Содержание к диссертации
Введение
1 Исследование актуальности задачи защиты от вредоносных программ 10
1.1 Классификация вредоносных программ 10
1.1.1 Классификация и описание вредоносных программ 10
1.1.1.1 Вредоносные макро-программы 14
1.1.1.2 Загрузочные вредоносные программы 15
1.1.1.3 Сетевые вредоносные программы 15
1.1.1.4 Файловые вредоносные программы 16
1.1.1.4.1 Классические компьютерные вирусы 18
1.1.1.4.2 Троянские программы 19
1.1.1.4.3 Компьютерные черви 21
1.1.1.4.4 Хакерские утилиты, потенциально нежелательные программы и прочие вредоносные программы 23
1.1.1.5 Скриптовые вредоносные программы 25
1.1.2 Предлагаемая классификация вредоносных программ 26
1.2 Способы внедрения вредоносных программ 29
1.3 Существующие методы и средства защиты от вредоносных программ 31
1.3.1 Методы защиты от вредоносных программ 31
1.3.2 Средства защиты от вредоносных программ 38
1.4 Основные результаты и выводы 45
2 Оценка актуальности угрозы вредоносных программ и эффективности существующих методов защиты 46
2.1 Оценка актуальности угрозы внедрения и запуска вредоносной программы для информационной системы 46
2.2 Модель и количественная оценка эффективности существующих методов защиты от вредоносных программ 51
2.3 Основные результаты и выводы 63
3 Предлагаемые модели и методы защиты от вредоносных программ 65
3.1 Общий подход к защите от вредоносных программ на основе контроля доступа к ресурсам 65
3.2 Разработка моделей и методов защиты от вредоносных программ 68
3.2.1 Модель и метод защиты без возможности администрирования при работающей системе защиты 68
3.2.2 Модель и метод защиты с дополнительным контролем расположения исполнимых файлов 70
3.2.3 Модель и метод защиты с возможностью администрирования при работающей системе защиты 71
3.2.4 Модель и метод защиты с дополнительным контролем способов модификации объектов доступа 73
3.2.5 Модель и метод защиты с дополнительным контролем переименования объектов доступа 76
3.2.6 Модель и метод защиты с дополнительной защитой от скриптовых исполнимых файлов 78
3.2.7 Модель и метод защиты с дополнительной защитой от наделения вредоносными свойствами интерпретаторов (виртуальных машин) 81
3.3 Разработка требований, позволяющих построить безопасную систему 84
3.3.1 Основополагающие требования 84
3.3.2 Требования к объектам доступа 84
3.3.3 Требования к субъектам доступа 85
3.3.4 Требования к заданию правил доступа 85
3.4 Основные результаты и выводы 87
4 Реализация разработанных методов защиты 88
4.1 Предлагаемое решение. 88
4.1.1 Реализация разграничительной политики доступа в ОС MS Windows 88
4.1.2 Функциональная схема механизма защиты 89
4.1.3 Интерфейс средства защиты информации 90
4.2 Реализация разграничительных политик доступа для защиты от вредоносных
4.2.1 Реализация разграничительной политики доступа в случае защиты от бинарных исполнимых вредоносных файлов 93
4.2.2 Реализация разграничительной политики доступа в случае защиты от скриптовых исполнимых вредоносных программ 99
4.3 Основные результаты и выводы 103
5 Оценка эффективности защиты 104
5.1 Оценка эффективности разработанных методов 104
5.2 Оценка влияния на загрузку вычислительного ресурса 112
5.3 Основные результаты и выводы 122
Заключение 124
Список литературы 127
- Вредоносные макро-программы
- Модель и количественная оценка эффективности существующих методов защиты от вредоносных программ
- Модель и метод защиты с дополнительным контролем способов модификации объектов доступа
- Реализация разграничительных политик доступа для защиты от вредоносных
Введение к работе
Актуальность работы. Одной из ключевых современных проблем обеспечения компьютерной безопасности является необходимость эффективного противодействия вредоносным программам. При этом необходимо учитывать, что это могут быть, как самостоятельные программы, призванные осуществлять соответствующие несанкционированные действия, так и вполне легальные, санкционировано используемые приложения, наделяемые в процессе работы вредоносными свойствами. В общем случае атаки подобных программ могут быть нацелены, как на хищение данных, так и на вывод из строя компьютерных ресурсов, как следствие, объектами защиты, применительно к данным угрозам, должны являться, как информационные, так и системные компьютерные ресурсы.
