автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.01, диссертация на тему:Системный анализ дестабилизирующих программных воздействий на вычислительно-управляющие комплексы промышленных предприятий и методы их распознавания

На правах рукописи

Дорфман Антон Владимирович

СИСТЕМНЫЙ АНАЛИЗ ДЕСТАБИЛИЗИРУЮЩИХ ПРОГРАММНЫХ ВОЗДЕЙСТВИЙ НА ВЫЧИСЛИТЕЛЬНО-УПРАВЛЯЮЩИЕ КОМПЛЕКСЫ ПРОМЫШЛЕННЫХ ПРЕДПРИЯТИЙ И МЕТОДЫ ИХ РАСПОЗНАВАНИЯ

Специальность 05 13 01 -Системный анализ, управление и обработка информации (в промышленности)

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Самара - 2007

003070148

Работа выполнена на кафедре "Электронные системы и информационная безопасность" Государственного образовательного учреждения высшего профессионального образования Самарский государственный технический университет.

Научный руководитель Кандидат технических наук, доцент

Буканов Фёдор Фёдорович

Официальные оппоненты' Доктор технических наук, профессор

Смирнов Сергей Викторович

Кандидат технических наук, доцент Востокин Сергей Владимирович

Ведущая организация Федеральное государственное унитарное

предприятие Государственный научно-производственный ракетно-космический центр "ЦСКБ-Прогресс", г Самара

Защита диссертации состоится 29 мая 2007 года в 10 часов на заседании диссертационного совета Д 212.217 03 ГОУ ВПО Самарский государственный технический университет по адресу г Самара, ул Галактионовская, 141, корпус 6, аудитория 28

С диссертацией можно ознакомиться в библиотеке Самарского государственного технического университета по адресу г Самара, ул Первомайская, 18

Отзывы на автореферат просим присылать по адресу 443100, г Самара, ул Молодогвардейская, 244, главный корпус, на имя ученого секретаря диссертационного совета Д 212 217 03

Автореферат разослан 28 апреля 2007 года

Ученый секретарь диссертационного совета Д 212 217 03

кандидат технических наук

Н Г Губанов

Общая характеристика работы

Актуальность работы. Ежегодно нефтеперерабатывающие, химические и другие промышленные и финансовые предприятия подвергаются серьезным угрозам в связи с постоянными атаками компьютерных вирусов - самого крупного класса дестабилизирующих программных воздействий Атаки приводят к прерыванию контроля над производственными процессами с возможными катастрофическими последствиями Это является риском для человеческих жизней и окружающей среды Число вирусных атак резко возрастает по мере того, как все больше предприятий связывают системы управления производством с внутренними компьютерными сетями и глобальной сетью Интернет

Приведем лишь несколько фактов В августе 2005 года 13 заводов промышленной компании Chrysler в США остановились из-за компьютерного вируса Zotob Также Zotob атаковал компьютеры около 100 компаний, среди них General Electric, Caterpillar, CNN В феврале 2006 года в результате атаки компьютерного вируса на целый час была приостановлена работа всех рынков Российской торговой системы В том же 2006 году российские хакеры получили на 24 часа конгроль над крупным газопроводом

Помимо компьютерных вирусов к дестабилизирующим программным воздействиям относятся и другие виды вредоносных программ троянские программы, программы-шпионы, программные закладки и тд, а также различного рода ошибки и уязвимости в программном обеспечении Среди компьютерных вирусов необходимо выделить самый крупный класс -исполняемые вирусы, заражающие программные объекты вычислительных систем Представители данного класса являются наиболее сложными, часто в них используются новые вирусные технологии и обычно они разрабатываются на низкоуровневом языке Ассемблер Наибольшее распространение получили вычислительно-управляющие комплексы, построенные на платформе Intel и использующие 32-битные операционные системы семейства Windows Поэтому необходимо выделить класс Win32 вирусов, представители которого в своей работе используют только стандартный программный интерфейс операционных систем Windows под названием Win32 API, что позволяет им функционировать в любой 32-битной операционной системы семейства Windows

Существующие средства борьбы с вирусами - современные антивирусные системы имеют ряд недостатков Самый серьезный из них - это малый процент распознавания вирусов, которые не были исследованы специалистами вирусологами антивирусной компании - разработчика антивирусного средства Исследование программного объекта, зараженного вирусом, выполняется с помощью статического и динамического методов анализа программных реализаций Стгический метод заключается в восстановлении алгоритма работы программы на основе анализа листинга выдаваемого дизассемблером, программой переводящей машинные коды в команды Ассемблера При

динамическом методе используется программа отладчик, которая позволяет просматривать и анализировать динамику выполнения программы После исследования вируса, его признаки добавляют в базу данных антивируса, которую необходимо периодически обновлять Таким образом, новый вирус может беспрепятственно работать до выхода обновления Недостатки антивирусных средств связаны с отсутствием системных исследований вирусов и огромным разрывом между теорией и практикой компьютерной вирусологии Поэтому актуальным является системный анализ компьютерных вирусов, моделирование их и создание нового метода их распознавания

Целью диссертационной работы является системный анализ компьютерных вирусов как самого крупного класса дестабилизирующих программных воздействий, анализ их влияния на вычислительно-управляющие комплексы промышленных предприятий и разработка метода распознавания компьютерных вирусов

Основные задачи Для достижения поставленной цели необходимо решение следующих задач

1 Анализ влияния компьютерных вирусов на вычислительно-управляющие комплексы промышленных предприятий

2 Разработка алгоритма исследования компьютерного вируса и проведение экспериментального исследования компьютерных вирусов

3 Системный анализ вирусов на основе проведенного экспериментального исследования, декомпозиция, выявление подсистем вирусов, методов их работы и взаимодействия с вычислительной средой

4 Анализ методов распознавания компьютерных вирусов

5 Построение системной модели состава вируса и функциональной классификации компьютерных вирусов Разработка требований к модели поведения вируса и анализ существующих моделей поведения на соответствие данным требованиям

6 Разработка модели вычислительной среды и математического аппарата для описания программных объектов и их поведения

7 Построение моделей поведения абстрактного компьютерного вируса, основных классов компьютерных вирусов и их подсистем

8 Разработка архитектуры, алгоритмов работы и программной реализации системы распознавания вирусов, ее тестирование

9 Разработка методики системного анализа дестабилизирующих программных воздействий

Методы исследования базируются на комплексном применении

методов системного анализа, теории множеств, теории автомагов, теории алгоритмов, теории машин Тьюринга, методов анализа программных реализации

Научная новизна н значимость заключается в следующих полученных результатах

1 Впервые решены задачи системною анализа компьютерных вирусов как самого крупного класса дестабилизирующих программных воздействий и их влияния на вычислительно-управляющие комплексы промышленных предприятий, на основе представления вируса как системы, что позволило построить обобщенную модель состава данной системы, структурные модели и функциональную классификацию

2 На основе анализа существующих моделей компьютерных вирусов построены модели вычислительных систем - машина СМ и машина СМСШ отличающиеся тем, что машина СМ состоит из вычислителя и памяти хранящей состояние системы, в том числе и состояние самого вычислителя, СМСШ помимо этого содержит бесконечную ленту с историей вычислений и бесконечную ленту с историей переходов, что позволяет на базе этих машин моделировать различные уровни детализации программных систем

3 Модели поведения различных классов вирусов, которые построены на базе машины СМ и введенных моделей программ, файлов, операционных систем, сервисных процедур, что позволяет моделировать подсистемы вирусов и идентифицировать представителей различных классов вирусов

4 Метод распознавания вирусов и алгоритмы работы программной системы распознавания, основанные на созданных моделях поведения вирусов и том, что машина СМ может моделировать работу машины СМСШ и, следовательно, распознавать поведение вирусов, что позволило создать систему распознавания вирусов

5 Методика системного анализа дестабилизирующих программных воздействий, позволяющая проводить системные исследования вирусов и других видов вредоносных программ, а также различного рода ошибок и уязвимостей в программном обеспечении

Практическая полезность

1 Разработанный метод распознавания компьютерных вирусов и модели поведения \Vin32 вирусов и их подсистем лежат в основе интеллектуальной системы распознавания \Vin32 вирусов

2 Внедрение системы распознавания \Vin32 вирусов позволит сократить убытки от воздействия компьютерных вирусов на вычислительно-управляющие комплексы промышленных предприятий

3 На базе разработанных моделей вычислительных систем, моделей программных объектов и моделей поведения вирусов возможно детальное моделирование процесса заражения вирусом и модетарование процесса лечения вируса с помощью инвертирования модели заражения, а также разработка методов лечения на основе данных моделей

