Содержание к диссертации
Введение
Глава 1. Инциденты информационной безопасности как изменение корректного процесса функционирования .18
1.1 Систематизация инцидентов информационной безопасности в кс 21
1.2 Анализ действий инсайдера 31
1.3 Обобщенная модель инцидентов информационной безопасности и направления защиты 41
Глава 2. Определение инцидентов информационной безопасности на основе выявления разладки процесса наблюдений 47
2.1 Выявление разладки процесса наблюдений как метод определения вторжения .47
2.2 Оценка момента вторжения статистическими методами с обучением 62
2.3 Методы выявления вторжения без предварительного обучения 70
Глава 3. Методика определения ииб как обнаружения разладки процесса наблюдений 89
3.1. Априорный и апостериорный подход к обеспечению защиты информации 90
3.2. Теоретическое обоснование эффективности предлагаемых статистик 95
3.3. Методика применения предлагаемого подхода к обнаружению инцидентов информационной безопасности 104
Глава 4. Экспериментальная апробация алгоритмов выявления вирусного заражения как разладки 121
4.1 Подготовка экспериментальной базы 123
4.2 Программная реализация компонент комплекса и проведение экспериментальной апробации при предварительном обучении 129
4.3 Программная реализация компонент комплекса и проведение экспериментальной апробации без предварительного обучения 137
Заключение 7. 148
Литература 149
- Обобщенная модель инцидентов информационной безопасности и направления защиты
- Оценка момента вторжения статистическими методами с обучением
- Теоретическое обоснование эффективности предлагаемых статистик
- Программная реализация компонент комплекса и проведение экспериментальной апробации при предварительном обучении
Введение к работе
Актуальность. В современных информационных инфраструктурах существует множество разнообразных возможностей возникновения инцидентов ИБ (информационной безопасности). В соответствии с ГОСТ Р ИСО/МЭК 27001-2006 инцидентом ИБ является «любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность». В контексте данной работы рассматривается частный тип инцидентов ИБ, которые соответствуют выявленным изменениям в работе системы, отраженным на некоторых ее параметрах и произошедшим в результате неправомерных действий, совершаемых в ней, и/или неисправностях в программном или аппаратном обеспечении. Стандартный сценарий работы компьютерной системы (КС) в случае возникновения инцидента изменяется. Возникает необходимость выделения наблюдаемых характеристик, общих для различных сценариев работы, но по-разному используемых в штатных и нештатных режимах функционирования.
Аналитическое исследование множества возможных сценариев и выявление общих закономерностей, соответствующих легитимным последовательностям изменений характеристик, имеет неприемлемо высокую трудоемкость. Вместе с тем, фиксация момента нелегитимного изменения сценария работы или его обнаружение на временном отрезке наблюдений может дать возможность выделения инцидента ИБ по этому признаку. В работе предлагается универсальный подход к обнаружению инцидентов ИБ, основанный на моделировании их проявления в виде статистической разладки случайного процесса.
Основанием для данной работы служат исследования таких отечественных ученых как Ширяев А.Н., Бродский Б.Е., Дарховский Б.С, Будзко В.И., Грушо А.А., Зегжда П.Д., Михайлов В.Г., Скиба В.Ю., Ронжин А.Ф. и зарубежных ученых Cressie N., Read Т., Salvatore J. Stolfo, Steven M. Bellovin, Shlomo Hershkop.
Подход к выявлению отклонений от стандартного сценария действий в массиве данных мониторинга системы, разработанный в рамках исследования, может найти применение и в других областях деятельности в которых применяются статистические методы исследования.
Целью диссертационной работы является разработка подхода к анализу инцидентов ИБ с их длительным проявлением во времени на основе исследования статистических характеристик, наблюдаемых параметров компьютерной системы и методики выявления их скачкообразного изменения в форме разладки процесса.
В соответствии с целью исследования к основным задачам относятся:
-
Анализ предметной области, включающий систематизацию инцидентов ИБ и исследование деятельности инсайдера.
-
Построение подхода и выработка общей модели обнаружения инцидентов ИБ априорным и апостериорным методами.
-
Разработка метода апостериорного выявления инцидентов ИБ как статистической разладки процесса наблюдения.
