автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Разработка и исследование методов распределенного антивирусного контроля в автоматизированных информационных системах



На правах рукописи

ПОТАНИН Виталий Евгеньевич

РАЗРАБОТКА И ИССЛЕДОВАНИЕ МЕТОДОВ РАСПРЕДЕЛЕННОГО АНТИВИРУСНОГО КОНТРОЛЯ В АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ

Специальность 05,13.19 - Методы и системы защиты информации

и информационной безопасности

АВТОРЕФЕРАТ диссертации иа соискание ученой степени кандидата технических наук

ВОРОНЕЖ - 1998

Диссертация выполнена в Воронежской высшей школе МВД России.

Научный руководитель Научный консультант Официальные оппоненты:

Ведущая организация:

доктор технических наук, профессор Бухарин C.B.

кандидат технических наук, доцент Скрыдь C.B.

доктор технических наук, ' профессор Львович Я.Е.

кандидат технических наук Кащенко Г.А.

Военный институт радиоэлектроники МО РФ

Защита состоится «25» декабря 199£г. в « часов на заседании диссертационного совета К063.81.13 при Воронежском государственном техническом университете по адресу:

394026, Воронеж, Московский проспект, 14.

С диссертацией можно ознакомиться в библиотеке Воронежского государственного технического университета.

Автореферат разослан ноября 1998 г.

M

1

Ученый секретарь диссертационного совета

-й^Лавлинский С.И.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Дальнейшее совершенствование систем защиты информации (СЗИ) автоматизированных информационных систем (АИС) обусловило разработку способов и средств преодоления СЗИ. Это позволило создать совершенные средства программного типа (в соответствии с Уголовным законодательством Российской Федерации - «вредоносные программы»), позволяющие относительно легко преодолевать СЗИ и осуществлять противозаконное манипулирование информацией. Разрабатываемые высококвалифицированными программистами-хакерами как программы вирусного типа, вредоносные программы в полной мере используют такие преимущества компьютерных вирусов как самомодифицируемость, способность создавать собственные копии и проявлять себя лишь при определенных параметрах вычислительной среды, что позволяет реализовать функции противозаконного манипулирования информацией за крайне короткие периоды времени и значительно затруднить возможность их обнаружения и устранения. Анализ показывает, что вредоносные программы на настоящий момент являются самым эффективным инструментом совершения компьютерных преступлений.

Анализ подходов к организации защиты информации в условиях воздействия вредоносных программ позволил установить, что эффективность противодействия такого рода средствам зависит, главным образом, от своевременности их обнаружения. В этих условиях особое значение приобретает поиск путей обеспечения своевременного обнаружения воздействий вредоносных программ. Одним из наиболее распространенных подходов решения проблемы обнаружения воздействия вредоносных программ в современных СЗИ является периодическая реализация этими системами функции контроля целостности своей вычислительной среды. Основным недостатком этого подхода является значительный период выполнения функций контроля, так как они выполняются в ущерб реализации информационных потребностей АИС. Другим распространенным подходом к решению проблемы обнаружения г.оз-действия вредоносных программ является организация работы стандартных антивирусных средств в фоновом режиме ЭВМ. Однако большие оотлт.ш информации в АИС и, как следствие, большее время сканирования этим;! средствами даже в основном режиме ЭВМ, и незначительное количество хь-лнгрв свободного времени процессора при решении информационных задач делают решение этой задачи в фснсвом резюме крайне проблематичным. Это позволяет сделать вывод, что для своевременного обнаружения вредоносных 'программ средства обнаружения не должны сосредотачиваться в рамках одной подсистемы, например СЗИ, а должны распределяться по информационно.« V процессу.

Одним из эффективных способов сокращения времени обнаружения воздействий вредоносных программ, лишенным недостатков, присущих рассмотренным подходам, является способ организации контроля информационных процессов в АИС, когда средства обнаружения и идентификации воздействий вредоносных программ не сосредотачиваются в рамках одной подсистемы, например СЗИ, а еще на этапе проектирования программного обеспечения (Г10) АИС распределяются между программными модулями (ПМ) функционирования по ее целевому назначению и выполняются одновременно с ними. Это позволяет за счет использования определенной части запаса быстродействия (временного резерва) ЭВМ АИС значительно сократить время обнаружения воздействий вредоносных программ и обеспечить своевременное устранение как самих вредоносных программ, так и последствий их воздействий.

