в 2015 году количество новых вредоносных программ может превысить 200 млн.

На сегодняшний день для решения рассматриваемых задач широко используются всевозможные способы сигнатурного и поведенческого анализов, призванных предотвратить возможность несанкционированного внедрения и запуска вредоносных программ на защищаемые ресурсы. Однако существующая статистика роста вредоносных программ позволяет предположить о весьма низкой эффективности выше указанных методов решения наиболее актуальных современных задач защиты информации.

Объектом исследования являются технологии защиты от внедрения и запуска вредоносных программ.

Предметом исследования являются методы и механизмы защиты на основе контроля доступа к файлам.

Целью диссертационной работы является развитие методов защиты от вредоносных программ применительно к современным информационным системам.

Задачи исследования. В рамках диссертационного исследования были решены следующие задачи:

1. Анализ основных типов вредоносных программ и их классификация по способам загрузки и выполнения вредоносных файлов.

2. Исследование эффективности существующих методов и средств защиты от вредоносных программ, основанных на сигнатурном и поведенческом анализах.

3. Разработка моделей и методов защиты от вредоносных программ на основе контроля доступа к файловым объектам.

4. Разработка требований к построению безопасной системы.

5. Разработка функциональной схемы, политик безопасности, направленных на защиту информационной системы от вредоносных программ.

6. Оценка эффективности предложенных методов защиты и оценка влияния реализующих их средств защиты на загрузку вычислительных ресурсов информационной системы.

Научная новизна работы заключается в следующем:

1. Предложен общий подход к построению системы защиты от вредоносных программ на основе контроля доступа к файловым объектам по типам файлов, идентифицируемых по их расширениям.

2. Разработаны методы, позволяющие защищать информационную систему, как от загрузки, так и от исполнения бинарных и скриптовых вредоносных файлов.

3. Разработаны модели безопасной системы контроля доступа к файловым объектам, позволяющие оценить возможные способы утечки прав доступа и сформулировать требования, реализация которых обеспечивает эффективную защиту от вредоносных программ.

4. Сформулированы требования к эксплуатационным параметрам средства защиты и оценена эффективность разработанных методов защиты от вредоносных программ по сравнению с известными методами.

Практическая ценность результатов работы состоит в следующем:

1. С использованием разработанной модели массового обслуживания получена количественная оценка эффективности известных методов защиты от вредоносных программ.

2. На модели атаки показано, что наиболее актуальными угрозами для современных информационных систем являются бинарные и скриптовые вредоносные файлы.

3. Сформулированы и обоснованы требования к средствам защиты при помощи предложенных моделей, реализующим разработанные методы, выполнение которых позволяет строить безопасную систему.

4. Рассмотрена реализация предложенных методов, на которой представлена возможность практической реализации разработанных методов защиты от вредоносных программ с учетом сформулированных требований.

5. Разработаны политики безопасности - варианты настройки средства защиты от вредоносных программ.

6. Разработаны требования к параметрам средства защиты, при выполнении которых обеспечивается значение вероятности готовности средства защиты к безопасной эксплуатации 0,96 и выше, а значение среднего времени безотказной работы (наработки на отказ) средства защиты более года.

7. Проведены исследования влияния средства защиты на загрузку ЦП системы, в результате которых показано, что дополнительная загрузка ЦП не превысит 17%.

Методы исследования. При решении поставленных задач использовались методы теории массового обслуживания, теории надежности, теории графов, методы статистической обработки результатов эксперимента.

На защиту выносятся следующие результаты:

1. Подход к построению системы защиты от внедрения и запуска вредоносных программ на основе контроля доступа к ресурсам по расширениям и типам файлов, модели и методы защиты информационной системы от бинарных и скриптовых вредоносных файлов на основе реализации разграничительной политики доступа к файловым объектам.

2. Модели безопасной системы, позволяющие оценить возможные способы утечки прав доступа в системе контроля доступа и сформулировать требования к построению безопасной системы, модели и методы количественной оценки актуальности угроз и эффективности средств защиты.

Степень достоверности. Достоверность результатов обусловлена корректностью используемого математического аппарата, подтверждена натурным моделированием, экспертными заключениями при получении гранта, апробацией полученных результатов на конференциях, а также результатами внедрения.

