Содержание к диссертации
ПЕРЕЧЕНЬ ПРИНЯТЫХ СОКРАЩЕНИЙ И ТЕРМИНОВ 3
ВВЕДЕНИЕ 6
1 ГЛАВА. НЕСАНКЦИОНИРОВАННАЯ РАССЫЛКА СООБЩЕНИЙ ЭЛЕКТРОННОЙ ПОЧТЫ.. 17
Вредоносные программы 17
Анализ методов обнаружения вредоносных программ и «сплмл» 27
Локализация источников распространения вредоносных программ и сплмл 30
Способы противодействия несанкционированному доступу 35
выводы к главе 1 42
2 ГЛАВА. ИССЛЕДОВАНИЕ МЕТОДОВ НЕСАНКЦИОНИРОВАННОЙ РАССЫЛКИ
СООБЩЕНИЙ ЭЛЕКТРОННОЙ ПОЧТЫ 44
Анализ технологий, используемых при рассылке вредоносных программ и «сплмл» 44
Анализ методов, используемых для сокрытия источника несанкционированной рассылки
электронной почты 56
Выводы к главе 2 62
3 ГЛАВА. МЕТОД ВЫЯВЛЕНИЯ ИСТОЧНИКА НЕСАНКЦИОНИРОВАННОЙ РАССЫЛКИ
СООБЩЕНИЙ ЭЛЕКТРОННОЙ ПОЧТЫ 65
Разбор служебных заголовков 65
Поиск источника несанкционированной рассылки 68
ВЫВОДЫ К ГЛАВЕ 3 94
4 ГЛАВА. АВТОМАТИЗИРОВАННАЯ СИСТЕМА ВЫЯВЛЕНИЯ СЕТЕВЫХ УЗЛОВ,
УЧАСТВУЮЩИХ В РАСПРОСТРАНЕНИИ ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И
СПАМА В СИСТЕМАХ ЭЛЕКТРОННОЙ ПОЧТЫ 96
Концептуальная модель 96
Реализация модели автоматизированной системы 109
Результаты тестирования и основные характеристики системы 120
Методические рекомендации по улучшению работы АС 128
Выводы К ГЛАВЕ 4 129
ЗАКЛЮЧЕНИЕ 130
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 133
ПРИЛОЖЕНИЕ 1. ПРИМЕРЫ ДАННЫХ, ГЕНЕРИРУЕМЫХ РАЗЛИЧНЫМИ СИСТЕМАМИ И
ЯВЛЯЮЩИХСЯ ВХОДНЫМИ ДАННЫМИ ДЛЯ МОДУЛЯ СБОРА ДАННЫХ 139
ПРИЛОЖЕНИЕ 2. МАТРИЦА МАТЕМАТИЧЕСКИХ ОЖИДАНИЙ ОЦЕНОК ПАР ОБЪЕКТОВ (ДЛЯ
ОПРЕДЕЛЕНИЯ СТЕПЕНИ ДОСТОВЕРНОСТИ ТОГО, ЧТО НАЙДЕННЫЙ IP-АДРЕС ЯВЛЯЕТСЯ
НАЧАЛЬНОЙ ТОЧКОЙ ДВИЖЕНИЯ ПОЧТОВОГО СООБЩЕНИЯ) 141
ПРИЛОЖЕНИЕ 3. ГРАФИЧЕСКИЙ ИНТЕРФЕЙС АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ 143
ПРИЛОЖЕНИЕ 4. ПРИМЕР ФАЙЛА КОНФИГУРАЦИИ МОДУЛЯ ВЫБОРА И РЕАЛИЗАЦИИ
ОТВЕТНЫХ ДЕЙСТВИЙ 144
ПРИЛОЖЕНИЕ 5. ТЕСТОВАЯ ВЫБОРКА ЗАГОЛОВКОВ, ВЗЯТЫХ ИЗ ПОЧТОВЫХ СООБЩЕНИЙ
145
ПРИЛОЖЕНИЕ 6. ДИПЛОМ 178
ПРИЛОЖЕНИЕ 7. АКТ ФГУП «СКЦ РОСАТОМА» 179
ПРИЛОЖЕНИЕ 8. АКТ МИФИ 180
з ПЕРЕЧЕНЬ ПРИНЯТЫХ СОКРАЩЕНИЙ И ТЕРМИНОВ
Введение к работе
В настоящее время информационные технологии во многом определяют успех в деятельности организаций любого уровня от небольших предприятий до общенациональных государственных и коммерческих структур. Вместе с тем, с широким внедрением современных информационных технологий, информация становится все более критичным ресурсом, а ее изменение, хищение или уничтожение могут привести к большим потерям. По данным специалистов в области компьютерной экономики и информационной безопасности, основную угрозу в настоящее время представляют компьютерные вирусы. Годовой ущерб от некоторых вирусных эпидемий превышает десятки миллиардов долларов. В оценку ущерба входят: убытки компаний от потерь пропускной способности в каналах передачи данных, утечка конфиденциальных данных, снижение производительности сетевых ресурсов и служб, увеличение задержек в управлении и стоимости восстановления работоспособности зараженных систем.