4 На основе разработанных моделей вычислительных систем возможно моделирование других классов дестабилизирующих программных воздействий, в том числе ошибок и уязвимостей, и разработка методов и систем для их распознавания, лечения или коррекции

Реализация результатов работы. Разработанная система распознавания Win32 вирусов внедрена в вычислительно-управляющий комплекс "Эмаль-агрегат" промышленного предприятия ОАО "Волгокабель" Полученные научные результаты использованы в учебном процессе на кафедре "Электронные системы и информационная безопасность" ГОУ ВПО Самарский государственный технический университет при подготовке специалистов по специальности 090104 "Комплексная защита объектов информатизации"

Апробация работы. Основные результаты работы докладывались и обсуждались на следующих конференциях VI Международная научно-техническая конференция студентов и аспирантов "Радиоэлектроника, электротехника и энергетика" (Москва, 2000), XXXVIII Международная научная студенческая конференция с участием аспирантов "Студент и научно-технический прогресс" (Новосибирск, 2000), III Всероссийская молодежная научно-техническая конференция "Будущее технической науки" (Нижний Новгород, 2004), III Международная научно-практическая конференция "Ашировские чтения" (Самара, 2006), V Всероссийская межвузовская научно-практическая конференция "Компьютерные технологии в науке, практике и образовании" (Самара, 2006)

Публикации По теме диссертации опубликовано 13 работ, в том числе 1 статья в журнале из перечня, рекомендуемого ВАК РФ

Структура н объем работы. Диссертация состоит из введения, 5 глав, заключения и 4 приложений Она изложена на 175 страницах, содержит 75 рисунков, 63 таблицы и библиографический список из 105 наименований

На защиту выносятся следующие основные научные положения:

1 Методика системного анализа дестабилизирующих программных воздействий

2 Обобщенная системная модель состава вируса

3 Функциональная классификация исполняемых вирусов

4 Модели вычислительных систем - машина СМ и машина CMCJ1I и комплекс моделей программных объектер на их основе

5 Модели поведения абстрактного компьютерного вируса, основных видов файловых вирусов, Win32 вирусов и их подсистем

6 Метод распознавания компьютерных вирусов

7 Алгоритмы работы системы распознавания Win32 вирусов

Краткое содержание работы

Во введении показана актуальность темы, сформулирована цель и основные задачи работы, показана научная новизна и значимость и практическая полезность полученных результатов, сформулированы основные научные положения, выносимые на защиту

В первой главе проведен аналитический обзор компьютерной вирусологии, выявлены пути проникновения компьютерных вирусов в вычислительно-управляющие комплексы промышленных предприятий, проанализированы возможности авторов компьютерных вирусов Исследованы последствия влияния компьютерных вирусов на вычислительно-управляющие комплексы промышленных предприятий

В результате исследования выявлено отсутствие методик системного анализа дестабилизирующих программных воздействий На основе исследования основных методик системного анализа из других областей научной деятельности была разработана методика системного анализа дестабилизирующих программных воздействий (рис 1) В соответствии с данной методикой проводился системный анализ компьютерных вирусов

Необходимо отметить, что с помощью данной методики возможен системный анализ других классов дестабилизирующих программных воздействий

Рк-с 1 Методика с, сге^ нсто анализа дестабилизирующих программных воздействии

Проведен анализ влияния вирусов на вычислительно-управляющие комплексы промышленных предприятий (рис 2) Исследовались воздействия вирусов на уровне программных компонент, вычислительно-управляющих комплексов и на уровне предприятия в целом Виды вычислительно управляющих комплексов разделены на общие для всех предприятий система управления, система документооборота и система бухгалтерского учета, а также специфичные для отдельных видов предприятий система управления технологическим процессом, система разработки программного обеспечения и программный продукт - результат производства Выявлено, что наибольший вред может принести воздействие вирусов на системы управления технологическим процессом Помимо разрушения оборудования и порчи материалов и продукции воздействие на данный вычислительно-управляющий комплекс может привести к ущербу здоровью и жизни людей и даже к экологическим катастрофам Особо необходимо отметил ь последствия для предприятий, производящих программное обеспечение, так как заражение конечного программного продукта, может привести к заражению вирусом вычислительно-управляющих комплексов предприятий клиентов

Рис 2 Последствия возможных воздействий компьютерных вирусов на различные виды вычислительно управляющих ко лплексов

промьи темных предприятии

Во второй главе разработан алгоритм анализа вируса, сформирована выборка и проведено экспериментальное исследование исполняемых вирусов На его базе проведена декомпозиция, построена системная модель состава вируса, структурные модели вирусов и функциональная классификация исполняемых вирусов Исследованы современные антивирусные методы Сформированы требования к теоретической модели вирусов

Для структурно-функционального анализа вирусов и выделения механизмов их работы разработан алгоритм анализа вируса (рис 3)_

Рис 3 Алгоритм анализа вируса

Следуя алгоритму (рис 3) были экспериментально исследованы вирусы следующих классов файловые DOS вирусы, загрузочные вирусы, вирусы под Windows и сетевые черви Исследования проводились с помощью статического и динамического методов, в качестве инструментов использовались дизассемблер и отладчик

В результате исследования выявлены два основных класса вирусов вирусы времени выполнения, которые активны только в период запуска носителя и резидентные вирусы, которые постоянно находятся в оперативной памяти По типу заражения объектов выделим следующие основные классы вирусов перезаписывающие, которые записывают свой код вместо кода жертвы, чем необратимо портят его и внедряющиеся, которые записывают свой код в жертву, изменяя ее таким образом, что она сохраняет работоспособность

Выявлено, что внешней средой для вируса является вычислительная система и вирус может взаимодействовать с любым программным объектом в ней, а также с аппаратными устройствами, которые имеет интерфейсы для программного взаимодействия с ними По результатам исследования построена обобщенная функциональная классификация вирусов (см рис 4)_

Операцион ная среда

Объекты заражения

Дополнительные приемы

I Исполняемые файлы СОМ

I Исполняемые

^ файлы Е

__I

Загрузочные сектора

У

Исполняемы! файлы NE ЕХЕ

]Исполняемые

файлы LE j ЕХЕ

Исполняемые файлы РЁ ЕХЕ

Неизвест I ная точка М входа 1

Туннелинг I

Защита от отладки

Защита от изменения

ГЗащига от I дизассемб I (_пироеания |

Анти туннелинг

Анти эвристика

Анти наживка

Дельта код

Самомоди фикация

Защита от изучения ~

Исполнение в стеке

Защита от лечения

Слияние с I жертвой I

Резидентное™»

Недокументиро ванные приемы

Полиморфизм

Деструктивные возможности

Захват ресурсов

: Видео и аудио эффекты

Блокировка аппаратуры

Метаморфизм

Пер мутация

Противодействие антивирусам

Искусственный интеллект

Подмена информации

Уничтожение информации

Порча ^ аппаратуры ^

Сетевая атака

Рис 4 Функциональная классификация компьютерных вирусов

Проведена декомпозиция вируса на системные компоненты и проведен анализ областей действия существующих антивирусных методов (рис 5) В данном контексте абстрактный вирус - это конструкция, описывающая основное свойство вирусов - размножение Сделан вывод, что вследствие множественности конечных реализаций вирусов только их распознавание на уровне подсистем позволит точно классифицировать вирус (см рис 5)

Класс вирусов 1 Класс вирусов 2

-—

Подсистема 1 Подсистема 2

Алгоритм 1 Алгоритм 2

Реапизация 1 Реализация 2

Алгоритм п

I ч

Байты Байты Байты

Распознавание на этом уровне позволяет точно классифицировать вирус

Статистическим анализ

Алгоритмический анализ

Эвристический анализ

Функциональные сигнатуры

Битовые сигнатуры

Регулярные сигнатуры

Множественные сигнатуры

Эмуляций

Трассировка

Криптоанализ

Байтовые сигнатуры

Рис 5 Декомпозиция вируса на системные компоненты и анализ существующих методов борьбы с вирусами

В результате системного анализа компьютерных вирусов построена обобщенная модель состава системы вирус (рис 6) Построение обобщенной структурной модели всех вирусов не возможно вследствие множественности

конечных реализаций вирусов Как видно из модели состава системы компьютерный вирус обязательными для всех вирусов являются подсистема поиска объекта заражения и подсистема заражения (рис 6)

Рис 6 Моде тъ состава системы кочтютерный вир\с

На основе системного анализа компьютерных вирусов и анализа влияния вирусов на вычислительно-управляющие комплексы промышленных предприятий разработаны следующие требования к теоретической модели компьютерного вируса

1 Модель должна позволять делать обобщающие выводы о свойствах компьютерных вирусов

2 Модель должна адекватно отражать программные процессы, происходящие в современных вычислительных системах