Апробация результатов работы. Результаты выполненных исследований были представлены на VII Всероссийской межвузовской конференции молодых ученых, XXXIX Неделе науки Санкт-Петербург ГПУ, II Всероссийской научно-технической конференции «Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур», II научно-практической конференции молодых ученых «Вычислительные системы и сети (Майоровские чтения)», ХЫ1 научной и учебно-методической конференции НИУ ИТМО, а также на II и III Всероссийском конгрессе молодых ученых.

Исследования поддержаны грантом в рамках конкурса грантов 2011 года для студентов, аспирантов вузов и академических институтов, расположенных на территории Санкт-Петербурга.

Публикации. Основные результаты диссертационного исследования опубликованы в 11-ти научных публикациях общим объемом 45 страницы: 6 статей, 5 тезисов, в том числе 2 статьи в изданиях, включенных в Перечень изданий ВАК.

Структура и объем работы. Диссертационная работа состоит из введения, основной части, содержащей 5 глав, заключения и списка литературы. Общий объем работы - 140 страницы. Работа содержит 39 иллюстрации и 14 таблиц. Список литературы включает 92 библиографических источника.

1 Исследование актуальности задачи защиты от вредоносных программ

1.1 Классификация вредоносных программ

Под вредоносной программой будем понимать компьютерную программу или переносной код, предназначенные для реализации угроз информации, хранящейся в компьютерной системе, либо для скрытого нецелевого использования ресурсов системы, либо иного воздействия, препятствующего нормальному функционированию компьютерной системы.

К вредоносному программному обеспечению относятся сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.

Независимо от типа, вредоносные программы способны наносить значительный ущерб, реализуя любые угрозы информации - угрозы нарушения целостности, конфиденциальности, доступности.

1.1.1 Классификация и описание вредоносных программ

Прежде чем разбирать каким образом следует защищаться, определим от чего нужно защищаться. Рассмотрим основные типы вредоносных программ, способы их проникновения и принципы действия [10, 21, 32, 38, 39, 45, 65, 68].

Вредоносные программы принято делить на классы по следующим основным признакам (рисунок 1.1): о среда обитания; о объем причиненного вреда; о особенности алгоритма работы; о операционная система.

Рисунок 1

.1 - Классификация вредоносных программ

Из рисунка 1.1 видим, что вредоносные программы (ВП) по среде обитания можно разделить на следующие типы: о макро; о загрузочные; о сетевые; о файловые; о скриптовые.

По объему причиненного вреда ВП делятся на:

о неопасные - в результате своего распространения ограничиваются

уменьшением свободной памяти на диске; о опасные - могут привести к серьезным сбоям в работе компьютера или ОС;

о очень опасные - могут привести к потере программ, конфиденциальных данных, системных файлов и других критичных файлов.

При этом нельзя с полной уверенностью назвать программу безвредной, если в её коде не найдено команд, наносящих ущерб системе, так как её проникновение в компьютер-жертву может вызвать непредсказуемые последствия

[5, 6].

По алгоритму работы ВП делятся на следующие типы: о с использованием стелс-алгоритмов; о с самошифрованием и полиморфичностью; о с использованием нестандартных приемов; о резидентные;

о наделение санкционированных программ вредоносными свойствами. Использование стелс-алгоритмов позволяет ВП полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов операционной системы на чтение/запись зараженных объектов. Стеле ВП при этом заменяют собой незараженные участки информации.

Самошифрование и полиморфичность используются практически всеми типами ВП для того, чтобы максимально усложнить процедуру его детектирования.

Полиморфик ВП (polymorphic) - это программы, которые не имеют сигнатур, то есть не содержат ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик ВП не будут иметь ни одного совпадения. Это достигается шифрованием основного тела ВП и модификациями программы-расшифровщика.

Различные нестандартные приемы часто используются в ВП для того, чтобы как можно глубже спрятать себя в ядре ОС, защититься от обнаружения резидентной копии и затруднить его удаление.

Резидентная ВП при инфицировании компьютера-жертвы оставляет в оперативной памяти свою резидентную часть, которая после заражения перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные ВП находятся в памяти и являются активными вплоть до перезагрузк