Началом истории массового распространения компьютерных вирусов [55] можно считать 1988 год. Впервые заражение было массовым от написанного 23-летним американским программистом "червя", поразившего ARPANET: при этом пострадали 6 тыс. компьютеров. Впервые суд осудил автора компьютерного вируса: он был приговорен к $10 тыс. штрафа и трем годам испытательного срока. С тех пор масштабы вирусных эпидемий только увеличивались.
Наиболее благоприятной средой для распространения вредоносного программного обеспечения является сеть Интернет [1,6]. В основном, это объясняется следующими особенностями:
быстрые каналы для распространения;
наличие множества различных сервисов информационного обмена (FTP и WWW сервера, электронная почта, файл-обменные сети и.т.д.);
огромное количество связанных между собойкомпьютеров;
большой процент неквалифицированных пользователей, слабо
разбирающихся в современных информационных технологиях, и, как
следствие, большое число плохо защищенных компьютеров.
В числе основных целей, которые преследуют создатели вредоносных программ, можно отметить следующие [6,55]:
похищение информации (кража паролей или любой другой конфиденциальной информации, хранимой на компьютере пользователя или доступной с компьютера пользователя);
совершение деструктивных действий по отношению к инфицированному узлу (модификация или удаление данных, нарушение нормального функционирования системы);
использование инфицированных узлов для проведения сетевых атак на другие узлы;
использование инфицированных узлов для рассылки вредоносных программ или «спама»;
выполнение инфицированными узлами другой «полезной» работы (например, для увеличения показаний счётчиков посещаемости веб-ресурсов).
В связи с развитием и распространением сети Интернет растёт и число способов распространения вредоносных программ [36,56], к которым можно отнести: электронную почту (с использованием «социальной инженерии» или/и уязвимостей в клиентском ПО), файл-обменные сети, различные интернет-пейджеры (типа ICQ и Windows Messenger), интернет-чаты, а также непосредственную передачу от одного сетевого узла другому, используя уязвимости в программном обеспечении.
Из возможных путей распространения в сети Интернет вирусы активно используют каналы электронной почты. Об этом свидетельствуют отчёты [33], предоставляемые компаниями, занимающимися антивирусной защитой. Так, при анализе данных по вирусной активности, предоставленных компанией «Лаборатория Касперского», выяснилось, что практически все самые
8 распространенные в 2007 году вирусы оказались способны рассылать свои копии с использованием электронной почты [1].
Существует ещё один важный связующий элемент, объединяющий вредоносные программы и электронную почту — спам (незапрошенная массовая рассылка электронной почты). Тенденция к объединению вирусных технологий с технологиями анонимной незапрошенной массовой рассылки электронной почты [1] сегодня приобретает всё большую значимость. По оценкам экспертов по информационной безопасности [2], при рассылке спама, в основном, используются сети компьютеров обычных пользователей, превращенных посредством использования уязвимостей в ПО или использования вирусных технологий в компьютеры-зомби1.
По данным различных компаний, занимающихся проблемами спамовьгх рассылок, процент спамовьгх сообщений, рассылаемых с использованием компьютеров-зомби, превышает 60% (по данным экспертов компании SophosLabs[3]), а по другим оценкам может превышать 80%[4] от всего объёма «спама». Компьютеры-зомби дают возможность авторам спама не только, рассылать миллионы писем, но и скрывать истинные источники рассылок, оставаясь безнаказанными.