-
Исследование эффективности предлагаемого метода в зависимости от объемов наблюдений, наличия предварительного обучения и разности статистических характеристик процесса функционирования до и после инцидента ИБ.
-
Разработка архитектуры системы мониторинга безопасности КС в рамках концепции апостериорной защиты.
Методы исследования. При решении сформулированных задач использовался аппарат теории вероятностей и математической статистики. Для исследования предметной области проводился анализ научных наработок в областях теории оценки разладки, теории моделей. Обоснование работоспособности предлагаемого в работе подхода основано на теоретических и экспериментальных исследованиях.
Научная новизна диссертационной работы заключается в следующем:
-
Построена универсальная математическая модель инцидентов ИБ, возникающих в неизвестный момент времени периода наблюдения.
-
Предложено определение момента времени перехода из регулярного режима работы в аномальный путем исследования математической модели разладки случайного процесса.
-
Впервые для реализации апостериорного обнаружения инцидентов ИБ предложено оценивать разладку статистиками нового класса, предельные поведения которых инвариантны относительно распределения наблюдений при штатной работе КС.
-
Теоретически и экспериментально обоснована оценка эффективности алгоритмов определения и обнаружения на отрезке наблюдений инцидента ИБ.
Практическая ценность работы состоит в следующем:
-
Предложенный метод носит в значительной степени универсальный характер и позволяет анализировать нарушения ИБ, связанные как с несанкционированными действиями злоумышленников, так и с программно-аппаратными сбоями системы, независимо от их происхождения.
-
На основании предлагаемых алгоритмов поиска момента разладки можно разработать систему мониторинга функционирования КС, апо-стериорно выявляющую подозрительную активность в системе.
Разработанная методика анализа инцидентов ИБ использована в ООО «Газинформсервис» и ОАО «ИТМиВТ им. С. А. Лебедева РАН» в системах мониторинга, сбора, обработки и передачи информации. Практическая ценность и новизна работы подтверждается двумя Актами о внедрении. Результаты работы использовались также в составлении практических занятий по курсу лекций «Системы обнаружения вторжений» при подготовке специалистов по направлению «Информационная безопасность».
Апробация работы. Основные теоретические и практические результаты работы обсуждались на XIX и XX общероссийских научно-технических конференциях «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2010, 2011) и на XIV международной конференции «РусКрипто'2012» (Москва, 2012).
Публикации. По теме диссертации опубликовано 9 работ, в их числе 6 научных статей, из них в изданиях, входящих в перечень утвержденных ВАК РФ - 6, 3 доклада на конференциях.
Основные положения, выносимые на защиту:
-
Универсальная модель инцидентов ИБ, включающая возможные действия инсайдера.
-
Универсальный подход к апостериорному обнаружению инцидентов ИБ при помощи их моделирования разладкой случайного процесса.
-
Алгоритм определения момента разладки как метод обнаружения инцидентов ИБ.
-
Оценка эффективности предлагаемого метода на основе апостериорного подхода к обеспечению ИБ.
-
Архитектура системы мониторинга безопасности, а также программное средство, реализующее выявление разладки в процессе функционирования КС.
Структура работы. Диссертация состоит из введения, четырех глав, заключения и списка литературы из 70 наименований.
Обобщенная модель инцидентов информационной безопасности и направления защиты
В последнее время основным философским принципом, реализуемом при построении защиты от несанкционированного доступа (НСД), в том числе от действий внутреннего нарушителя, является обеспечение невозможности доступа процесса обработки или пользователя (с соблюдением определенных правил их идентификации) к информационным массивам или процессам обработки информации [26], [8], [13]. Упомянутая невозможность характеризуется специальными параметрами, такими как: вероятность ошибочного срабатывания средств защиты; вероятность нарушения функционирования системы в целом вследствие нарушения функционирования средств защиты; вероятность разрушения средств защиты при сохранении работоспособности системы и т. д. При этом под невозможностью доступа понимается запрещение для пользователя получения объема информации больше нормативного (как правило, весьма небольшого) или гарантированная (с соответствующими вероятностными характеристиками) недоступность взаимодействия пользовательского исполняемого процесса с защищаемыми процессами. Подобная трактовка невозможности доступа характерна для систем, обрабатывающих информацию, доступ к которой несанкционированных лиц в принципе исключается.