3 Модель должна точно описывать все многообразие существующих видов компьютерных вирусов и методов их работы

4 Модель должна иметь возможность выявления типов вирусов и методов их работы не известных на данный момент, но возможных к существованию в будущем

5 Модель должна иметь возможность быть реализованной программно Теоретическая модель вируса наряду с общими свойствами адекватности,

интерпретируемости должна удовлетворять специфичным требованиям (требования 3,4,5) Модель, удовлетворяющая данным требованиям, помимо выявления методов работы вирусов, может стать основой новых методов распознавания вирусов и программных систем на их основе

В третьей главе проведен анализ существующих теоретических моделей компьютерных вирусов на соответствие с разработанными ранее требованиями

По результатам анализа сделан вывод, что ни одна из существующих моделей не может полностью описать феномен компьютерных вирусов

На базе декомпозиции вируса на системные компоненты было проведено исследование областей действия существующих моделей Результаты исследования приведены на рис 7 Из результатов видно, что ни одна из моделей не действует в области подсистем вирусов

Рис 7 Декомпозиция вируса на системные компоненты и анализ областей действия исследованных теоретических

моделей

Результаты исследования существующих теоретических моделей компьютерных вирусов на соответствие разработанным ранее требованиям приведены в таблице 1 Согласно результатам ни одна из рассмотренных моделей не соответствует в полной мере всем требованиям Часть моделей являются очень абстрактными и поэтому не могут быть реализованы программно Другая часть моделей слишком ориентированы на практические реализации вирусов и не позволяют делать обобщающие выеоды Поэтому актуальным является разработка новых моделей поведения вирусов

Таблица 1 - Результаты анализа теоретических моделей вир) сов на соответствие требованиям

Модель/статья Авторы, год Мат аппарат модели Результаты анализа

Вычислительные аспекты компьютерных вирусов Fred Cohen, 1989 Машина Тьюринга, введенное время и функции от времени Соответствует 1,4, частично - 5, не соответствует 2 и 3

Абстрактная теория компьютерных вирусов Leonard М Adleman, 1990 Теория рекурсивных функций и геделевы нумерации Соответствует 1,4, частично - 3, не соответствует 2 и 5

Векторно-операторная модель компьютерных вирусов Д Зегжда, 1993 Собственная модель Программы - вектора с набором операций над ними Частично соответствует - 2 и 5, не соответствует 1,3

Структура для моделирования инфекций троянов и компьютерных вирусов Harold Thimbleby, Stuart Anderson Paul Cairns, 1999 Собственная модель Вводится карта окружения ЭВМ Соответствует 1 и 2, частично - 5 , не соответствует 3,4

Математическая модель компьютерных вирусов Гегепс Leitold, 2000 Собственная модель, базируется на машине с произвольным доступом к сохраненным программам Соответствует 1 и 5, частично - 2, не соответствует 3, 4

Некоторые дополнительные теоретические результаты о компьютерных вирусах Zhihong Zuo, Mmgtian Zhou 2004 Теория рекурсивных функций Соответствует 1, 4, частично - 3, не соответствует 2 и 5

Алгебраическая спецификация компьютерных вирусов и их окружения Matt Webster, 2005 ASM - абстрактная машина состояний - формальный подход к алгебраической спецификации программных систем Соответствует 2 и 5, частично - 3, не соответствует 1,4

Алгебраическая спецификация компьютерных вирусов и их окружения Matt Webster, 2005 OBJ - формальная запись для алгебраической спецификации программных систем Соответствует 2 и 5, частично - 3, не соответствует 1,4

Навстречу абстрактной компьютерной вирусологии Guillaume Bonfante, Matthieu Kaczmarek, JeanYves Mario 2005 Теория рекурсивных функций Соответствует 1,4, частично - 3 не соответствует 2 и 5

Обход результата невозможности Коуэна Jan Bergstra, Alban Ponse, 2005 РЬЛ - алгебра программ -система записи для программ ВРРА - алгебра основных поляризованных процессов - для поведения Не соответствует всем, доказывается существование универсального антивируса

Четвертая глава диссертации посвящена разработке моделей вычислительной системы и метода распознавания '№т32 вирусов на основе моделирования их поведения

Разработано абстрактное устройство - вычислительная машина СМ, состоящая из вычислителя и памяти, разделенной на ячейки и содержащей состояние системы (рис 8) Область "Состояние вычислителя" содержит его текущее состояние Указатель команд хранит адрес текущего исполняемого символа (команды) и указывает внутрь области "Программы и данные" При исполнении команды вычислитель считывает ее и в соответствии с ней изменяет ячейки памяти и значение указателя команд

Память системы

Рис 8 Структура машины СМ

Введем операцию уточнения до реальных ЭВМ во время которой мы будем разделять области памяти на именованные части с определенными свойствами этих частей и правилами обращения к ним Данная операция позволит моделировать программные объекты с любым уровнем детализации Множество вычислительных машин СМ определяется как МХ[Х е СМ] тогда и только тогда, когда

X (8Х,1Х,№Х,АХ,РХ ^хЛ-»^,^ 1РХ х/д ->//\,СЛ 6хх/х^Ах), где отображения Рл , Л/,, С, , множества ,5„},пс_ N - состояний

системы - состояний вычислителя, 5" - состояний памяти

программ и данных, 1Х ={<„, е; Л' - последовательностей символов, П\ -указатель команд, А, - адрес ячейки памяти, изменяемой командой

Операция [[ ]] получает содержимое ячейки Для моделирования поведения программ введем время г, выражаемое в тактах, за такт изменяется одна ячейка памяти и функции от времени 1РХ (г) - указатель команд в момент с - 1РХ N -> //',, Сх(1,1) - содержимое ячейки в момент I - С, Nх N -> 1Х, Ах (/) -адрес ячейки, изменяемой в момент ; - Аг N -> Ах

История Нх машины X - кортеж (АХ,СХ,1РХ), а 11 х (/) для отдельного такта I - "ситуация в момент времени г" Начальная ситуация машины X {1РХ (0) = 1РХ0,Сх(0,,) = С№, Ах(0) = Аго),, е N

Ситуация в любой последующий момент времени / определяется как

VteN

= (')]])] « [С, (»+1, А (/)) = Р(СХ («, А х (I)),[[Д\ (/)]])] и [V/ ф Ах (/),СА(( + 1,!) = СЛ (/,г)] К

Состояние в момент / области памяти начинающейся с ячейки I и имеющей размер ^ = 1), ,Cx(t,l+J-l)}

Программа СР — последовательность символов из 1Х, которая изменяет и состоит из кода САСР и данных Исполнение СР - это выполнение символов из С4Г/, и чтение или изменение /Ц-Р Множество программ машины X -СР,

\<СР[СР е С,РХ ] тогда и топъко тогда, когда [СР = САсР и £Ц.ДУЛ//У/

САср\) = САср и 5х(.и,\ОАа,\) = ОАср и ¡Рх«)е{,, ,и-|СЛст |-1}]

=>

[Э/'> ([(5, 1)3=040, к {8х{Г^,\ОАср\)*ОАср и

[Эг" такой,что [?</"< г'] и

[//>,((") е{<, ,1+ [ СА,-Р | -1} и Л('")<Мл ,7+104,, 1-1}]]]]]]]

Через множество всех вирусов 1\ введена модель абстрактного компьютерного вируса V Данная модель описывает способность вирусов к распространению через внедрение в программные области

е К, ] тогда и точько тогда, когда V еСЛ^Я^Угу,

[ 5\(',лМ)=у и 1РХ (/) е {], ,7+М-1}]

=>

[ Vv,e^JЗí,>/[3/

[[/+М<7] или [7+М</]] и

[Зг" такое, что [/</"</'] и

иРЛП^и, ,7+М-1} и Ах(Г)е{/, ,/+|у'|-1}]]Ц]]]

Для моделирования классов реальных вирусов, проведено уточнение машины см При этом область "Состоянием вычислителя" имеет вид

где - область памяти вычислителя с регистрами состояния, - с регистрами общего назначен™, 5™ - с остальными группами регистров После уточнения область "Программы и данные" имеет вид

где Л""' - память данных и программ, - область носителя информации, чтение и запись в нее осуществляется блоками, а указатель команд не может ссылаться на эту область, 5°° - память других устройств

В области Я',""' информация организована в виде файлов Модель файла -это область памяти, имеющая имя, размер, адрес и свойства (дата изменения и др ), которые задаются файловой системой, множество которых обозначим ге. Множество имен файлов машины х - мх, Свойства файла / в

файловой системе /я обозначаются Ы-^ Программы хранятся на диске в виде исполняемых файлов, множество которых обозначим Р^, />, с Р, Множество файлов машины Л