Актуальность задачи защиты от вредоносных программ возрастает из
года в год. Известная статистика указывает на то, что в 2013 году выпущено
порядка 50 млн. новых вредоносных программ, то есть 136 тысяч ежедневно, а
по прогнозам экспертов - в 2015 году количество новых вредоносных программ
может превысить 200 млн.
На сегодняшний день для решения рассматриваемых задач широко используются всевозможные способы сигнатурного и поведенческого анализов, призванных предотвратить возможность несанкционированного внедрения и запуска вредоносных программ на "защищаемые ресурсы. Однако существующая статистика роста вредоносных программ позволяет сделать предположение о весьма низкой эффективности известных методов решения этих наиболее актуальных современных задач защиты информации.
Объектом исследования являются технологии защиты от внедрения и запуска вредоносных программ.
Предметом исследования являются, методы и механизмы защиты на основе контроля доступа к файлам.
Целью диссертационной работы является развитие методов защиты от вредоносных программ применительно к современным информационным системам.
Задачи исследования. В рамках диссертационного исследования были решены следующие задачи:
-
Анализ основных типов вредоносных программ и их классификация по способам загрузки и выполнения вредоносных файлов.
-
Исследование эффективности существующих методов и средств защиты от вредоносных, программ,.. .основанных.,., на... сигнатурном и поведенческом анализах.
-
Разработка моделей и методов защиты от вредоносных программ на основе контроля доступа к файловым объектам.
-
Разработка требований к построению безопасной системы.
-
Разработка функциональной схемы, политик безопасности, направленных на защиту информационной системы от вредоносных программ.
6. Оценка эффективности предложенных методов защиты и оценка влияния реализующих их средств защиты на загрузку вычислительных ресурсов информационной системы.
Научная новизна работы заключается в следующем:
-
Предложен общий подход к построению системы защиты от вредоносных программ на основе контроля доступа к файловым объектам по типам файлов, идентифицируемых по их расширениям.
-
Разработаны методы, позволяющие защищать информационную систему, как от загрузки, так и от исполнения бинарных и скршттовых вредоносных файлов.
-
Разработаны модели безопасной системы контроля доступа к файловым объектам, позволяющие оценить возможные способы утечки прав доступа и сформулировать требования, реализация которых обеспечивает эффективную защиту от вредоносных программ.'
-
Сформулированы требования к эксплуатационным параметрам средства защиты и оценена эффективность разработанных методов защиты от вредоносных программ по сравнению с известными методами.
Практическая ценность результатов работы состоит в следующем:
-
С использованием разработанной модели массового обслуживания получена количественная оценка эффективности известных методов защиты от вредоносных программ," объясняющая их стремительный рост в последние годы.
-
На модели атаки показано, что наиболее актуальными угрозами для современных информационных систем являются бинарные и скриптовые вредоносные файлы.
-
Сформулированы и обоснованы требования к средствам защиты при помощи предложенных моделей, реализующим разработанные методы, выполнение которых позволяет строить безопасную систему.
-
Рассмотрена реализация предложенных методов, на которой апробирована возможность практической реализации разработанных методов защиты от вредоносных программ и сформулированных требований.
-
Разработаны политики безопасности г варианты настройки средства защиты от вредоносных программ.
-
Разработаны требования к параметрам средства защиты, при выполнении которых обеспечивается значение . вероятности готовности средства защиты к безопасной эксплуатации 0,96 и выше, а значение среднего времени безотказной работы (наработки на отказ информационной безопасности) средства защиты более года.
-
Проведены исследования влияния средства защиты на загрузку ЦП системы, в результате которых показано, что дополнительная загрузка ЦП не превысит 17%. " '.-,.'.
Методы исследования. При решении поставленных, задач использовались методы теории массового обслуживания, теории надежности, теории графов, методы статистической обработки результатов эксперимента.
На защиту выносятся следующие положения:
-
Подход к построению системы защиты от внедрения и запуска вредоносных программ на основе контроля доступа к ресурсам по расширениям и типам файлов, модели и методы защиты информационной системы от бинарных и скриптовых вредоносных файлов на основе реализации разграничительной политики доступа к файловым объектам.