Таким образом, актуальность темы исследования определяется необходимостью повышения эффективности противодействия вредоносным программам в АИС за счет использования методов и средств распределенного антивирусного контроля.

Работа выполнена в соответствии с программой мероприятий по усилению защиты информации конфиденциального характера в органах и войсках внутренних дел (приказ МВД РФ № 380 от 21 июня 1997 г.) и концепцией развитая системы информационного обеспечения органов внутренних дел в борьбе с преступностью (приказ МВД РФ № 229 от 12 мая 1993 г.).

Цели и задачи исследования. Целью диссертационной работы является разработка путей и методов повышения эффективности противодействия вредоносным программам в АИС на основе распределенного антивирусного контроля.

Для достижения этой цели в работе необходимо решить следующие задачи:

1. Сформулировать общие требования к организации противодействия вредоносным программам на основе применения распределенного антивирусного контроля.

2. Разработать методики, обеспечивающие выявление временного резерва АИС, его оптимальное распределение между частными процессами обработки информации для организации распределенного антивирусного контроля и оценки эффективности АИС в условиях противодействия вредоносным программам.

3. Разработать совокупность математических моделей, учитывающую влияние параметров программных средств распределенного антивирусного контроля АИС и парамегров вредоносных программ на эффективность АИС в условиях противодействия вредоносным программам; провести практические исследования по оценке этого влияния.

Методы исследования. В работе использованы методы системного анализа, математического моделирования, теория вероятностей и математической статистики, дискретного программирования.

Научная новизна результатов, полученных в диссертации при решении перечисленных задач, состоит в следующем:

1. Сформулированы требования к организации противодействия вредоносным программам на основе распределенного антивирусного контроля и обоснован показатель оценки эффективности противодействия таким программам.

2. Разработан метод повышения эффективности противодействия вредоносным программам, основанный на распределенном антивирусном контроле АИС, отличающийся от известных способов решения аналогичных задач тем, что функции идентификации воздействий вредоносных программ реализуются одновременно с функциями обработки информации в АИС.

3. Разработаны математические модели процессов функционирования АИС, основанные на полученных в работе соотношениях для оценки эффективности противодействия вредоносным программам, в отличии от аналогичных, позволяющие решать широкий круг задач в области исследования процессов противодействия компьютерным преступлениям.

4. Предложены алгоритмы обнаружения вредоносных программ, основанные на контроле состояния ПО АИС в процессе обработки данных, отличающиеся от известных, основанных на сканировании памяти ЭВМ, тем, что обнаруживаются лишь признаки воздействия вредоносных программ, а не их характерные фрагменты - штаммы.

5. Предложены алгоритмы идентификация следов воздействий вредоносных программ, основанные на прослеживании цепочек вызовов программных модулей, отличающиеся от аналогичных средств более высокой точностью локализации воздействия вредоносных программ.

Практическая ценность полученных результатов состоит в том, что:

1. С применением разработанных в диссертации методов обоснованы предложения по защите информации от несанкционированного доступа б автоматизированных системах, использоааяные в НИР «Сеисор-В» яри составлении проектов дополнений и изменений в действующие руксвплящм? документы Гостехкомиссии России.

2. С использованием полученных в диссертации результата ©V.«> нованы принципы организации противодействия вредоносным ггюгт4". мам, использованные в НИР «Мозаика-В» и «Кобра« лрк изыскании теет-л-ческих путей совершенствования АИС ОВД и программных систем rm информации в них.

3. Разработанные а диссертации способы защиты янформаччолтач процессов использованы при разработке учебного пособия «Основь: oj гг-

низации защиты информации в компьютерных сетях» для слушателей Воронежской высшей школы МВД РФ.

4. Разработанная в диссертации технология проектирования ПО АИС позволяет повысить защищенность типовых АИС от воздействия вредоносных программ на 25-30 %.

Реализация работы. Результаты работы использованы при разработке предложений по защите информации при подключении органов Государственной власти РФ, предприятий, учреждений и организаций к международным информационным системам, включая Интернет; при составлении проекта дополнений и изменений в действующие руководящие документы Гостехкомиссии России, при выполнении НИР «Сенсор-У», «Мо-заика-В» и «Кобра»; а также при разработке учебного пособия по курсу «Компьютерная безопасность» для слушателей радиотехнического факультета Воронежской высшей школы МВД РФ, обучающихся по специализации «Информационная безопасность».