е Рх\ тогда и топько тогда, когда [УЛ1/5 € ГЗ1 6 М5 ,

/ {тг,агъаЛгТ^{},аЛг,, вгДЯГ/)]]]

где м! - имя файла, - его размер, ас!г/ - адрес файла в области данных Модель операционной системы введем через их множество 05\

\fOSlOS е 05Л ] тогда и топько тогда, когда [О^еСТ,] и ОЗ (С/&,С/*,С/5,С/&) '

где множества СР[й - управляющих программ, сл% - библиотек процедур, СР;;Г - программ работы с аппаратурой, сл% - других видов программ

Помимо этого введены модели загрузки программы, ее запуска, выполнения и завершения Используя модель исполняемого файла, введена модель загрузки программы с диска

Используя уточнения до реальных ЭВМ и введенные модели загрузки программы, ее запуска, выполнения и завершения программ, вводятся модели основных типов вирусов

Файловый вирус - заражает минимум один файл Уу, V - файловый вирус тогда и только тогда, когда [у еГЛ[УЯ?[УЛ//'

[I запускается е момент г и V завершается в момент V и

Р/[/ е ^ ][у е \1,ас1гп5гг)Ц ]=*

[ЭЛ/'е Fa ]К * иД* е ЯГЧ'',«*, .я,) и V е Б'ГС^ )]]]]]

Зараженный вирусом файл / - обозначается термином носитель, а заражаемый вирусом файл /' - обозначается термином жертва Вирус запускается между запуском носителя его завершением

Перезаписывающий вирус - при заражении необратимо портит жертву, записывая свой код поверх кода жертвы \/у, V - перезаписыващий тогда и только тогда, когда

[V запускается в момент ; и V завершается в момент I' и

[Э/Г/ е с Я^.оЛу,«,)]] ]=»

[Э/'[/'е ВГЛ ][|И/ ^/яДЭфк//-, <1<ас1гг + [^ГУ.'М)^ « УСЗ'Г(1,аС1гг,с, >111311

Внедряющийся вирус - при заражении сохраняет работоспособность жертвы, сохраняя в своем теле замещаемые части жертвы

Vv, v — внедряющийся тогда и топко тогда, когда [i e^fVtfJV/W

[v запускается в момент t и v завершается в момент V и

WU б ][v е sr{t,°dr,,szf)\} ]=*

[B/'[/'s fn ][mf * mf]{3j[j > szr+1 v | и v€S^D(t,adrj,sif) и veSfV.eA-,,;)]]]]!]

Вводятся модели внешних и внутренних процедур, в том числе и сервисных процедур операционной системы На базе введенных моделей классов вирусов становится возможным моделирование Win32 вирусов

Структурная модель Win32 вируса имеет вид (см рис 9)

Рис 9 Струюу рная модель внедряющегося Wi-i"¡2 вируса

Для работы внедряющемуся Win32 вирусу достаточно наличия этих шести обязательных подсистем

Множество внедряющихся Win32 вирусов обозначается ,, Vv[v е тогда и только тогда, когда

« v (VCÍ>>VG i'VFT v^r'vnr.v£c, )1

Проведено моделирование поведения всех обязательных подсистем Подсистема определения дельта-смещения реализуется процедурой v0D

VvG0,vC0 -определяет дельта - смещение тогда и только тогда когда [vODev[veKJVtfJVíVr'

[vGD запускается в момент t и v0D завершается в момент t'

[3/"[í < <»< í-ipísííí',«,! IPX |) = 1РХ(П\ ми ms"'(t\j,\ 1Р< I) = (ОШ11Ш Подсистема получения адресов API функций - это процедура vGA

VvCA,vaA -получает адреса API функций тогда и точъко тогда, когда [vG4ev[veFJVtf JV/W

[vaA запускается в момент t и va1 завершаете? в момент /' и

3API1AP12, , A PIN е. CP¿s,OS е OSx ]=>

[aBj[S^(f,uj)^{EPAln,LPiP,2 ,ЕР4РП) и [УК е {1, N]

[т ¡IlK е {I indFirs'File,FindNextFde CreateFile,ReadFile, WriteFile, )]]]]]!]]

Из результатов работы данной подсистемы можно узнать какие Win32 API функции использует Win32 вирус в своей работе

Подсистема поиска жертвы реализуется процедурой V,.!, ,у,г - находит жертву тогда и только тогда, когда Ь>„ еу[у6Гд[УЯЛУ/УГ

[у,,, запускается в момент < и завершается в момент I' ]=>

[3,3у[3/ € /^Г'с,^) = («,, в,,«^,^/) » V« (/'.о^,)]]]]]]] Подсистема заражения реализуется в процедуре у д .,

- заражает жертву тогда и точъко тогда, когда К, еу[уе^[УЯгГУгУ/'

[у^ запускается в момент г и у^Г завершается в момент I' и ]=>

[ЗЛу^+М « уе^Л^,./)]]]]]]

Подсистема восстановления носителя реализуется в процедуре уйг

VvRC>vRГ -восстанавливает носитечь тогда и точъко тогда, когда

[у„г запускается в момент / г/ уяс завершается в момент ]=»

[Э,Э/Рг"['"« /][3/ е ^ [5™ (Г1,,,;) = н

уй^ГС",^,^)]]]!]]]]

Подсистема передачи управления носителю у,,. Уу4с , у£с - передает управ чение носителю тогда и только тогда, когда [уЕС е у[у е 1\ [VII, [У/У/'

|у£с запускается в момент г и угс завершается в момент I' и

[ЗВЛЪГ[Г< '][Э/ е ^ [5™(<>',У) = ЗТ°{Г,ас1гп*гг) и ]=>

На базе машины СМ введена СМСМ1 - вычислительная машина с историей вычислений и переходов (см рис 10)

Память системы

Рис 10 Структура машины СМСЛ!

Машина CMCJH содержит ленту с историей вычислений и ленту с историей переходов Все введенные ранее модели для машины СМ действительны и для CMCJH После каждого такта CMCJH на ленту с историей вычислений записывается информация о произведенных действиях После каждого перехода на ленту с историей переходов записывается информация о данном переходе Рассмотрим подробнее содержимое введенных лент Информация записывается на ленту с историей вычислений в виде (Л С),СЛ (О,/Л ('),[№(')]])

На ленту с историей переходов информация записывается в виде

(5?(0,л\С + 1),Д\(0 [№(')]])

Условные переходы, в зависимости от состояния вычислителя 5; передают управление либо на следующую команду, либо по адресу, заданному в команде условного перехода

Рассмотрим ситуацию, когда программа для машины СМ моделирует работу машины CMCJH (см рис 11)

Рис ] 1 Моделирование работы машины CMCJH с помощью мштины СМ

Выдвинута следующая гипотеза Программа для вычислительной машины см, моделирующая выполнение вычислительной машины с лентой истории и лентой переходов СМСЛ1, позволяет распознавать вирусы, выполняемые на СМСШ

Метод распознавания \Vin32 вирусов основан на выдвинутой гипотезе и заключается в том, что строится программа, моделирующая работу машины СМСЖ, при этом в роли машины СМ выступает ЭВМ

В пятой главе разработаны алгоритмы работы и программная реализация системы распознавания \Vm32 вирусов на базе моделирования их поведения Проведено тестирование ее эффективности распознавания

Для построения системы распознавания \Vin32 вирусов необходимо построение программной реализации машины СМСШ В данной работе программная реализация машины СМС1Н построена на основе использования эмуляции команд процессора

Разработанная система распознавания имеет структуру (рис 12)

Подсистема эмуляции

команд процессора

База данных с База данных с

историей историей

вычислении переходов

▼ т _____

Подсистема Подсистема

выделения ключевых -> прохода всех ветвей

состояний программы

База данных с моделями подсистем вирусов

I

Подсистема выделения подсистем вирусов

Подсистема классификации

на базе нейронной сети

Рис 12 Структура интеллектуальной системы распознавания вирусов

Этапы функционирования системы распознавания приведены на рис 13

Рис 13 Этапы функционирования интеллектуальной системы распознавания вирусов

Эмулятор процессора вычисляет состояния системы, не позволяя вирусу получать управление Он имеет следующую структуру (рис 14)

загрузчик программы

7

Вызов модуля

выборки инструкции для всей загруженной программы

Рис 14 Структура эмулятора процессора и его информационные потоки

Подсистема выделения алгоритма является программной реализацией разработанного метода распознавания \Vin32 вирусов Блок схема алгоритма работы системы распознавания вирусов приведена на рис 15