-
Модели безопасной системы, позволяющие оценить возможные способы утечки прав доступа в системе контроля доступа и сформулировать требования к построению безопасной системы, модели и методы количественной оценки актуальности угроз и-эффективности средств защиты.
Степень достоверности. Достоверность результатов обусловлена корректностью используемого математического аппарата, подтверждена натурным моделированием, экспертными заключениями при получении гранта, апробацией полученных результатов на конференциях, а также результатами внедрения.
Апробация результатов работы. Результаты выполненных
исследований были представлены на VII Всероссийской межвузовской
конференции молодых ученых, XXXIX Неделе науки Санкт-Петербург ГПУ, II
Всероссийской научно-технической конференции «Проблема комплексного
обеспечения информационной безопасности и совершенствование
образовательных технологий подготовки специалистов силовых структур», И
научно-практической конференции молодых ученых «Вычислительные
системы и сети (Майоровские чтения)», XLII научной и учебно-методической
конференции НИУ ИТМО, а также на II и Ш Всероссийском конгрессе
молодых ученых. ' ". .
Исследования поддержаны грантом в рамках конкурса грантов 2011 года для студентов, аспирантов вузов и академических институтов, расположенных на территории Санкт-Петербурга.
Публикации. Основные результаты диссертационного исследования опубликованы в 11-ти научных публикациях общим объемом 2 п. л.: 6 статей, 5 тезисов, в том числе 2 статьи в изданиях, включенных в Перечень изданий ВАК.
Структура и объем работы. Диссертационная работа состоит из введения, основной части, содержащей 5 глав, заключения и списка литературы. Общий объем работы — 1.40 страницы. Работа содержит 39 иллюстрации и 14 таблиц. Список литературы включает 92 библиографических источника.
Вредоносные макро-программы
Самошифрование и полиморфичность используются практически всеми типами ВП для того, чтобы максимально усложнить процедуру его детектирования.
Полиморфик ВП (polymorphic) – это программы, которые не имеют сигнатур, то есть не содержат ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик ВП не будут иметь ни одного совпадения. Это достигается шифрованием основного тела ВП и модификациями программы-расшифровщика.
Различные нестандартные приемы часто используются в ВП для того, чтобы как можно глубже спрятать себя в ядре OC, защититься от обнаружения резидентной копии и затруднить его удаление.
Резидентная ВП при инфицировании компьютера-жертвы оставляет в оперативной памяти свою резидентную часть, которая после заражения перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные ВП находятся в памяти и являются активными вплоть до перезагрузки операционной системы или выключения компьютера.
Резидентными можно считать вредоносные макро-программы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом в качестве операционной системы выступает программа, поддерживающая макро-язык, и соответственно ВП будет в оперативной памяти до момента закрытия приложения.
Первый способ заражения является наиболее простым: ВП записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Как правило перезаписывающие (overwriting) – программы быстрее всего обнаруживаются, так как рано или поздно система начинает работать не корректно или полностью теряет работоспособность.
Паразитические программы (parasitic) добавляют свой код в зараженный файл, после чего он остается полностью или частично работоспособным. К категории «компаньоны» относятся программы, не изменяющие заражаемые файлы. Алгоритм работы состоит в том, что для заражаемого файла создается файл-двойник и при запуске зараженного файла управление получает именно этот двойник.
К прочим способам заражения относятся вредоносные программы, которые не связывают свое присутствие с каким-либо выполняемым файлом. При заражении они копируют свой код или файл целиком в какие-либо каталоги дисков, новые копии будут когда-либо запущены пользователем или прописываются в автозапуск. Данные ВП как правило имеют имена, которые подталкивают пользователя на запуск своей копии – например, install.exe.
Теперь рассмотрим более подробно типы вредоносных программ, классифицированных по признаку среды обитания.
Вредоносные макро-программы заражают файлы-документы и электронные таблицы нескольких популярных редакторов. Это ВП на макро-языках разных программ, например MS Excel (VB), MS Word (WB), CorelDRAW, AutoCAD и другие.