Апробация и публикации. Основные методические и практические результаты исследований докладывались и были одобрены на Всероссийской научно-практической конференции «Охрана-97» (Воронеж, 1997); Всероссийской научно-технической конференции «Перспективы развития оборонных информационных технологий» (Воронеж, 1998) и региональной научно-практической конференции «Актуальные проблемы информационного мониторинга» (Воронеж, 1998), достаточно полно изложены в 4 отчетах о НИР, 5 научно-технических статьях.

Структура и объем диссертации. Диссертация состоит из введения, четырех глав, заключения, списка литературы (65 наименований) и двух приложений. Объем диссертации составляет 151 страниц машинописного текста, включая 14 рисунков и 19 таблиц.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность темы диссертационного исследования, дается характеристика работы и излагается ее содержание.

В первой главе рассматриваются особенности организации противодействия вредоносным программам в типовой АИС.

В качестве типовой рассмотрена АИС территориального Управления внутренних дел (УВД). Технической основой такой АИС является распределенная вычислительная сеть (РВС) представляющая собой интегрированную, многомашинную, территориально рассредоточенную систему, состоящую из взаимодействующих абонентских пунктов и подсистемы связи для передачи данных. Абонентскими пунктами АИС являются персональные ЭВМ территориальных органов (информационно-вычислительного центра (ИВЦ) УВД, районных отделов органов внутренних дел (РОВД), органов Государственной

инспекции по безопасности дорожного движения (ГИБДД), вневедомственной охраны, органов по борьбе с экономическими преступлениями и т.д.), объединенные в собственные локальные вычислительные сети (ЛВС).

Возможная стратегия несанкционированного доступа к информации в типовой АИС включает три взаимосвязанных этапа.

На первом этапе осуществляется исследование подсистем СЗИ, обеспечивающих доступ к информации в АИС. Объектом исследования являются идентификационные таблицы и пароли, используемые для регистрации пользователей и их допуска к информационным ресурсам АИС. Этап реализуется путем внедре:шя программ-закладок РВС АИС для контроля прерываний от устройств ввода паролей, копирования паролей доступа к АИС и пересылки этих копий на абонентские пункты, указанные злоумышленником.

Главной задачей второго этапа является исследование подсистем СЗИ, обеспечивающих преобразование информации, поддержание целостности рабочей среды ЭВМ, закрытия и регистрации. Этап реализуется путем проникновения в РВС АИС программ контроля работы подсистем СЗИ, перехватывающих и копирующих (с последующей пересылкой злоумышленнику) информацию, с которой работают эти подсистемы.

На третьем этапе осуществляется преодоление СЗИ и, в зависимости от преследуемых злоумышленником целей, копирование, модификация или удаление информации в АИС. Этап реализуется путем проникновении программ манипулирования информацией в АИС через вскрытую на первом этапе СЗИ, поиска необходимых файлов, информационных массивов, программ и их фрагментов с последующим их искажением, модификацией либо удалением. Если цель злоумышленника — хищение информации, то производится копирование файлов и пересылка копий на указанные злоумышленником абонентские пункты.

Каждый из рассмотренных этапов завершается самоуничтожением вредоносных программ. /

Основополагающим требованием к организации противодействия вредоносным программам является требование допустимости коашы"-терных вирусов в АИС. В соответствии с этим требованием состояния воздействия вредоносных программ в АИС считаются допустимыми 5! должны обрабатываться при помощи соответствующих средств предотвращения таких воздействий - средств обнаружения воздействий вредоносных программ и средств устранения их последствий.

Требованиями к организации противодействия вредоносным программам на основе распределенного антивирусного контроля явяжотсг.

1. Требование непрерывности процесса обнаружения рпэдей.~пг«й вредоносных программ предполагает непрерывную реализацию фу^дкшш контроля состояния ПО АИС совместно с его целевыми функциями.

2. Требование баланса временного резерва АИС предполагает нахождение компромисса между снижением эффективности АИС, связанным с восстановлением корректности подвергшихся воздействию вредоносных программ информационных процессов и собственной избыточности средств противодействия таким программам, и повышением эффективности за счет своевременности противодействия.

3. Требование оптимального распределения резерва утверждает, что при проектировании программных средств распределенного антивирусного контроля временной резерв должен распределяться путем согласования потребностей программных модулей (ИМ) в резерве с возможностями по его внесению.