Рис 15 Блок схема алгоритма работы интеллектуальной системы распознавания вирусов Система распознавания была протестирована на следующих выборках известных вирусов при наложении на них шума, известных вирусов при изменении их методами полиморфизма, сгенерированных новых вирусов (не известных антивирусных системам), сгенерированных вирусоподобных программах не являющихся вирусами Результаты тестирования приведены на рис 16 и подтверждают выдвинутую ранее гипотезу

100 4Г 90

80 70

60 50

40 30

20 10

10

20

30

- Система распознавания -Н^-— Среднее по антивирусам |

Рис 16 Распознавание известных вирусов при наличие шума

40 50

Уровень шума

Заключение

Выполненная диссертационная работа посвящена системному анализу компьютерных вирусов как самого крупного класса дестабилизирующих программных воздействий, анализу их влияния на вычислительно-управляющие комплексы промышленных предприятий и разработке метода распознавания компьютерных вирусов

В работе получены следующие основные результаты

1 Проведен анализ влияния вирусов на вычислительно-управляющие комплексы промышленных предприятий

2 Разработан алгоритм исследования вирусов и проведено экспериментальное исследование компьютерных вирусов

3 Проведен системный анализ вирусов на основе проведенного экспериментального исследования, выявлены основные подсистемы вирусов, методы их работы и взаимодействия с вычислительной средой

4 Проанализированы методов распознавания компьютерных вирусов

5 Построены системная модель состава вируса и функциональная классификация компьютерных вирусов Разработаны требования к модели поведения вируса и проведен анализ соответствия им существующих моделей поведеняи

6 Разработаны модели вычислительной среды - вычислительные машины СМ и CMCJH, а также модели программ, файлов, операционных систем и сервисных процедур для описания поведения программ

7 Построены модели поведения абстрактного компьютерного вируса, основных видов файловых Win32 вирусов и их подсистем

8 Разработана архитектура, алгоритмы работы и программная реализация системы распознавания Win32 вирусов, проведено ее тестирование

9 Разработана методика системного анализа дестабилизирующих программных воздействий

Основное содержание диссертации опубликовано в работах:

1 Дорфман А В Анализ вирусных технологий изменения кода // Вестник Самарского государственного технического ун-та 2004 Вып 24 Сер Технические науки с 24-32

2 Дорфман А В Анализ загрузочных вирусов для выявления их обобщенной структуры // Естественные и технические науки 2004 №2 с 193-195

3 Дорфман А В Анализ файловых вирусов под Windows 95-98 с целью создания обобщенной модели вируса // Естественные и технические науки 2004 №2 с 196-198

4 Дорфман А В Эмулятор процессора//Техника и технология 2004 №6 с 31-34

5 Дорфман А В Анализ методов детектирования компьютерных вирусов // Аспирантский вестник Поволжья 2003 №2 с 40-42

6 Дорфман А В Исследование возможностей теоретической модели вируса, предложенной Фрэдом Коуэном // Компьютерные технологии в науке, практике и образовании Труды 5-й Всеросс-й межвуз науч -прает конф СамГТУ Самара 2006 с 90-93

7 Дорфман А В Анализ структуры для моделирования компьютерных вирусов и троянских программ // Компьютерные технологии в науке, практике и образовании Труды 5-й Всеросс-й межвуз науч -практ конф СамГТУ Самара 2006 с 94-97

8 Дорфман А В Анализ адекватности модели компьютерного вируса базирующейся на абстрактной машине состояний // Ашировские чтения Материалы III Международ науч -практ конф - Самара СамГТУ, 2006 с 165-166

9 Дорфман А В Анализ модели компьютерного вируса на основе OBJ // Ашировские чтения Материалы III Международ науч -практ конф -Самара СамГТУ, 2006 с 166-168

10 Дорфман А В Применение нейроподобных сетей в системах защиты информации // Шестая Междунар науч -техн конф студентов и аспирантов Тез Докл В 3-х т - М Издательство МЭИ, 2000 с 292-293

11 Дорфман А В Использование нейронных сетей для обнаружения компьютерных вирусов // Материалы 38 Международной научной студенческой конференции «Студент и научно-технический прогресс» Информационные технологии / Новосиб Ун-т/ Новосибирск, 2000 с 5253

12 Дорфман А В Анализ файловых вирусов, работающих в MS-DOS // Будущее технической науки Тезисы докладов 3-й Всероссийской молодежной науч -техн конф Информационные технологии /НГТУ/ Нижний Новгород, 2004 с 35-36

13 Дорфман А В , Буканов Ф Ф , Свиридов В П Антивирусная система на нейронных сетях // Информационные технологии в науке, проектировании и производстве Тезисы докл 2-й Всеросс-й науч -техн Конф В 5 частях Часть 2 - Нижний Новгород, 2000 с 11

Автореферат отпечатан с разрешения диссертационного совета Д 212 217 03 ГОУ ВПО Самарский государственный технический университет (протокол № 2 от 10 апреля 2007 г)

Заказ № 335 Тираж 100 экз Отпечатано на ризографе

Самарский государственный технический университет Отдел типографии и оперативной печати 443100, г Самара ул Молодогвардейская 244

Введение

1 Разработка методики системного анализа дестабилизирующих 12 программных воздействий

1.1 Литературно-аналитический обзор

1.2 Методика системного анализа дестабилизирующих программных 18 воздействий

1.3 Анализ влияния вирусов на вычислительно-управляющие 20 комплексы промышленных предприятий

1.4 Выводы 25 •

2 Анализ компьютерных вирусов как систем

2.1 Экспериментальное исследование компьютерных вирусов

2.1.1 Методика исследования

2.1.2 Исследование вирусов, функционирующих в MS-DOS

2.1.3 Исследование загрузочных вирусов

2.1.4 Исследование вирусов, работающих в Windows

2.1.5 Анализ сетевых червей

2.1.6 Выявление и анализ дополнительных методов работы вирусов

2.1.7 Исследование методов самошифрования и полиморфизма в 62 компьютерных вирусах

2.2 Декомпозиция компьютерного вируса на системные компоненты

2.3 Системная модель состава компьютерного вируса

2.4 Функциональная классификация компьютерных вирусов

2.5 Анализ современных антивирусных методов на основе 73 декомпозиции вируса

2.6 Разработка требования к теоретической модели вируса

2.7 Выводы

3 Анализ теоретических моделей компьютерных вирусов

3.1 Модель вируса на основе машины Тьюринга (Fred Cohen, 1989)

3.2 Модели вирусов на основе теории рекурсивных функций

3.2.1 Модель Леонарда Адлемана (Leonard M. Adleman, 1990)

3.2.2 Модель китайских авторов (Zhihong Zuo, Mingtian Zhou, 2004)

3.2.3 Модель французских авторов (Guillame Bonfante, Matthieu 85 Kaczmarek, Jean-Yves Mario, 2005)

3.3 Структура для моделирования Троянских программ и вирусов 88 (Harold Thimbley, Stuart Anderson, Paul Cairns, 1999)

3.4 Модель вируса на основе RASPM с ABS (Ferenc Leitold, 2000)

3.5 Модели вирусов на основе алгебраических спецификаций

3.5.1 Модель на основе ASM (Matt Webster, 2005)

3.5.2 Модель на основе OB J (Matt Webster, 2005)

3.6 Векторно-операторная модель вируса (Д. Зегжда, 1993)

3.7 Обход результата невозможности Коуэна (Jan Bergstra, Alban 102 Ponse, 2005)

3.8 Результаты анализа моделей вирусов

3.9 Выводы

4 Разработка моделей поведения компьютерных вирусов и их 106 подсистем

4.1 Модель вычислительной системы - машина СМ

4.2 Модель абстрактного компьютерного вируса

4.3 Моделирование поведения Win32 вирусов и их подсистем

4.4 Вычислительная машина CMCJH с историей вычислений и 122 переходов

4.5 Выводы

5 Разработка системы распознавания Win32 вирусов 125 5.1 Структура системы и алгоритм ее работы

5.2 Подсистема эмуляции команд процессора

5.3 Программная реализация моделей СМ и CMCJH

5.4 Подсистема классификации на базе нейронной сети

5.5 Результаты тестирования системы распознавания Win32 вирусов

5.6 Выводы 143 Основные результаты работы и выводы 144 Библиографический список 146 Приложение А Акты внедрения 156 Приложение Б Служебные структуры MS-DOS и Windows 158 Приложение В Типовые блок схемы алгоритмов вирусов 161 Приложение Г Листинги 168 Г.1 Подсистема эмуляции команд. Типовое исполнение команды 168 Г.2 Процедура вычисления сигмоидальной функции для подсистемы 174 классификации на основе нейронной сети

Актуальность работы. Ежегодно нефтеперерабатывающие, химические и другие промышленные и финансовые предприятия подвергаются серьезным угрозам в связи с постоянными атаками компьютерных вирусов - самого крупного класса дестабилизирующих программных воздействий. Атаки приводят к прерыванию контроля над производственными процессами с возможными катастрофическими последствиями. Это является риском для человеческих жизней и окружающей среды. Число вирусных атак резко возрастает по мере того, как все больше предприятий связывают системы управления производством с внутренними компьютерными сетями и глобальной сетью Интернет.