Для своего размножения они используют возможности макро-языков и с их помощью переносят себя из одного зараженного файла в другие.
Для существования такого типа ВП в конкретной системе необходимо наличие встроенного в систему макро-языка с возможностями: пользователя. Макро-язык позволяет копировать файлы или перемещать макропрограммы в служебные файлы системы и редактируемые файлы, при открытии/редактировании/закрытии зараженного файла. Чаще всего идет заражение стандартного шаблона, который загружается при открытии нового документа, таким образом, все последующие копии файла тоже являются Загрузочные вредоносные программы заражают загрузочный сектор (boot) или Главную загрузочную запись (Master Boot Record – MBR) винчестера. В названии подобных вредоносных программ фигурирует слово «Boot».
Загрузочные ВП заменяют на свой код код какой-либо программы, получающей управление при загрузке системы. ВП заставляет систему при ее перезапуске считать в память и отдать управление уже не оригинальному коду загрузчика, а вредоносному.
Сетевыми называются такие вредоносные программы, которые при своем распространении используют возможности Интернет и локальных сетей. Основными принципами работы сетевой ВП являются: o возможность самостоятельно передать свой код на удаленный сервер; o возможность запустить себя на выполнение на удаленном компьютере.
При своем размножении файловые ВП используют файловую систему определенной операционной системы. Чаще всего заражаются исполнимые файлы, но может быть и простое внедрение своей копии в файловую систему (например, сохранение в каталог «Temp»).
В ежегодном отчете компании ESET «Итоги 2013: угрозы и эксплуатация Windows» [31] отмечено, что согласно статистике системы телеметрии ESET Live Grid три семейства файловых ВП Win32/Sality, Win32/Ramnit и Win32/Virut стабильно попадали в десятку самых популярных угроз в мире (рисунок 1.2). Данные вредоносные программы подвергают компрометации исполнимые файлы на компьютере пользователя и нарушают их целостность, а также могут ставить под угрозу целую сеть предприятия, если на одном из компьютеров присутствует хотя бы один вредоносный файл, поскольку они умеют заражать сетевые диски других компьютеров в сети.
Модель и количественная оценка эффективности существующих методов защиты от вредоносных программ
Введем новое определение актуальности угрозы. Исходя из идеи, что не имеет значения, куда ставить СЗИ, получаем, что актуальна та угроза, нивелирование которой приводит к нивелированию максимального числа атак. Основываясь на статистических данных – данной угрозой является вредоносные программы.
Актуальность угрозы характеризуют число атак, позволяющих перейти в данное состояние и число атак, переходящих из данного состояния. Для начала выбираем угрозы с максимальным количеством атак, переходящих в данное состояние, после этого, если есть угрозы с одинаковым количеством переходов в данное состояние, выбираем угрозу с максимальным количеством атак, переходящих из данного состояния. Исходя из этого введем критерий актуальности угрозы, который следует определять по формуле:
В данной формуле большой вес имеет параметр S: чем больше переходов из данного состояния совершается, тем чаще его будут эксплуатировать.
Согласно отчетам компаний ESET [31], Cisco [90], Лаборатории Касперского [91] большинством атак за прошедший 2013 год использовались вредоносные программы. На основе данной информации, представим несколько атак, использующих вредоносные программы, на одном графе (рисунок 2.4). РОУ1 РОУ2 РОУЗ
Представим, что на рисунке 2.4 нивелируем угрозу один (У1), тогда Ка будет равен 4, если нивелировать угрозу пять (У5), тогда Ка будет равен 9 и соответственно будут нивелированы девять атак. В результате получаем, что актуальная угроза та, у которой наибольшее количество переходов в и из данного состояния. Данный результат предсказуем и просто объясним, поскольку для того, чтобы злоумышленнику совершить атаку, ему нужен некий инструментарий. Именно вредоносная программа предоставляет данное средство, чтобы дальше осуществлять атаку.
Модель и количественная оценка эффективности существующих методов защиты от вредоносных программ
В предыдущей главе был проведен качественный анализ существующих методов и средств защиты от вредоносных программ. Получим количественную оценку их эффективности. Рассмотрим эффективность антивирусного ПО, использующего базы сигнатур, эвристик или поведения вредоносных программ. Для количественной оценки существующих методов защиты построим математическую модель. Представим обнаружение новой вредоносной программы как систему массового обслуживания [9, 16, 26, 35, 60, 64], где прибор - аналитик, заявка - новая вредоносная программа. В результате получаем многоканальную СМО с неограниченной очередью М/М/С.