4. Требование двухуровневой реализации резерва предписывает проектировать средства распределенного контроля двух типов: для обнаружения фактов воздействия вредоносных программ и для идентификации следов воздействия. При этом, средства первого типа являются иерархически вложенными в средства второго типа и реализуются как в виде функций, так и в виде операций обнаружения несоответствия параметров информационных процессов заранее предусмотренным эталонам.

При решении задачи разработки и исследования методов распределенного антивирусного контроля в АИС на основе рассмотренных требований интерес представляют как динамические, так и статические характеристики антивирусных средств. Динамические характеристики определяются соотношением между временными параметрами вредоносных программ и антивирусных средств АИС, статические характеристики определяются потенциальными возможностями антивирусных средств АИС по обнаружению воздействий вредоносных программ.

В качестве динамического показателя D эффективности противодействия вредоносным программам, характеризующего защищенность АИС от несанкционированного доступа к информации, используется вероятность выполнения неравенства r(i) < t(CC), в котором - время обеспечения защитных функций АИС (время с момента обнаружения воздействия вредоносной программы до момента окончания устранения последствий этих воздействий), а Т(СС) - время выполнения вредоносными программами своих функций, обусловленное активным периодом их действия.

Обозначив T(cci), Т(ссЦ) и Т(„ш) как активный период действия вредоносных программ на первом, втором и третьем этапах несанкционированного доступа к АИС, соответственно, получим показатели защищенности АИС от исследования подсистем обеспечения доступа к информации Di= Р(т(^ < т^о), от контроля основных средств защиты информации Db = P(t(d) 5 т<;ип)) и от несанкционированного копирования, модификации или удаления информации Dm= P(t(j) < T(cciiii).

Обозначив как время обеспечения защитных функций АИС при

традиционном способе противодействия вредоносным программам и ^

- при организации распределенного антивирусного контроля, получим соответствующие этим способам выражения Dt4=P( < t(CC)) и D(dd-Р( Tl¿f < t(CC)) для показателя защищенности АИС.

Время fjd) представляет собой комбинацию двух случайных величин

- времени обеспечения периодического контроля целостности СЗИ с целью обнаружения несанкционированных изменений в рабочей среде ЭВМ, вызванных воздействиями вредоносных программ г(1); и времени восстановления информационных процессов в АИС путем подавления вредоносных программ антивирусными программами т(П).

Время tfjp представляет собой комбинацию двух случайных величин -времени обнаружения воздействий вредоносных программ т^ц, времени идентификации следов таких воздействий zfr¡ и практически детерминированной, вследствие использования стандартных стратегий восстановления, величины времени восстановления рабочей среды ЭВМ АИС Т(1С).

В качестве статического показателя эффективности противодействия вредоносным программам используется вероятность обнаружения их воздействий Руу

В качестве показателя Е эффективности функционирования АИС в условиях противодействия вредоносным программам, достаточно полно характеризующего своевременность обработки информации в АИС, используется вероятность выполнения неравенства т^ в котором Т(рГ) - время обработки информаши в АИС; - нормативное время решения задач.

Время обработки информации в АИС Т(рГ) представляет собой комбинацию двух случайных величин - времени реализации частного информационного процесса в ЛВС территориального органа цц и гремени реализации частного информационного процесса яа ИВЦ УВД т(с).

Задача разработки и исследования методов распределкиного антивирусного контроля в АИС в содержательном плане формулируется сх гдую-щим образом,

Применительно к типовым условиям функционирования АИС, заданному описанию его функциональной структуры к характеристикам • доносных программ необходимо определить объем ее временного р;;../•>:!, оптимальные варианты его распределения между модулями ПО г. АИС " способы реализации этого резерва в виде программных средств заслред:--

ленного антивирусного контроля, обеспечивающих повышение эффективности противодействия вредоносным программам.

С целью формализации задачи обозначим вектором С условия функционирования АИС, вектором Б - функциональную структуру АИС, вектором V- характеристики воздействия вредоносных программ, через V/ = [у,^ множество возможных вариантов распределе-

ния и реализации временного резерва АИС между модулями ее ПО в интересах повышения эффективности противодействия вредоносным программам, а через 1>(с,5,\',и' - значение показателя эффективности противодействия вредоносным программам при варианте

Тогда рассматриваемую задачу можно формально представить как задачу максимизации значения Е^С,:^,«/,) на множестве V/:

При этом оптимальный вариант \У(ср1) временного резервирования определяется в соответствии с выражением:

ЧУ*""' =а^тахП(*.).