Приведем лишь несколько фактов. В августе 2005 года 13 заводов промышленной компании Chrysler в США остановились из-за компьютерного вируса Zotob. Также Zotob атаковал компьютеры около 100 компаний, среди них General Electric, Caterpillar, CNN. В феврале 2006 года в результате атаки компьютерного вируса на целый час была приостановлена работа всех рынков Российской торговой системы. В том же 2006 году российские хакеры получили на 24 часа контроль над крупным газопроводом.

Помимо компьютерных вирусов к дестабилизирующим программным воздействиям относятся и другие виды вредоносных программ: троянские программы, программы-шпионы, программные закладки и т.д., а также различного рода ошибки и уязвимости в программном обеспечении. Среди компьютерных вирусов необходимо выделить самый крупный класс - исполняемые вирусы, заражающие программные объекты вычислительных систем. Представители данного класса являются наиболее сложными, часто в них используются новые вирусные технологии и обычно они разрабатываются на низкоуровневом языке Ассемблер. Наибольшее распространение получили вычислительно-управляющие комплексы, построенные на платформе Intel и использующие 32-битные операционные системы семейства Windows. Поэтому необходимо выделить класс Win32 вирусов, представители которого в своей работе используют только стандартный программный интерфейс операционных систем Windows под названием Win32 API, что позволяет им функционировать в любой 32-битной операционной системы семейства Windows.

Существующие средства борьбы с вирусами - современные антивирусные системы имеют ряд недостатков. Самый серьезный из них -это малый процент распознавания вирусов, которые не были исследованы специалистами вирусологами антивирусной компании - разработчика антивирусного средства. Исследование программного объекта, зараженного вирусом, выполняется с помощью статического и динамического методов анализа программных реализаций. Статический метод заключается в восстановлении алгоритма работы программы на основе анализа листинга выдаваемого дизассемблером, программой переводящей машинные коды в команды Ассемблера. При динамическом методе используется программа отладчик, которая позволяет просматривать и анализировать динамику выполнения программы. После исследования вируса, его признаки добавляют в базу данных антивируса, которую необходимо периодически обновлять. Таким образом, новый вирус может беспрепятственно работать до выхода обновления. Недостатки антивирусных средств связаны с отсутствием системных исследований вирусов и огромным разрывом между теорией и практикой компьютерной вирусологии. Поэтому актуальным является системный анализ компьютерных вирусов, моделирование их и создание нового метода их распознавания.

Целью диссертационной работы является системный анализ компьютерных вирусов как самого крупного класса дестабилизирующих программных воздействий, анализ их влияния на вычислительно-управляющие комплексы промышленных предприятий и разработка метода распознавания компьютерных вирусов.

Основные задачи. Для достижения поставленной цели необходимо решение следующих задач:

1. Анализ влияния компьютерных вирусов на вычислительно-управляющие комплексы промышленных предприятий.

2. Разработка алгоритма исследования компьютерного вируса и проведение экспериментального исследования компьютерных вирусов.

3. Системный анализ вирусов на основе проведенного экспериментального исследования, декомпозиция, выявление подсистем вирусов, методов их работы и взаимодействия с вычислительной средой.

4. Анализ методов распознавания компьютерных вирусов.

5. Построение системной модели состава вируса и функциональной классификации компьютерных вирусов. Разработка требований к модели поведения вируса и анализ существующих моделей поведения на соответствие данным требованиям.

6. Разработка модели вычислительной среды и математического аппарата для описания программных объектов и их поведения.

7. Построение моделей поведения абстрактного компьютерного вируса, основных классов компьютерных вирусов и их подсистем.

8. Разработка архитектуры, алгоритмов работы и программной реализации системы распознавания вирусов, ее тестирование.

9. Разработка методики системного анализа дестабилизирующих программных воздействий.

Методы исследования базируются на комплексном применении методов системного анализа, теории множеств, теории автоматов, теории алгоритмов, теории машин Тьюринга, методов анализа программных реализаций.

Научная новизна и значимость заключается в следующих полученных результатах:

1. Впервые решены задачи системного анализа компьютерных вирусов как самого крупного класса дестабилизирующих программных воздействий и их влияния на вычислительно-управляющие комплексы промышленных предприятий, на основе представления вируса как системы, что позволило построить обобщенную модель состава данной системы, структурные модели и функциональную классификацию.

2. На основе анализа существующих моделей компьютерных вирусов построены модели вычислительных систем - машина СМ и машина СМСШ отличающиеся тем, что машина СМ состоит из вычислителя и памяти хранящей состояние системы, в том числе и состояние самого вычислителя, СМСШ помимо этого содержит бесконечную ленту с историей вычислений и бесконечную ленту с историей переходов, что позволяет на базе этих машин моделировать различные уровни детализации программных систем.

3. Модели поведения различных классов вирусов, которые построены на базе машины СМ и введенных моделей программ, файлов, операционных систем, сервисных процедур, что позволяет моделировать подсистемы вирусов и идентифицировать представителей различных классов вирусов.

4. Метод распознавания вирусов и алгоритмы работы программной системы распознавания, основанные на созданных моделях поведения вирусов и том, что машина СМ может моделировать работу машины СМСШ и, следовательно, распознавать поведение вирусов, что позволило создать систему распознавания вирусов.

5. Методика системного анализа дестабилизирующих программных воздействий, позволяющая проводить системные исследования вирусов и других видов вредоносных программ, а также различного рода ошибок и уязвимостей в программном обеспечении.

Практическая полезность

1. Разработанный метод распознавания компьютерных вирусов и модели поведения ^\Ут32 вирусов и их подсистем лежат в основе интеллектуальной системы распознавания "\Ут32 вирусов.

2. Внедрение системы распознавания Win32 вирусов позволит сократить убытки от воздействия компьютерных вирусов на вычислительно-управляющие комплексы промышленных предприятий.

3. На базе разработанных моделей вычислительных систем, моделей программных объектов и моделей поведения вирусов возможно детальное моделирование процесса заражения вирусом и моделирование процесса лечения вируса с помощью инвертирования модели заражения, а также разработка методов лечения на основе данных моделей.

4. На основе разработанных моделей вычислительных систем возможно моделирование других классов дестабилизирующих программных воздействий, в том числе ошибок и уязвимостей, и разработка методов и систем для их распознавания, лечения или коррекции.

Реализация результатов работы. Разработанная система распознавания Win32 вирусов внедрена в вычислительно-управляющий комплекс "Эмаль-агрегат" промышленного предприятия ОАО "Волгокабель" (рис. А.1). Полученные научные результаты использованы в учебном процессе на кафедре "Электронные системы и информационная безопасность" ГОУ ВПО Самарский государственный технический университет при подготовке специалистов по специальности 090104 "Комплексная защита объектов информатизации" (рис. А.2).

Апробация работы. Основные результаты работы докладывались и обсуждались на следующих конференциях: VI Международная научно-техническая конференция студентов и аспирантов "Радиоэлектроника, электротехника и энергетика" (Москва, 2000); XXXVIII Международная научная студенческая конференция с участием аспирантов "Студент и научно-технический прогресс" (Новосибирск, 2000); III Всероссийская молодежная научно-техническая конференция "Будущее технической науки" (Нижний Новгород, 2004), III Международная научно-практическая конференция "Ашировские чтения" (Самара, 2006), V Всероссийская межвузовская научно-практическая конференция "Компьютерные технологии в науке, практике и образовании" (Самара, 2006).

Публикации. По теме диссертации опубликовано 13 работ, в том числе 1 статья в журнале из перечня, рекомендуемого ВАК РФ.

Структура и объем работы. Диссертация состоит из введения, 5 глав, заключения и 4 приложений. Она изложена на 175 страницах, содержит 75 рисунков, 63 таблицы и библиографический список из 105 наименований.

Основные результаты работы и выводы

Выполненная диссертационная работа посвящена системному анализу компьютерных вирусов как самого крупного класса дестабилизирующих программных воздействий, анализу их влияния на вычислительно-управляющие комплексы промышленных предприятий и разработке метода распознавания компьютерных вирусов. В работе получены следующие основные результаты:

1. Проведен анализ влияния вирусов на вычислительно-управляющие комплексы промышленных предприятий.

2. Разработан алгоритм исследования вирусов и проведено экспериментальное исследование компьютерных вирусов.