Предлагается математическая модель для расчета эффективности, которая может строиться в зависимости от решаемых задач:
Основными параметрами предлагаемой модели являются интенсивность обслуживания /л и интенсивность поступления заявок X. Под интенсивностью обслуживания /л понимается интенсивность выпуска новых сигнатур и эвристик, под интенсивностью поступления заявок X понимается интенсивность обнаружения новых вредоносных программ. Данные величины задаются исходя из существующих статистик.
Рассмотрим стационарную работу системы: где р - интенсивность нагрузки, равная отношению интенсивности поступления заявок к интенсивности обслуживания: С - количество обслуживающих приборов. Используя формулы (2.5) и (2.6), получаем неравенство: Интенсивность обслуживания и количество приборов мы задаем исходя из общих сведений о работе антивирусных компаний. Зная эти параметры, из формулы (2.7) получаем интервал, которым ограничивается интенсивность поступления заявок в условиях стационарной работы системы:
Предположим, что все поступившие на анализ программы являются вредоносными и уникальными. Мы будем учитывать только те программы (заявки), итогом обработки которых стало добавление сигнатуры. Анализ программы включает в себя: декомпиляцию, построчное изучение, выделение сигнатуры.
Предположим, что время анализа программы (время обслуживания заявки) равны 10 мин, 30 мин и 60 мин. Данное предположение основано на данных о частоте выпуска обновлений, например, компания Symantec выпускает обновления с частотой в 15 минут (импульсные обновления) [11], а компания Лаборатория Касперского с частотой в 2 часа [55].
Для начала рассчитаем вероятность (р0) того, что все аналитики окажутся свободными и в системе не окажется ни одной заявки. Вероятность р0 -характеристика актуальности угрозы, чем вероятность меньше, тем угроза актуальнее. Вероятность р0 того, что система готова к эксплуатации в любой момент времени и отсутствуют не выявленные сигнатуры, рассчитывается по формуле: у, зависимости интенсивности поступления заявок от вероятности p0 На графике (рисунок 2.5) продемонстрировано, что с увеличением интенсивности поступления заявок в СМО, вероятность того, что в системе не окажется ни одной заявки, стремится к нулю. Рассматривая остальные условия, получаем аналогичные
В результате исследований получаем, что при условии 1000 обслуживающих приборов (аналитиков) и времени обслуживания 60 мин с условием увеличивающейся интенсивности поступления заявок вероятность отсутствия в системе занятых приборов резко падает.
Анализ рассчитанных характеристик свидетельствует о значительной перегрузке узлов расчета при наличии данного числа аналитиков и времени обслуживания заявок.
Модель и метод защиты с дополнительным контролем способов модификации объектов доступа
В первой главе, на основании введенной классификации вредоносных программ, сделан вывод о потенциальной возможности реализации защиты от вредоносных программ на основе контроля (разграничения) доступа к ресурсам, в частности, к файловым объектам.
Контроль (разграничение) доступа к ресурсам информационной системы подразумевает, что каждый субъект доступа имеет доступ только к тем объектам операционной системы, к которым ему предоставлен доступ в соответствии с текущей политикой безопасности [22, 23, 85]. Под объектом доступа (ОД) понимается любой элемент операционной системы, доступ к которому пользователей и других субъектов доступа (например, процессы) может быть ограничен. Под субъектом доступа (СД) понимается любая сущность, способная инициировать выполнение операций над объектами. Под правом доступа к объекту понимается операция, определенная для некоторого объекта. Под разграничением доступа субъектов к объектам понимается совокупность правил, определяющая для каждой тройки субъект-объект-право, разрешен ли доступ данного субъекта к данному объекту по данному методу.