Исходя из вышесказанного, можно сделать вывод, что правильно определённые источники рассылки «спама» могут с высокой достоверностью указывать на инфицированные вредоносным ПО компьютеры.
Целесообразной составляющей процесса защиты является проведение ответных действий. Данное утверждение справедливо и для защиты от несанкционированной рассылки сообщений, где такие действия могут проводиться с целью прекращения дальнейшего распространения несанкционированной рассылки. Однако, для проведения «ответных действий» предварительно необходимо локализовать источник несанкционированных действий.
Компьютеры с функционирующим на них вредоносным программным обеспечением, дающим злоумышленнику возможность удалённого управления.
Возможным источником информации об источниках
несанкционированной рассылки могли бы быть системы по антивирусной фильтрации почтового трафика и анти-спамовские фильтры, а также системы обнаружения/предотвращения вторжений(ГО8ЛР8); однако представленные на сегодняшнем рынке подобные системы предоставляют ограниченную информацию об источнике несанкционированных действий, т.е. сетевом узле, являющемся источником несанкционированной почтовой рассылки. В^ качестве информации о нарушителе эти системы используют электронный адрес отправителя или IP-адрес системы, отправляющей почтовое сообщение, но в большом числе случаев электронный адрес отправителя является ложным, а определённый IP-адрес (то есть IP-адрес узла, установившего соединение с почтовым сервером получателя), в силу специфики протокола, является адресом промежуточного узла. Поэтому использование систем обнаружения/предотвращения вторжений (IDS/IPS), а также систем антивирусной фильтрации почтового трафика и анти-спамовых фильтров, с целью определения источников несанкционированной рассылки может оказаться неэффективным. Причём, чем больше процент сообщений, пришедших в систему не напрямую (через промежуточные почтовые сервера), тем меньше эффективность традиционных способов обнаружения источника нарушений.
Единственным возможным способом определения источника несанкционированной рассылки на стороне получателя [11] является детальный анализ и проверка информации, находящейся в служебных заголовках сообщений электронной почты с целью определения IP-адреса сетевого узла, с которого велась рассылка. Под источником рассылки будем понимать сетевой узел, который первым передал для доставки сформированное почтовое сообщение, используя протокол SMTP.
Если участники процесса пересылки почтового сообщения соблюдали требования протокола (SMTP), то источник рассылки, в большинстве случаев, может быть найден путём разбора служебных заголовков [11,32]. Вместе с тем,
10 в связи с большими и постоянно возрастающими объёмами почтового трафика, ручной анализ и проверка такой информации оказываются крайне неэффективными. Поэтому возникает потребность в автоматизированных системах, которые позволили бы, на основе собираемых данных, локализовать скомпрометированный сетевой узел, с тем чтобы впоследствии принять решение об адекватных ответных действиях.
Резюмируя вышеизложенное, можно сделать заключение, что одним из возможных способов локализаі{ии инфицированных вредоносным ПО компьютеров является определение источников рассылки почтовых сообщений (о которых априорно известно, что они являются спамом или содержат вредоносный код) путём анализа их служебных заголовков. Следовательно, разработка специализированных моделей, методов и алгоритмов, предназначенных для автоматизации процесса определения источников рассылки почтовых сообщений, является актуальной задачей.
Информация о сетевых узлах, участвующих в распространении' вредоносных программ или «спама» по электронной почте, несомненно, будет важна как при решении задачи нейтрализации вирусных эпидемий, так и для решения других задач, связанных с распространением вирусов. А системы, предоставляющие такую информацию, могут с успехом применяться как в глобальных, так и в локальных сетях для обеспечения более эффективной работы систем информационной, безопасности.
Другим важным вопросом, возникающим при рассмотрении задачи локализации, является задача сбора и хранения данных, полученных от подсистем антивирусной и антиспамовой фильтрации почтовых сообщений. Собранные данные могут быть использованы как с целью локализации источников несанкционированной рассылки, так и для последующего-анализа конфликтных ситуаций (например, в случаях, когда антиспамовая система ошибочно приняла сообщение за спам и важное для пользователя-письмо было удалено).
Объектом исследования данной работы являются проблемы безопасности информации, связанные с распространением вредоносных программ и «спама», а также механизмы рассылки электронных сообщений, использующие сокрытие сетевых узлов отправителя.