Аналогичное замечание справедливо и для защищаемого процесса, доступ к которому, как со стороны несанкционированного пользователя, так и другого процессу принципиально недопустим.
Другой подход к обеспечению защиты информации основывается не на априорной идентификации пользователя, его прав, а также достоверности механизма допуска пользователя к ресурсам, а на апостериорном установлении легитимности действий пользователя, его допуска к используемым информационным и программным ресурсам. Т.е. после проведения априорной идентификации пользователя его допускают к работе с ресурсами с использованием возможно недоверенных процедур установления прав и недоверенных механизмов разграничения доступа. Как правило, это штатные механизмы ОС, ППО или баз данных (БД). Параллельно с началом работы пользователя ведется фиксация его действий и получаемой им информации. Эта фиксация осуществляется специальной доверенной системой мониторинга. Собираемая информация подвергается анализу на соответствие реальных действий заявленным правам доступа, зафиксированным в журнале разграничения полномочий. Предполагается, что система мониторинга и анализа действий должна быть доверенной. В ходе анализа периодически принимается решение о прекращении или продолжении деятельности пользователя. При этом априори предполагается (возможно, неявно), что основная часть действий пользователя является легитимной. Обсуждение преимуществ того или другого подхода проводится в главе 3 настоящей работы. Основной и наиболее важной частью апостериорной системы защиты информации является автоматизированная подсистема оценки и принятия решения по потоку фиксируемых данных.
Для того, чтобы применить автоматизированный метод обнаружения ИИБ необходимо, прежде всего, смоделировать работу компьютерной системы. Представление компьютерной системы в качестве некоторой упрощенной модели позволяет существенно упростить разрабатываемый метод обнаружения инцидентов, поскольку это дает возможность абстрагироваться от маловажной для рассматриваемой задачи информации. Выбор модели системы является весьма критичным, поскольку при этом необходимо точно определить, какие данные о системе важны с точки зрения решаемой задачи, а какими из них можно пренебречь. Под обобщенной "моделью ИИБ мы будем понимать- модель функционирования -КС, отраженного на некоторых ее параметрах, с возможностью возникновения в ней ИИБ. В данной работе предлагается рассматривать функционирование компьютерной системы как некоторый определенный, ограниченный набор изменяющихся параметров. При изменении параметров происходит их фиксация, в итоге формируется последовательность наблюдений, характеризующая работу системы за некоторый промежуток времени. Указанные параметры могут отражать различные аспекты работы системы, может различаться детализация параметров и рассматриваемая область работы.
Условно можно выделить три уровня детализации моделирования в зависимости от того, на каких процессах основывается модель: низкоуровневая, среднеуровневая и высокоуровневая. Низкоуровневая модель основывается на таких данных, как процессорные операции, команды жесткому диску, работа с периферийными устройствами, пакеты данных, посылаемых в локальную сеть, загруженность тех или иных компонентов системы и так далее. Среднеуровневая модель отражает суть работы операционной системы или ПО, входящего в его состав. Подобная модель учитывает такую информацию, как обращение к системным библиотекам ОС, обращение к записям реестра, обращение к файлам и т.д. Высокоуровневая модель основывается на таких данных как факт запуска того или иного приложения, открытие/закрытие/удаление файла, журнал ОС Windows и пр.
Таким образом, например, работа КС может быть смоделирована на основании одних лишь команд, выполняемых процессором. Применимость подобной модели может находиться под вопросом, но вполне вероятно, что для решения некоторых задач она может быть полезной. Для решения рассматриваемой в работе проблемы целесообразнее применять среднеуровневое или высокоуровневое моделирование. ДшГ обоснования сделанного нами выбора, обратимся к систематизации действий инсайдера, предложенной нами в предыдущем параграфе. Исходя из этой систематизации, информационные воздействия, оказываемые на компьютерную систему внутренним нарушителем, могут быть различимы, в первую очередь, на высоком и среднем уровнях, поскольку при применении низкоуровневых моделей подобные воздействия могут быть «размыты» прочими процессами, выполняющимися в системе. В частности это объясняется предположительно малым количеством возможных событий, которые можно зафиксировать в низкоуровневых моделях, что критично при применении статистических методов выявления отклонений.