», «IV

Сформулированная задача решена путем представления ее в виде ряда частных задач методического и технического плана, в рамках технологии проектирования ПО АИС.

Во второй главе рассмотрены методы организации распределенного антивирусного контроля, соответствующие предлагаемой технологии. Технологическая схема проектирования средств распределенного антивирусного контроля ПО АИС, отражающая функциональный, алгоритмический и программный аспекты, представлена на рис 1. Существо выполняемых при ее реализации фаз состоят в следующем.

В фазе 1 осуществляется выбор аналитической модели для оценки своевременности обработки информации в АИС в условиях противодействия вредоносным программам.

В фазе 2 с использованием выбранной аналитической модели идентифицируется временной резерв АИС.

В фазе 3 формируются исходные данные для имитационной модели АИС, соответствующей ее структуре и условиям функционирования.

В фазе 4 осуществляется оптимальное распределение между ПМ идентифицированного в фазе 2 временного резерва АИС.

В фазе 5 на основе известных данных о быстродействии и системе команд ЭВМ осуществляется преобразование полученных в фазе 4 значений временного резерва каждого ПМ в дополнительный объем их программ.

В фазе 6 осуществляется реализация дополнительного объема ПМ в виде функций обнаружения фактов воздействий вредоносных программ.

В фазе 7 осуществляется реализация дополнительного объема ПМ в виде операций обнаружения фактов воздействий вредоносных программ.

В фазе 8 осуществляется реализация дополнительного объема ПМ в виде функций идентификации следов воздействий вредоносных программ.

В фазе 9 выполняется модификация ПО АИС - внесением в его структуру ПМ функционатьного контроля, полученных путем синтеза соответствующих алгоритмов при реализации фаз б и 8, и внесением в ПМ функционирования АИС по назначению операций кошроля, полученных при реализации фазы 7.

В фазе 10 с использованием математических моделей осуществляется оценка эффективности противодействия вредоносным программам.

Фш yjoBSbnpsempiBEM! ГО №!С

Фуящгсязльный | Ашргшгегтй ílfwpoand

¡ ФорнЕрляегг {епвлпзхпигоий фуииштр обяи АЯС

г Едетфтцая тровтвргмашпрвермАЛС

3 4(риф®аги шхвдшз! юнея {увдкннрсвЕиАИС -J s-

4 Овлмишогргаревготие щаятт рваа мадуЛМ

5 йрдаяге иааяомв! сбьаиПМ

J_ 7 Скита игврнгиж фувяй o5¡spji£sa фшм вияжгийеризЕогаьв прагрии

_ .. . ' Сшаягооипгсвсп^ксй \ обйарухеицязоввед^етй! ~i ВрВДЖИХЕ срогрвй« /

8 Сели «лкртюв вдипЦтацл смдав «íJSEfcras врадсиааа npsrj «н ¡-

5 Мов^гиця ПО Ж

И Одаж15$ф«юткт« ипмружгс »жря и- 4,-

Рис. 1. Технологическая схема проектирования средств распределенного антивирусного контроля ПО АИС

При решении задачи идентификации временного резерва АИС R<¡) на основе положений требования его баланса разработана процедура нахождения экстремума функции времени f(pi¡(R) обработки информации в условиях противодействия вредоносным программам от уровня R резерва. В основу определения этой функции положено выражение: -<PO(R) = (l+R)T(a)+P(V)( -(r)+(l-P(d)(R)) т(п)), где Т(а)- время выполнения целевых функций по обработке информации в АИС;

P(V) — вероятность воздействия вредоносных программ на процессы функционирования АИС.

Графическая иллюстрация предложенной процедуры приведена на рис.2.

В основу процедуры оптимального распределения идентифицированного временного резерва Rri) между модулями рчв ' R ПО АИС положены две гипотезы:

Рис. 2. Идентификации 1) потребности в резерве определяют-

уровня временного ся исхода из того, что воздействию вредо-резерваАИС носных программ подвержены чаще рабо-

тающие элементы ПО АИС; 2) возможности по внесению резерва определяются с учетом его влияния на своевременность обработки информации в АИС.

Первая гипотеза в рассматриваемой оптимизационной задаче не явно задает целевую функцию, а вторая - функцию ограничений.

В связи с этим возникает необходимость оценить потребности отдельных элементов ПО АИС во временном резерве и возможности по его внесению. С этой целью определяются статистические и временные характеристики процесса функционирования ПО АИС.