3. Проведен системный анализ вирусов на основе проведенного экспериментального исследования, выявлены основные подсистемы вирусов, методы их работы и взаимодействия с вычислительной средой.

4. Проанализированы методов распознавания компьютерных вирусов.

5. Построены системная модель состава вируса и функциональная классификация компьютерных вирусов. Разработаны требования к модели поведения вируса и проведен анализ соответствия им существующих моделей поведения.

6. Разработаны модели вычислительной среды - вычислительные машины СМ и СМСШ, а также модели программ, файлов, операционных систем и сервисных процедур для описания поведения программ.

7. Построены модели поведения: абстрактного компьютерного вируса, основных видов файловых \Vin32 вирусов и их подсистем.

8. Разработана архитектура, алгоритмы работы и программная реализация системы распознавания ,Мп32 вирусов, проведено ее тестирование.

9. Разработана методика системного анализа дестабилизирующих программных воздействий.

1. Рис 2.6 Алгоритм анализа вируса21.2 Исследование вирусов, функционирующих в MS-DOS

2. По типу функционирования вирусы делятся на два класса: вирусы времени выполнения и резидентные вирусы (Таблица 2.2).

3. Cohen, F.: Computer viruses theory and experiments. Computers and Security 6(1) (1987) 22-35

4. Cohen, F.: Computational aspects of computer viruses. Computers and Security 8 (1989) 325-344

5. Adleman, L.M.: An abstract theory of computer viruses. In: Advances in Cryptology CRYPTO '88. Volume 403 of Lecture Notes in Computer Science. (1990) 354-374

6. Thimbleby, H. W. & Anderson, S. 0. (1990) Wirus Theory," Institution of Electrical Engineers Colloquium, in Viruses and Their Impact on Future Computing Systems, Institution of Electrical Engineers Publication No. 1990/132, pp4/l (4/5.

7. A framework for modelling trojans and computer virus infection Harold Thimbleby, Stuart Anderson, Paul Cairns Computer Journal, 41(7), pp444-458,1999.1999

8. Comment on 'A Framework for Modelling Trojans and Computer Virus Infection' Erkii Makinen, THE COMPUTER JOURNAL, Vol. 44, No. 4, 2001, pp.321-323 November 2001

9. Reply to 'Comment on "A Framework for Modelling Trojans and Computer Virus Infection"1 by E. Makinen Harold Thimbleby, Stuart Anderson, Paul Cairns THE COMPUTER JOURNAL, Vol. 44, No. 4, 2001, pp.324-325 March 2001

10. Reply to "Comment on "A Framework for Modelling Trojans and Computer Virus Infection"' by E. Makinen Fred Cohen THE COMPUTER JOURNAL, Vol. 44, No. 4, 2001, pp. 326-327 ISSN 14602067 April 2001

11. Mathematical Model of Computer Viruses Ferenc Leitold Veszprem University, Hungary Edited by Urs E. Gatikker, a EICAR c/o TIM World

12. ApS, Aalborg, Denmark, ISBN: 87-987271-1-7 EICAR 2000 Best Paper Proceedings EICAR Best Paper ProceedingslO.Some further theoretical results about computer viruses Zhihong Zuo and Mingtian Zhou The Computer Journal, Vol. 47. No. 6.2004, pp. 627-633

13. On the Time Complexity of Computer Viruses Zhi-hong Zuo, Qing-xin Zhu, and Ming-tian Zhou, Member, IEEE IEEE TRANSACTIONS ON INFORMATION THEORY, VOL. 51, NO. 8, AUGUST 2005

14. Webster, M.: ASM-based modelling of self-replicating programs. Technical Report ULCS-05-005, Department of Computer Science, University of Liverpool, UK (2005) Presented at the 11th International Workshop on Abstract State Machines (ASM 2004).

15. Toward an abstract computer virology G. Bonfante, M. Kaczmarek, and J-Y Marion Loria, Calligramme project, B.P. 239, 54506 Vandoeuvre-Tes-Nancy C'edex, France, and 'Ecole Nationale Sup'erieure des Mines de Nancy, INPL, France.

16. Векторно-операторная модель компьютерных вирусов Д. Зегжда КомпьютерПресс N 10/1993 (стр. 47-48)

17. А. М. Turing. On computable numbers with an application to the entscheidungsproblem. Proc. London Mathematical Society, 42(2):230 -265, 1936. Traduction 17.

18. Теория автоматов / Ю.Г. Карпов СПб.: Питер, 2002. - 224 е.: ил.

19. А. Ахо, Дж. Хопкрофт, Дж. Ульман Построение и анализ вычислительных алгоритмов. Москва МИР 1979.

20. Справочная книга по математической логике: В 4-х частях/Под. ред. Дж. Барвайса. Ч. III. Теория рекурсии: Пер. с англ. - М.: Наука. Главная редакция физико-математической литературы, 1982. - 360 с.

21. Мальцев А.Н. Алгоритмы и рекурсивные функции. 2-е изд. - М.: Наука. Гл. ред.физ.-мат. лит., 1986. - 368 с.

22. Х. Роджерс Теория рекурсивных функций и эффективная вычислимость. Перевод с англ. Москва МИР 1972.

23. Стефен К. Клини. Введение в метаматематику. Издательство Иностранной Литературы Москва 1957.

24. Ершов IO.JL, Палютин Е.А. Математическая логика: Учеб. пособие для вузов. 2-е изд., испр. и доп. - М.: Наука. Гл. ред.физ.-мат. лит., 1987.-336 с.

25. Gurevich, Y.: Evolving algebras 1993: Lipari guide. In Borger, E., ed.: Specification and Validation Methods. Oxford University Press (1995) 936

26. Gurevich, Y.: Sequential abstract state machines capture sequential algorithms. ACM Transactions on Computational Logic 1(1) (2000) 77111

27. Gurevich, Y., Rossman, В., Schulte, W.: Semantic essence of AsmL. Technical report, Microsoft Research (2004) MSR-TR-2004-27.

28. Goguen, J.A., Walker, Т., Meseguer, J., Futatsugi, K., Jouannaud, J.P.: Introducing OBJ. In Goguen, J.A.,

29. Malcolm, G., eds.: Software Engineering with OBJ; Algebraic Specification in Action. Kluwer Academic Publishers (2000) ISBN 0792377575.

30. Goguen, J.A., Malcolm, G.: Algebraic Semantics of Imperative Programs. Massachusetts Institute of Technology (1996) ISBN 026207172X.

31. J.A. Bergstra and M.E. Loots. Program algebra for sequential code. Journal of Logic and Algebraic Programming, 51(2): 125—156,2002.

32. J.A. Bergstra and A. Ponse. Combining programs and state machines. Journal of Logic and Algebraic Programming, 51(2): 175-192,2002.

33. J.A. Bergstra and A. Ponse. Execution architectures for program algebra. Logic Group Preprint Series 230, http://preprints.phil.uu.nl/lgps/?lang=en, Dept. of Philosophy, Utrecht University, 2004.

34. Directed-Graph Epidemiological Models of Computer Viruses. Jeffrey O. Kephart, Steve R. White/ In Proceedings IEEE Symposium on Security and Privacy. 1991, IEEE, 343-359.

35. Measuring and Modelling Computer Virus Prevalence. Jeffrey O. Kephart, Steve R. White/ 1993, IEEE.

36. A mathematical theory for the spread of computer viruses. Dr. Winfried Gleissner/ Computers & Security, 8 (1989) 35-41.

37. An epidemiological model of virus spread and cleanup. Matthew M. Williamson, Jasmin Leveille Information Infrastructure Laboratory HP Laboratories Bristol, February 27th, 2003

38. Epidemic Spreading in Technological Networks. Jasmin Leveille/ Information Infrastructure Laboratory, HP Laboratories Bristol, October 23rd, 2002

39. Computer Virus Propagation Models.Giuseppe Serazzi and Stefano Zanero.40.0n Computer Viral Infection and the Effect of Immunization. Chenxi Wang, John C. Knightl, and Matthew C. Elder

40. Epidemic spreading in real networks: an eigenvalue viewpoint.- Yang Wang, Deepayan Chakrabarti, Chenxi Wang, Christos Faloutsos.

41. Technological Networks and the Spread of Computer Viruses. Justin Balthrop, Stephanie Forrest, M. Newman, Matthew Williamson/ SCIENCE VOL 304 23 APRIL 2004pp.527-529

42. Spinellis, D.: Reliable identification of bounded-length viruses is NP-complete. IEEE Transactions on Information Theory 49(1) (2003) 280284

43. Reductions of the general virus detection problem. Ferenc Leitold / In U. E. Gattiker (Ed.), Conference Proceedings EICAR International Conference, pp. 24-30, June 2001.