Оценка момента вторжения статистическими методами с обучением
В предыдущих параграфах (2.1 и 2.2) исследовалась возможность выявления вторжения статистическими методами как разладки процесса наблюдений с предварительным обучением. В настоящем параграфе мы рассмотрим классический подход к оценке момента разладки при неизвестных распределениях до и после разладки [12]. Такая постановка задачи характерна для современных систем мониторинга работоспособности, которые непрерывно обрабатывают данные, описывающие параметры компьютерной системы. Наблюдению и обработке соответствует смещающийся отрезок некоторой длины , в котором рассматривается возможность появления изменения статистических закономерностей в наблюдаемых параметрах. Момент изменения параметров в моделируется разладкой, он неизвестен и требует оценки. Вследствие постоянного смещения отрезка наблюдений длины t векторы вероятностей Р и П так же неизвестны (задачи, исполняемые компьютерной системой, могут постоянно меняться).
Классический подход, описание которого можно найти в [17], [18], заключается в том, что для неизвестного параметра в по последовательности (2.2.1) строится некоторая оценка 9 по следующей процедуре.
Для параметра к = 1,..., t строится дискретный случайный процесс где р(х,у) и fltf2 - некоторые функции, определенные для процедуры. В [18] приводится пять видов подобных функций. Очевидно, что их может быть рассмотрено гораздо больше. Затем в определяется как Нетрудно видеть, что рассматриваемый подход всегда указывает на возможное наличие разладки, поэтому 9 всегда существует на каждом отрезке наблюдений. Поэтому требуется определить: соответствует 9 разладке, т.е. Р Ф П (гипотеза Н±) или не соответствует, т.е. Р = П (гипотеза Я0). Разница в распределениях 9 при гипотезах Ях и Я0 должна подтверждать эффективность выявления разладки, моделирующей вторжение, и указывать место разладки (оценка параметра 9). Вместе с тем, такая постановка задачи допускает и иную интерпретацию. Будем говорить, что до момента 9 последовательность fi, ..., 0-і образует полиномиальную схему М{Р,9 — 1) с N исходами (1, ...,N) и вектором вероятностей исходов Р, а после момента 9 величины %в, ...,ft образуют схему М{П, t — 9 + 1). Обозначение М(Р,п) мы и далее будем использовать для полиномиальных схем с N исходами, п испытаниями и вектором вероятностей Р = (рг, ...,pN). При таком взгляде последовательность (2.2.1) может быть представлена как неоднородная (объединенная) полиномиальная схема с определенным типом и параметром неоднородности 9. Оценка параметра неоднородности 9 при неизвестных Р и П новая для исследования неоднородных полиномиальных схем задача. Среди работ, посвященных исследованию неоднородных полиномиальных схем, автору известны только [40], [39], [50], в которых рассматривались другие типы неоднородностей и оценка иных параметров, не относящиеся к изложенной нами выше постановке. В настоящем параграфе мы предлагаем к рассмотрению новый тип функций Д и /2, которые взяты нами из различных критериев однородности полиномиальных схем [48, с. 306], [35], [64], т.е. статистики критериев однородности полиномиальных схем мы применим для определения момента разладки. Сложность такого подхода заключается в трудоемкости достаточно полного исследования асимптотического поведения распределения этих статистик для существенно неоднородных схем. Однако, даже если провести подобные, достаточно громоздкие исследования, заведомо ясно, что параметры предельных распределений статистик ((к) будут зависеть от неизвестных векторов Р и П. Проблема заключается именно в том, что если разладки нет, т.е. Р = П, то критерии однородности в своем предельном распределении хи-квадрат не будут содержать параметра, зависящего от Р. Однако, при Р Ф П предельные нормальные распределения уже зависят от Р и П, которые все равно нам неизвестны.
Поэтому предлагается другой подход к оценке эффективности предлагаемых процедур. Он заключается в двух парадигмах. Сначала мы проводим качественный асимптотический анализ на уровне оценки среднего и порядка дисперсии предельного нормального распределения. Убеждаемся, что имеются предпосылки к работоспособности предлагаемых оценок параметра в. Окончательное решение о приемлемости предлагаемых статистик для оценки момента разладки в в реальных условиях тех или иных приложений будем принимать после получения экспериментальных результатов.