Статистическая характеристика представляет собой вектор PlPm® оценок вероятностей выполнения отдельных ПМ, образующих множество М, в течении заданного временного интервала [tb, tj времени функционирования АИС, формально представляемый в виде:

р(р->= (Р1^,р2^>,...,Р1м|Сри)) где р,(рт) - оценка вероятности (частота) выполнения i-го, i= 1,2... ,|м|,

ПМ, определяемая согласно выражению: р}'"> в котором а; - число

выполнений i-ro ПМ на рассматриваемом интервале функционирования |м|

АИС, а = Sai»- общее число выполнения всех ПМ. i—1

Временная характеристика представляет собой вектор i2(pl?) оценок относительных времен выполнения отдельных ПМ в течение заданного интерзала времени, формально представленных в виде:

ntpn) =(Wpm), в2м,-. , о 1м|(рт)), где Oitpm' - относительное время выполнения i-ro ПМ, определяемое coli'

гласно выоажению: ©¡(рт) = в котором Ь, = Ух|!°' - суммарное время выполнения всехПМ на временном интервале [ib, te], т/рга) - время

|М!

выполнения i-ro ПМ, а Ь,Г) = £ь,- суммарное время его реализации на

ы

этом интервале.

Процедура оптимального распределения временного резерва АИС в интересах организации распределенного антивирусного контроля реализуется путем отыскания варианта Д(ор<) =(<?1<°1"),<52(ор'), ... .¿¡мГ')внесения временного резерва 5, в каждый ПМ, согласующего потребности ПМ в резерве с возможностью по его внесению и обеспечивающего с требуемой точностью е требуемый уровень Е(т(рг)(К<;|))) эффективности функционирования АИС. Итеративная схема нахождения Л*"''1 реализуется путем пошагового увеличения о, текущего варианта распределения 5 пропорционально р,^"1', либо уменьшения пропорционально a,fpn) в зависимости от поведения функции эффективности Е(Т(рг)( А)) функционирования АИС в окрестностях точки R^, При этом значения 5; увеличиваются, если Е(т(рг!( 5 ))<E(T(ptJ(R/Ij)), и уменьшаются, если E^r^S^Efc^jfR^))). Степень пропорциональности увеличения или уменьшения значений 8; определяется поведением функции Е(Т(рт)( Л ))-E(Tipr;(R(i))) в окрестностях 0. Если 0<Е(т(рГ/ Л )}-Е(т!рГ/(Яд))<е, то вариант Д считается оптимальным, т.е. А а итеративная схема - реализованной. Оценка эффективности АИС при текущем варианте временного резервирования Е(Т(рт)(й)) осуществляется путем имитационного моделирования процессов ее функционирования, а оценка Цт^Х^^Е^мОЧй)) ~ путем аналитического моделирования.

С целью построения аналитической модели для оценки показателя D защищенности АИС от воздействия вредоносных программ и показатели Е своевремегшости обработки информация в АИС в условиях противодействия вредоносным программам обозначим Е и D через A, T(d> и Т(рГ> через ть Т(сс> и т(го) через т2; x(t), T(i) и тда через -tf, т(с), -tCrt) и t(it) через тп. а Т(по через тш. Тогда с учетом обозначений показатели D и Е запишутся в виде: А = Р (t|£-Cj).

При произвольных шютносгях распределений fb f2 случайных величин Ч Vb Т2, соответственно, выражение для Р (т^тг) представляется выражением:

А = /<г, £ r2) = 1--Т{гг < г,) = 1 -)г2{хУЫ,

О

оо ее

в котором

о о

Из данной формулы, задав конкретные захоны случайных величин ц тц, Т2 получим конкретные аналитические зависимости Р Qcii.ii) показателя А

Аналитическая модель оценки вероятности обнаружения воздействий вредоносных программ P(d) средствами распределенного антивирусного контроля имеет описывается выражением:

р _1 £ Мк'овЛк , гм)-1 ЯК

в котором V - объем оперативной памяти ЭВМ; - объем фрагмента ГТМ, контролируемого к-ым средством контроля; - время выполнения этого фрагмента; 1к - число обращений к данному фрагменту; К - общее число контролируемых фрагментов ПМ.

Разработанная имитационная модель процессов функционирования АИС в условиях противодействия вредоносным программам представляет собой многоуровневую, многоканальную, многофазную, регенеративную сеть массового обслуживания с ограниченным временем ожидания заявок в очереди.