Предметом исследования являются методы определения источников несанкционированной рассылки вредоносных программ и «спама» с учётом возможного присутствия в теле сообщения фиктивных данных об отправителе.
Целью работы является повышение эффективности методов борьбы с вредоносными программами на основе своевременного автоматизированного определения очагов вирусной активности, которая проявляется в виде рассылки ими сообщений электронной почты, содержащих известное (антивирусным системам и системам антиспамовой защиты) вредоносное ПО или спам, а также создание автоматизированной системы, реализующей эти методы.
Для достижения поставленной цели в ходе работы.над диссертацией были проведены исследования существующих методов несанкционированной рассылки почтовых сообщений и анализ методов, используемых для сокрытия, источника несанкционированной рассылки, а также решались следующие научные задачи:
Построение математической модели выявления фальсификации служебных заголовков почтового сообщения, включающей формализацию условий присутствия фиктивных заголовков.
Разработка метода выявления источника несанкционированной рассылки сообщений электронной почты с учётом возможного наличия фиктивной информации в служебных заголовках и его алгоритмического обеспечения.
Разработка способов сбора информации о несанкционированной рассылке почтовых сообщений от различных источников и её анализа.
Разработка^ алгоритма принятия решений о действиях, имеющих целью противодействие распространению вредоносных программ.
12 Методы исследования. Для решения поставленных задач использовались
с і
системный анализ, теория алгоритмов, теория множеств, методы математической логики, теория конечных автоматов.
Научная новизна результатов, полученных в диссертации, состоит в следующем:
Предложен, проанализирован и реализован новый подход к обеспечению информационной безопасности компьютерных систем, основанный на своевременном определении очагов активности вредоносных программ, проявляемой в виде рассылки электронных почтовых сообщений, содержащих спам или вирусы, с целью последующего воздействия на них.
Показано, что в общем случае источник почтовой рассылки в рамках протокола SMTP определить невозможно. Определены и обоснованы
' условия, при которых возможно решение данной задачи.
Впервые разработана математическая модель выявления фальсифицированных (фиктивных) служебных заголовков почтового сообщения. Модель основана на выполненной математической формализации условий, указывающих на присутствие фиктивных заголовков, и применении, введённого в модели, параметра, который назван степенью достоверности заголовка. Численное значение степени достоверности заголовка зависит от того, какие из имеющихся условий присутствия фиктивных заголовков выполнены. Показано, что с помощью введённого критерия для численного значения степени достоверности заголовка устанавливается, является он истинным или фиктивным.
Впервые предложен метод анализа заголовка электронного почтового сообщения с целью локализации сетевых узлов, участвующих в распространении вредоносного программного обеспечения и «спама», с учётом возможного присутствия в нём фальсифицированных данных. Метод заключается* в последовательном анализе цепочки служебных заголовков почтового сообщения. Истинность или фиктивность каждого заголовка
устанавливается в соответствии с разработанной математической моделью
выявления фальсифицированных служебных заголовков. 5. Впервые разработаны концептуальная модель и функциональная структура
программного обеспечения автоматизированной системы выявления сетевых
узлов, участвующих в распространении вредоносного программного
обеспечения и спама в системах электронной почты.
Следует отметить, что в открытых источниках отсутствует информация об автоматизированных системах, предназначенных для сбора и анализа информации о несанкционированных почтовых рассылках с целью определения источников рассылки, с учётом возможного присутствия в теле сообщения фиктивных данных об отправителе и принятия каких-либо действий по отношению к источнику рассылки.
Практическую ценность представляют разработанное алгоритмическое обеспечение автоматизированной системы, а' также полученные в диссертационной' работе рекомендации по выбору численного значения степени достоверности заголовка, от которого зависит точность выявления сетевых узлов, участвующих в несанкционированной рассылке сообщений электронной почты.
Автоматизированная система выявления сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама в системах электронной почты (далее АСВСУ), была разработана на основе комплексного подхода с учетом всей доступной информации, связанной с решением данной задачи. Основными возможностями автоматизированной системы являются:
сбор и хранение электронных почтовых сообщений, попавших в категорию «вирусов» и «спама», для последующего анализа конфликтных ситуаций (например, антиспамовая система ошибочно приняла сообщение за спам, и важное для пользователя письмо было удалено);
обнаружение сетевых узлов, инфицированных как известными, так и не известными ранее вредоносными программами, путём анализа
14 активности этих программ, которая проявляется в виде рассылки сообщений электронной почты, содержащих спам или известные (антивирусным системам) вредоносные программы.