Имеется t возможных вариантов значений для оценки параметра в. Предположим, что в результате опробования возможного значения в мы натолкнулись на истинный вариант. Надо, тем не менее, дать заключение по значению применяемой нами статистики, векторы Р и П - различны или нет. Потому что, если Р = П, то разладки, естественно, нет. Такая постановка задачи эквивалентна рассмотрению распределения выбранной статистики на исходах двух полиномиальных схем М{Р,т) и М{П,п).
Теоретическое обоснование эффективности предлагаемых статистик
В предыдущих главах нами были теоретически обоснованы предпосылки к моделированию наблюдений выделенного множества компьютерной системы как случайного процесса, параметры которого до и после внедрения вируса различались. В частности, различались вероятности появления наблюдаемых событий до и после внедрения. Даны рекомендации по выбору множества наблюдаемых состояний с целью повышения контрастности этого различия. Выявляемые различия предложено использовать в теоретико-вероятностной схеме, называемой разладкой, для оценки момента внедрения вируса как параметра этой схемы. Предложен ряд новых статистик и проведено теоретическое обоснование эффективности оценки момента разладки. По сравнению с ранее известными, предлагаемые статистики в некоторых случаях не зависят от начальных и финальных распределений, что может выгодно отличить их от ранее использованных в известной автору литературе.
Для того, чтобы сформулированный в главе 2 настоящей работы подход к обнаружению ИИБ как определению момента разладки был применим с практической точки зрения, необходимо разработать методику его использования в реальных условиях функционирования КС. Для этого, прежде всего, необходимо определить, в каких условиях применение подобного метода целесообразно. В связи с этим в первом параграфе данной главы рассматриваются существующие подходы к обеспечению ИБ. Далее описывается алгоритм возможного использования предложенного метода, отражающий суть самой методики применения. Затем предлагается архитектура системы ИБ, реализующая разработанную методику. В завершении главы приводятся результаты теоретических исследований эффективности предложенных статистик.
Рассмотрим структурные вопросы, влияющие на возможность реализации обоих подходов к обеспечению защиты информации с требуемой эффективностью. Априорная технология защиты может быть структурно разделена на четыре этапа: идентификация пользователя и процесса, установление их полномочий и прав, сравнение запроса с правами и допуск или отказ в доступе к информации (процессу). На схеме это можно изобразить в виде управляемого вентиля (рис 3.1). В дальнейшем термин «пользователь» будет подразумевать как человека, так и пользовательский процесс.
Все элементы данной схемы должны гарантированно функционировать, т.е. с определенными надежностными характеристиками выполнять возложенные на них функции, причем это требование относится как к программным, так и к аппаратным компонентам.
Рассмотрим, к каким последствиям приводит это требование. Начнем с пользователя. Как ни удивительно, пользователь должен быть доверенным элементом, поскольку должен обеспечить сохранность получаемой информации или соблюсти правильный регламент воздействия на функционирующий в системе процесс. Если пользователь (нарушитель) -недоверенный элемент, то система защиты должна принципиально исключить его доступ к системе. Поэтому требования к системе защиты обычно весьма велики. Тем не менее, пользовательский интерфейс должен, во-первых, по возможности блокировать неправильные действия пользователя и, во-вторых, либо быть устойчивым к воздействию нарушителя (например, интерфейс банкоматов), либо после доступа к нему нарушителя полностью восстанавливаться. Во многих случаях на начальном этапе пользовательский интерфейс сводится только к процедуре идентификации со стороны защиты, и только после их прохождения открывается второй уровень пользовательского интерфейса. Система защиты на рис 3.1 играет существенную роль, являясь не только фильтром между пользователем и системой обработки, но также элементом, взаимодействующим с самой системой обработки, направляя в нее информацию о правах пользователя и контролируя (возможно) состояние обрабатывающих процессов или процессов, распределяющих информацию по области памяти. Система защиты может представлять собой единую систему или состоять из отдельных подсистем, возможно даже располагаемых на отдельных аппаратных элементах (например, электронных замках). В любом случае, система защиты должна обеспечивать определенный для выбранного класса защиты информации уровень гарантированности срабатывания или, как говорят, уровень доверенности к возложенным на систему защиты функциям.