Под заявками при этом понимаются запросы на реализацию информационных потребностей пользователей АИС, инициирующие выполнение соответствующих фаз обслуживания - функций обработки и обмена информацией.

Модель реализует три схемы обслуживания.

По схеме обслуживания 1, считается, что воздействия вредоносных программ и противодействующие им средства отсутствуют. В этом случае, каждая фаза, выполняемая на моделируемом элементе РВС АИС, представляется состоянием ожидания С,'"', когда фаза не выполняется; и

функциональным состоянием когда эта фаза интерпретирует про-

цесс выполнения соответствующей ей функции по обработке информации, инициированной заявкой ч = 1, 2,..., О'1"'.

По схеме обслуживания 2, моделирующей традиционный способ противодействия вредоносным программам, кроме состояний С/"'и сМ каждая фаза представляется состоянием отказа С/^, когда вследствие

воздействия С'!""''' вредоносной программы выполнение целевых функций АИС до окончания интервала моделирования прекращается. При этом все оставшиеся заявки обслужены не будут.

По схеме обслуживания 3, моделирующей использование распределенного антивирусного контроля, кроме состояний С,1""1, С^ и С^|геГ\ каждая фаза представляется состоянием

обнаружения фактов воздействия вредоносных программ, когда фаза обслуживания интерпретирует процесс контроля результатов обработки информации; состоянием С,'1" идентификации следов воздействия вредоносных программ, когда воздействие вредоносной программы локализуется средствами диагностики соответствующего ПМ; и состоянием восстановления С/г', когда реализуется одна из стандартных стратегий восстановления ПМ, подверженного воздействию вредоносной программы.

Моделируемый порядок сменЫ состояний фаз при обслуживании заявок, соответствующий схемам обслуживания 1,2 и 3, показан на рис.3.

Рис. 3. Граф состояний ¿-ой фазы при реализации схемы обслуживания 1 (а), схемы обслуживания 2 (б) и схемы обслуживания 3 (в)

В третьей главе рассматриваются алгоритмы реализации временного резерва АИС в виде двухуровневой системы распределенного антивирусного контроля.

Первый уровень системы включает алгоритмы контрольных проверок выполнения как сггдешьных операций в ПМ, гак и реализацию целых функций ПО по обработке и обмене информацией в АИС. При этом проверка операций обработки и обмена информацией в ПМ осуществляется операциями контроля, а проверка функций обработки - функциями контроля.

Основными операциями контроля являются проверки соответствия данных областям их значений, предельных значений данных и результатов, времени и периодичности выполнения ПМ, соответствия данных их типам и формата записей данных - требуемым шаблонам.

Основными функциями контроля являются проверки получаемых результатов путем обработки другим методом, путем получения из них исходных данных обратной обработкой; а также путем проверки математических, логических или смысловых соотношений между различными результатами.

Второй уровень системы распределенного антивирусного контроля включает алгоритмы диагностирования цепочек вызовов модулей и подпрограмм в сложной иерархической структуре ПО АИС, позволяющие с точностью до метки в последовательности вызываемых ПМ идентифицировать следы воздействия вредоносных программ.

В четвертой главе представлены результата вычислительных экспериментов по исследованию способов организации противодействия вредоносным программам применительно к типовой структуре АИС территориального

Отказ

УВД в составе четырех ЛВС РОВД, одной ЛВС Управления ГИБДД и одного ИВЦУВД.

На рис.4 приведет! результаты оценки значений эффективности противодействия вредоносным программам при использовании традиционных методов защиты информации (кривая 1) и при использовании распределенного антивирусного контроля (кривая 2) как функции длительности активного периода действия вредоносных программ на различных этапах несанкционированного доступа к информации в АИС.

Рис. 4. Результаты исследования способов организации противодействия вредоносным программам

В заключении обобщены основные теоретические и практические результаты, приведены выводы и рекомендации, полученные в работе.

В Приложении 1 приводятся описание методики вывода аналитических выражений для оценки используемых в работе показателей.

В Приложения 2 приводится описание алгоритма аппроксимации закона распределения статистической выборки методом Колмогорова-Смирнова.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ

Основные результаты работы состоят в следующем:

1. Обоснована возможность повышения эффективности противодействия вредоносным программам в АИС на основе использования распределенного антивирусного контроля, сформулированы принципы решения

этой задачи путем идентификации, оптимального распределения и реализации временного резерва АИС.