Предлагается строить защиту от вредоносных программ на основе дискреционной модели разграничения доступа к объектам файловой системы. Дискреционный принцип управление доступом, подразумевающий произвольное управление, будем рассматривать как принудительное управление потоком информации, исключая владельца объекта доступа. Исходным требованием для заданной модели является то, что никакой пользователь не может вывести систему из безопасного состояния. В рамках этой модели система обработки информации представляется в виде совокупности активных сущностей -субъектов (множество S), которые осуществляют доступ к информации, пассивных сущностей - объектов (множество О), содержащих защищаемую информацию, и конечного множества прав доступа R - {r1, ..., rn}, означающих полномочия на выполнение соответствующих действий (например, чтение, запись, выполнение).
Строки матрицы соответствуют субъектам, а столбцы - объектам. Любая ячейка матрицы M [S,O] содержит набор прав субъекта S к объекту О, принадлежащих множеству прав доступа R. Множество режимов доступа зависит от типа рассматриваемых объектов. К режимам доступа относятся: чтение, запись, выполнение.
Формальное описание модели состоит из следующих элементов: исходная матрица доступа M, содержащая права доступа субъектов к объектам. Для анализа безопасности системы защиты, реализующую дискреционную политику безопасности, будем использовать модель Харрисона – Руззо – Ульмана [92]. Для заданной модели начальное состояние Q0 = (S0, O0, М0) является безопасным относительно права r, если не существует применимой к Q0 последовательности команд, в результате которой право r будет занесено в ячейку матрицы М, в которой оно отсутствовало в состоянии Q0. Другими словами это означает, что субъект никогда не получит право доступа r к объекту, если он не имел его изначально. Если же право r оказалось в ячейке матрицы M, в которой оно изначально отсутствовало, то говорят, что произошла утечка критичного права r по объекту доступа. Также может произойти утечка права доступа по субъекту в случае повышения привилегий пользователя. Другими словами это означает, что субъект доступа, олицетворяясь с пользователем с административными правами, получает все права доступа соответствующие администратору, при этом изменения матрицы доступа не происходит. Модель строится для оценки и формирования требований к построению безопасной системы.
С учетом проведенных исследований в первой главе опишем суть предлагаемого подхода. В предлагаемой классификации показано, что ключевыми являются исполнимые бинарные и скриптовые файлы. Их особенностью является возможность однозначной идентификации по расширениям, поэтому объекты доступа предлагается назначать по их расширениям. Для предотвращения несанкционированной загрузки и создания вредоносной программы необходимо запретить модификацию, удаление и создание подобных существующим файлам, подпадающим под указанные расширения. Для сокращения списка контролируемых объектов доступа следует разрешать исполнять (бинарные файлы) и читать (скриптовые) только ограниченный набор существующих объектов, которые тоже задаются исходя из их расширений.
Рассмотрим вариант работы в информационной системе, когда у всех пользователей одинаковые права доступа, включая системных пользователей и Администратора.
В качестве субъектов доступа будут выступать пользователи системы Si: S = {S1, ..., Sk}. В качестве субъекта доступа понимается любой пользователь, в том числе с правами системы – пользователь System.
Объекты доступа делятся на исполнимые, системные и информационные: O = {Oисп1, ..., Oиспq, Oсист1, ..., Oсистm, Oинф1, ..., Oинфn}. Под исполнимыми ОД понимаются файлы, содержащие в себе готовые к запуску программы, то есть рассмотрим только бинарные исполнимые файлы [29]. Под системными ОД понимаются файлы, необходимые для функционирования операционной системы или программного обеспечения, за исключением исполнимых ОД. В качестве системных объектов выступают файлы с расширениями: .config, .manifest, .fon, .ttf, .log. Под информационными ОД понимаются любые файлы, за исключением исполнимых и системных файлов. В качестве объектов доступа выступают файлы с определенными расширениями, например: .exe. Это позволяет защищать как от уже известных вредоносных программ, так и от новых.
Реализация разграничительных политик доступа для защиты от вредоносных
Получается, что для оценки эффективности СЗИ важны два параметра ХСЗи и сзи Хсзи связана с ошибками программирования и некорректностью реализации механизмов защиты. Сзи соответственно связано с исправлением ошибок, либо доработкой механизмов. Исправление ошибок возможно в сжатые сроки в связи с маленьким размером кода, работой на уровне ядра и высоким уровнем программистов. Исправление возможно максимум за один месяц. Изменение механизмов защиты приведет к изменению принципов работы механизмов защиты или созданию новых, что может затянуться на месяцы. Поэтому для второго типа ошибок нужно рассматривать оценку эффективности безопасности (было рассмотрено ранее) и разработку компенсирующих мер. В связи с отсутствием вероятности присутствия технологичных ошибок, будем рассматривать только первый тип ошибок.