44. Constructing computer virus phylogenies. Leslie Ann Goldberg, Paul W. Goldberg, Cynthia A. Phillips, Gregory B. Sorkin.

45. A Taxonomy of Computer Worms. Nicholas Weaver, Vern Paxson, Stuart Staniford, Robert Cunningham/ Proceedings of the 2003 ACM Workshop on Rapid Malcode (WORM), 2003. pp.11-18, 2003

46. Lakhotia, A., Singh, P.K.: Challenges in getting 'formal' with viruses. Virus Bulletin, September 2003 (2003) 15-19

47. Open problems in computer virology. Eric Filiol, Marko Helenius, Stefano Zanero / Journal in Computer Virology (2006)1, pp.55-66, February 2006

48. Компьютерная вирусология: Справ, руководство. К: УРЕ.-1991. -416 с.: ил.- Библиогр.

49. Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться М.: СК Пресс, 1998. - 288 е., ил.

50. Щербаков А. Разрушающие программные воздействия. М.: Издательство Эдель, 1993. 64 с.

51. Коваль И. Как написать компьютерный вирус: практикум программирования на ассемблере СПб: Символ-Плюс, 2000. - 192 с.

52. Игорь Гульев Компьютерные вирусы, взгляд изнутри / Игорь Гульев -М.: ДМК, 1998-304 е., ил.

53. Д.А. Козлов, A.A. Парандовский, А.К. Парандовский Энциклопедия компьютерных вирусов. "COJIOH-P", 2001 г.

54. С. В. Гошко. Энциклопедия по защите от вирусов. М.: COJIOH-Пресс, 2004. - 302 е.: ил. - (Серия "Аспекты защиты").

55. Касперски К. Компьютерные вирусы изнутри и снаружи. -СПб. Литер, 2006. 527 е.: ил.

56. VDAT Электронный ресурс.: Электрон, журн. Режим доступа к журн.: vx.netlux.org, свободный - Загл. с экрана. - Яз. англ.

57. Szor, P., Ferrie, P.: Hunting for metamorphic. In: Virus Bulletin Conference Proceedings. (2001)

58. M. Ludwig. The Giant Black Book of Computer Viruses. American Eagle Publications, 1998.

59. P. Szor. The Art of Computer Virus Research and Defense. Addison-Wesley Professional, 2005.

60. M. Bishop. An overview of computer viruses in a research environment. Technical report, Hanover, NH, USA, 1991.

61. Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных: Учебное пособие для вузов / П.Ю. Белкин, О.О. Михайловский и др. М.: Радио и связь, 1999. - 168 с.: ил.

62. К. Касперски Техника и философия хакерских атак. М.: ООО "СОЛОН-Р", 1999.- 272 е., ил.

63. Фундаментальные основы хакерства. Исскуство дизассемблирования / Крис Касперски М.: COJIOH-P, 2002. 448 с. -(Серия "Кодокопатель")

64. Крис Касперски Образ мышления дизассемблер IDA. - М.: ООО "СОЛОН-Р", 2001.- 480 е., ил.

65. Р. А. Айрапетян Отладчик SoftlCE. Подробный справочник. М.: СОЛОН-Пресс, 2003. - 304 е.: ил. - (Серия "Кодокопатель")

66. Системный анализ и принятие решений: Словарь-справочник:Учеб. пособие для вузов / Под ред. В.Н. Волковой, В.Н. Козлова. М.: Высш. шк., 2004 - 616 е.: ил.

67. Теоретические основы системного анализа / Новосельцев В.И. и др.; под ред. В.И. Новосельцева. М.: Майор, 2006. - 592 е.: ил.

68. Системный анализ. Учеб. для вузов / А.В. Антонов. М.: Высш. шк., 2004.-454 е.: ил.79.3убков С.В. Assembler. Для DOS, Windows и Unix. М.: ДМК, 1999. -640 е., ил.

69. Рудаков П.И., Финогенов К.Г. Язык ассемблера: уроки программирования. М.: ДИАЛОГ-МИФИ, 2001. - 640 с.

70. Бурдаев О.В., Иванов М.А., Тетерин И.И. Ассемблер в задачах защиты информации / Под ред. И.Ю. Жукова М.: КУДИЦ-ОБРАЗ, 2002.-320с.

71. Соломон Д., Руссинович М. Внутренне устройство Microsoft Windows 2000. Мастер-класс. / Пер. С англ. СПб.: Питер; М.: Издательско-торговый дом "Русская Редакция", 2001. - 752 стр.: ил.

72. Румянцев П.В. Работа с файлами в Win 32 API.- 2-е изд., доп.-М.: Горячая линия-Телеком, 2002. 216с.: ил.

73. Джонсон М. Харт Системное программирование в среде Win32, 2-е изд.: Пер. с англ.: М.: Издательский дом «Вильяме», 2001. - 2001. -464 е.: ил.

74. Рихтер Д. Windows для профессионалов: создание эффективных Win32-npmio>KeHHfi с учетом специфики 64-разрядной версии Windows. 4-е изд./ Пер. с англ. СПб: Питер; М.: Издательско-торговый дом «Русская редакция», 2001.

75. The IA-32 Intel Architecture Software Developer's Manual Volume 1: Basic Architecture, Order Number 245470-007.

76. The IA-32 Intel Architecture Software Developer's Manual Volume 2: Instruction Set Reference, Order Number 245471-007.

77. The IA-32 Intel Architecture Software Developer's Manual Volume 3: System Programming Guide, Order Number 245472-007.

78. Юров В. Assembler: специальный справочник СПб: Питер, 2001. -496 е.: ил.

79. Уоссермен Ф. Нейрокомпыотерная техника. М.: Мир, 1992. - 240 с.

80. Головко В.А. Нейронные сети: обучение, организация и применение. Кн. 4: Учеб. пособие для вузов / Общая ред. А. И. Галушкина. М.: ИПРЖР, 2001.

81. Хайкин Саймон. Нейронные сети: полный курс, 2-е издание.: Пер. с англ. М.: Издательский дом "Вильяме", 2006. - 1104 е.: ил. - Парал. тит. англ.

82. Дорфман A.B. Анализ вирусных технологий изменения кода // Вестник Самарского государственного технического ун-та 2004. Вып. 24. Сер. Технические науки, с. 24-32.

83. Дорфман A.B. Анализ загрузочных вирусов для выявления их обобщенной структуры // Естественные и технические науки. 2004. №2. с. 193-195.

84. Дорфман A.B. Анализ файловых вирусов под Windows 95-98 с целью создания обобщенной модели вируса // Естественные и технические науки. 2004. №2. с. 196-198.

85. Дорфман A.B. Эмулятор процессора // Техника и технология. 2004. №6. с. 31-34.

86. Дорфман A.B. Анализ методов детектирования компьютерных вирусов // Аспирантский вестник Поволжья. 2003. №2. с. 40-42.

87. Дорфман A.B. Исследование возможностей теоретической модели вируса, предложенной Фрэдом Коуэном // Компьютерные технологии в науке, практике и образовании: Труды 5-й Всеросс-й межвуз. науч.-практ. конф. СамГТУ. Самара. 2006. с. 90-93.

88. Дорфман A.B. Анализ структуры для моделирования компьютерных вирусов и троянских программ // Компьютерные технологии в науке, практике и образовании: Труды 5-й Всеросс-й межвуз. науч.-практ. конф. СамГТУ. Самара. 2006. с. 94-97.

89. Дорфман A.B. Анализ адекватности модели компьютерного вируса базирующейся на абстрактной машине состояний // Ашировские чтения: Материалы III Международ, науч.-практ. конф. -Самара: СамГТУ, 2006. с. 165-166.

90. Дорфман A.B. Анализ модели компьютерного вируса на основе OBJ // Ашировские чтения: Материалы III Международ, науч.-практ. конф. Самара: СамГТУ, 2006. с. 166-168.

91. Дорфман A.B. Применение нейроподобных сетей в системах защиты информации // Шестая Междунар. науч.-техн. конф. студентов и аспирантов: Тез. Докл. В 3-х т. М.: Издательство МЭИ, 2000. с. 292-293.

92. Дорфман A.B. Анализ файловых вирусов, работающих в MS-DOS // Будущее технической науки: Тезисы докладов 3-й Всероссийской молодежной науч.-техн. конф. Информационные технологии. /НГТУ/. Нижний Новгород, 2004. с. 35-36.

93. Дорфман A.B., Буканов Ф.Ф., Свиридов В.П. Антивирусная система на нейронных сетях // Информационные технологии в науке, проектировании и производстве: Тезисы докл. 2-й Всеросс-й науч.-техн. Конф. В 5 частях. Часть 2. Нижний Новгород, 2000. с 11.