2. Поставлена и решена задача разработки и исследования метода распределенного антивирусного контроля в АИС, основанная на идентификации временного резерва АИС и его оптимального распределения между ПМ АИС.

3. Предложена методика идентификации временного резерва АИС путем нахоядония оптимума процессов увеличения времени обработки информации, вследствие воздействия вредоносных программ, и его снижения за счет своевременности процессов противодействия вредоносным программам.

4. Разработана методика оптимального распределения временного резерва АИС между программными модулями ее ПО путем согласования их потребностей в средствах антивирусного контроля с возможностями по включению таких средств в отдельные модули.

5. Доказана эффективность реализации вносимого в ПМ временного резерва в виде разработанных алгоритмов двухуровневого контроля параметров ее вычислительной среды, включающей алгоритмы обнаружения фактов воздействия вредоносных программ и алгоритмы идентификации следов таких воздействий в сложной структуре модулей ПО АИС.

6. Разработаны аналитические модели для оценки эффективности противодействия вредоносным программам и эффективности функционирования АИС в условиях такого воздействия на основе полученных в работе зависимостей показателей защищенности АИС и своевременности обработки информации в АИС от их временных характеристик.

7. Разработана имитационная мэдель функционирования типовой АИС для получения необходимых вероятностно-временных характеристик моделируемых процессоз и проверки ее эффективности в условиях противодействия вредоносным программам. При этом функциональная структура АИС представляется в виде многоканальной, многофазной, регенеративной сети массового обслуживания с ограниченным временем ожидания заявок и отказов.

8. Разработана совокупность алгоритмов, реализующая технологию проектирования ПО АИС.

ПО ТЕМЕ ДИССЕРТАЦИИ ОПУБЛИКОВАНЫ СЛЕДУЮЩИЕ РАБОТЫ:

1. Лунев С.А., Мещеряков В.А., Потанин В.Е., Скрыль C.B. Требования к подсистемам регистрации событий в системах защиты информации в интересах выявления и расследования преступлений в сфере компьютерной информации II Сб. тезисов докладов Всероссийской научно-практической конференции «Охрана-97». - Воронеж: ВВШ МВД РФ, 1997. - С. 79-80.

2. Потанин В.Е., Скрыль C.B., Сорокин Ю.А. Пути повышения эффективности противодействия программным средствам совершения преступлений в сфере компьютерной информации // Офис-Менеджер. - №1 Воронеж: Вета, 1997. - С. 26-27.

3. Обухов А.Н., Потанин В.Е., Скрыль C.B. Метод расчета максимально-допустимого времени излучения ППРЧ-системы радиосвязи на текущей частоте И Радиосистемы. - Вып. 32. - Формирование и обработка сигналов. - №1. - М.: Радиотехника, 1998. - С. 12-14.

4. Войналович В.Ю., Герасименко В.Г., Потанин В.Е., Скрыль C.B. Вредоносные программы как основной инструмент преступлений в сфере компьютерной информации // Известия методического центра профессионального образования и координации научных исследований. - №1. - М.: МВД РФ, 1998.-С. 113-116.

5. Потанин В.Е., Скрыль C.B., Сорокин Ю.А. Математическая модель оценки эффективности противодействия программным средствам совершения преступлений в сфере компьютерной информации // Информация и безопасность: Региональный научно-технический вестник. - Вып. 1. - Воронеж, 1998. -С. 34-39.

6. Войналович В.Ю., Козодой P.A., Потанин В.Е., Скрыль C.B. Обнаружение воздействий вредоносных программ // Технологии и средства связи. -№2. -М, 1998.-С. 110-111.

7. Завгородний М.Г., Потанин В.Е., Скрыль C.B., Сумин В.И. Осо-, бенности построения и реализации имитационных моделей автоматизированных информационных систем органов внутренних дел // Сб. тезисов докладов Всероссийской научно-практической конференции «Охрэна-97». - Воронеж: ВВШ МВД РФ, 1998. - С. 8-11.

8. Завгородний М.Г., Козодой P.A., Потанин В.Е., Скрыль C.B. Методический подход к оценки временных характеристик при моделировании сетей массового обслуживания // Сб. тезисов докладов научно-практической конференции «Актуальные проблемы информационного мониторинга». - Воронеж: Воронежский филиат Московской академии экономики и права, 1998. - С.92-94.

9. Денисов В.И., Лавлинский В.В., Обухов А.Н., Потанин В.Е., Скрыль C.B. Основы организации защиты информации в компьютерных