Предположим, что интенсивность выявления ошибок (Хсзи) равна 0,5; 1; 3; 12 и 48 раз в год. Пусть время исправления, в зависимости от критичности ошибки, должно варьироваться от трех дней до трех недель. Примем С равное 1 для рассмотрения наихудшего варианта и вычисления пограничных значений. Подставим в формулу (5.4), и получим формулу расчета вероятности p0СЗи для одноканальной СМО (М/М/1).
Высокая эффективность СЗИ достигается в случае, когда вероятность p 0СЗИ близка к 1, соответственно превышающее значение 0,9.
Из опыта эксплуатации СЗИ можно утверждать, что Хсзи составляет 1-3 раза в год, получаем, что на практике достижимы значения вероятности отсутствия ошибок в СЗИ, равные 0,96 - 0,99. В случае обнаружения ошибки раз в год достижимо высокое значение вероятности p 0СЗИ равное 0,99 - исправление за 3,65 суток, и значение росзи = 0,98, что дает больший запас времени для исправления ошибок - 7,3 суток. В случае обнаружения ошибки 3 раза в год достижимо значение p0СЗИ равное 0,98 – исправление за 2,44 суток, и значение p0СЗИ = 0,96, – исправление за 4,87 суток.
Теперь рассмотрим, на сколько с точки зрения возможности безопасной эксплуатации различаются значения p0СЗИ равной 0,99 и 0,98. Для этого вернемся к теории надежности и рассчитаем коэффициент готовности системы, вычисляемый по формуле:
Получаем, что при интенсивности обнаружения ошибок ХСЗи, равной 1 раз в год, и в зависимости от Сзи, равной 100 раз в год, система будет работать исправно без отказов в течение 1 года (12 месяцев). При интенсивности обнаружения ошибок ЛСЗи, равной 3 раза в год, и в зависимости от СЗИ, равной 300 раз в год, система будет работать исправно без отказов в течение 4,5 месяцев.
В случае интенсивности исправления ошибок СЗИ равной 50 раз в год время безотказной работы Т0, в случае вероятности p0Сзи равной 0,99, составит 1,92 года, при этом в случае вероятности p0Сзи равной 0,98 время безотказной работы Т0 уменьшится практически вдвое и будет равно 0,98 года. Данный вывод показывает, что достаточно критично достижение вероятности pосзи равной 0,99.
Оценка влияния на загрузку вычислительного ресурса Ранее была проведена оценка эффективности защиты, но не менее важным является и влияние средства защиты на загрузку вычислительных ресурсов информационной системы – будем исследовать загрузку центрального процессора.
Оценку влияния работы антивирусных программ провела независимая польская лаборатория AVLab [89], результаты по наиболее используемым антивирусным программам представлены на рисунке 5.3:
Результаты тестирования антивирусного ПО Методология тестирования загруженности ЦП заключалась в следующем: измерялся процент загруженности процессора при помощи Монитора ресурсов, встроенного в ОС Windows. Измерения загрузки проводились в течении 5 минут после 3-минутного интервала бездействия системы с работающим антивирусом. Монитор ресурсов (PerfMon) собирал данные каждые 5 секунд в течение 5 минут, после чего учитывалась средняя производительность – экстремальные значения (минимум и максимум) не принимались во внимание.
Данные исследования показывают, что во время сканирования антивирусное ПО загружает центральный процессор минимум на 40,4 %. Загрузка центрального процессора (Загрузка ЦП), выполняющего системные и прикладные программы, как правило, является неравномерной и зависит от характера исполняемых задач. Для оценки загрузки системных ресурсов в первую очередь необходимо определить, каким образом она создается. Проанализировав работу средства защиты с реализованными политиками безопасности в реальном времени, было установлено следующее. Средство защиты перехватывает любую попытку доступа к любому файлу и производит проверку прав доступа к этому ресурсу на основе реализованных разграничений в механизме защиты. Получается, что основная нагрузка средством защиты создается при доступе к файловым объектам.