сбор информации о сетевом узле, участвующем в распространении вредоносных программ, которая необходима для идентификации владельца скомпрометированного сетевого узла;
уведомление пользователя/владельца скомпрометированного сетевого узла об имеющей место несанкционированной деятельности с его компьютера;
информирование провайдера о нелегальных действиях с идентифицированного сетевого узла (компьютера пользователя);
формирование на основе IP-адресов источников рассылки «чёрных списков» для систем фильтрации электронной почты;
противодействие путём изменения прав доступа или пропускной способности на сетевых устройствах (межсетевых экранах, маршрутизаторах).
Внедрение результатов работы. Результаты диссертационной работы внедрены в:
ФГУП «Ситуационно-Кризисный Центр Государственной корпорации по атомной энергии «РОСАТОМ». Результаты диссертационной работы использовались при создании и внедрении в информационно-вычислительную сеть Росатома автоматизированной системы сбора и анализа данных аудита для систем «антивирусной» и «антиспамовой» фильтрации электронной почтовой корреспонденции (акт об использовании в приложении 7).
Московском инженерно-физическом институте (государственном университете). Результаты диссертационной работы использовались при создании и внедрении в информационно-вычислительную сеть факультета «Информационная безопасность» автоматизированной
15 системы сбора и анализа данных аудита для систем «антивирусной» и «антиспамовой» фильтрации электронной почтовой корреспонденции - «СЛЕДОПЫТ» (акт об использовании в приложении 8). Апробация работы. Основные методические и практические результаты исследований докладывались на следующих конференциях и выставках:
XI Всероссийская научно-техническая конференция "Проблемы информационной безопасности в системе высшей школы" — Москва, 2004г.
XIY Общероссийская научно-техническая конференция. Методы и технические средства обеспечения безопасности информации» С-Петербург СПбГПУ 2005г.
XIII Всероссийская научно-техническая конференция "Проблемы информационной безопасности в системе высшей школы" — Москва, 2006г.
XIV Всероссийская научно-техническая конференция "Проблемы информационной безопасности в системе высшей школы" - Москва, 2007г.
XI Выставка-конференция "Телекоммуникации и новые информационные технологии в образовании" - Москва, 2007г.
XVII Общероссийская научно-техническая конференция. Методы и технические средства обеспечения безопасности информации» С-Петербург СПбГПУ 2008г.
За разработанную в процессе работы над диссертацией автоматизированную систему сбора и анализа данных аудита для систем антивирусной и антиспамовой фильтрации электронной почты автор был награждён дипломом Х1-ой Выставки-конференции "Телекоммуникации и новые информационные технологии в образовании" (см. приложение 6).
Публикации. По теме диссертации опубликованы б научных работ.
Основные положения, выносимые на защиту:
Математическая модель выявления фальсифицированных (фиктивных) служебных заголовков почтового сообщения.
Классификация ключевых признаков, указывающих на присутствие фиктивных заголовков.
Алгоритм определения источников несанкционированной рассылки.
Метод определения заражённых вредоносными программами сетевых узлов путём анализа заголовков распространяемых ими электронных почтовых сообщений, содержащих инфицированные вложения.
Методы противодействия несанкционированной рассылке.
Концептуальная модель автоматизированной системы выявления сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама в системах электронной почты.
АСВСУ, как средство: активного информационного противодействия угрозам нарушения информационной безопасности; обеспечения внутреннего аудита и мониторинга каналов электронной почты с целью обнаружения инфицированных вредоносными программами сетевых узлов; защиты от потери информации в связи с некорректной обработкой почтовых сообщений системами «антивирусной» и «антиспамовой» фильтрации электронной почтовой корреспонденции (удаление писем при ложных срабатываниях).
Объем и структура.
Диссертация состоит из введения, четырех глав, изложенных на 128 страницах машинописного текста, 22 рисунка, 8 таблиц, заключения, списка использованной литературы и приложений.