Очевидно, что функционирование системы защиты существеннейшим образом связано с выбором и типом процессов обработки информации. Фактически, под свой класс программного обеспечения, начинающегося с операционной системы (ОС)г разрабатывается -свой—тип системы защиты. Иногда под наиболее популярные типы ОС имеется несколько систем защиты разных производителей с различными уровнями обеспечения гарантий. Например, для Windows - Secure Pack Rus, QP, Страж NT. Тем не менее, при создании систем защиты с высоким уровнем гарантий, базирующихся на ОС и взаимодействующих с ней и прикладными процессами обработки информации, приходится исследовать базовую ОС достаточно тщательно. Определенным исследованиям на совместимость с защитой подвергаются также прикладные программные обеспечения (ППО). Объемы подобных исследований с развитием информационно-статистических систем возрастает по мере усложнения ОС и аппаратных платформ, и развития аналитических возможностей ППО. Для некоторых типов ОС и ППО провести исследования по обеспечению гарантированности работоспособности и доверенности не представляется возможным.
Второй проблемой обеспечения требуемого уровня доверенности являются аппаратное обеспечение и тесно с ним связанное ПО низкого уровня, присутствующие в микроконтроллерах и различных платах ЭВМ, от BIOS до видеокарт, интерфейсных плат и т.д. Как известно, сейчас для обеспечения высокого уровня доверенности работы электронных замков требуется проверка BIOS ПЭВМ, однако, подобное загрузочное ПО других плат ПЭВМ проверяется крайне редко, а объемы этого загрузочного ПО растут быстрыми темпами. Обеспечить полную проверку такого ПО вряд ли возможно, в связи с принимаемыми фирмами-производителями в целях сохранения производственных секретов мерами по предотвращению считывания.
Программная реализация компонент комплекса и проведение экспериментальной апробации при предварительном обучении
Преобразователь в данном случае работает в соответствии с первым этапом использования статистики (2.2), описанном в главе 3, 3.2, п. 3.2.1. В предыдущем параграфе мы описали формат и вид выходных данных сканера. Полученные от сканера трассы работы приложения являются входными данными преобразователя. Здесь стоит заметить, что входные данные преобразователя должны быть заведомо разделены на два типа: трассы работы приложения, используемые для обучения и трассы, формирующие последовательность наблюдений, подвергаемую проверке на предмет обнаружения разладки. Кроме того, должно быть указано, какие трассы из первой категории должны быть использованы в качестве трасс, моделирующих корректную работу рассматриваемого приложения, а какие трассы моделируют работу, отклоняющуюся от штатной, например, при вирусном заражении рассматриваемого приложения. Очевидно, что подобное разделение происходит на этапе накопления данных при проведении конкретных экспериментов.
Смысл работы преобразователя заключается еще и в том, чтобы ускорить и существенно упростить работу программного средства. Происходит это следующим способом. Первоначально определяется пустая единая база данных, каждая ячейка которой должна содержать уникальную строку, соответствующую некоторому событию, записанному в литеральном формате.
Следовательно, каждому событию из любого наблюдения в итоге соответствует уникальный порядковый индекс ячейки базы данных. Логично, что в базе данных не учитывается время, когда произошло событие, соответствующее некоторому конкретному наблюдению, а отражается только сама суть действия.
Далее, для каждой трассы работы приложения создается динамически расширяемый числовой массив. Происходит последовательная обработка трасс. При этой обработке осуществляется одновременное заполнение базы данных и соответствующего числового массива таким образом, что каждая следующая запись трассы заносится в массив как индекс соответствующей ячейки базы данных. Достигается это тем, что перед занесением очередного индекса в массив производится запрос в базу данных с передачей строки, содержащей литеральную форму текущего события. Если данное событие уже занесено в базу данных, то в ответ на запрос возвращается индекс ячейки, содержащей его; в противном случае создается новая ячейка, куда заносится это событие, индекс которой передается в ответ на запрос. Таким образом, сохраняется хронология событий, описанных в трассах (что необходимо для проверяемых данных) при существенном уменьшении объема занимаемой памяти, а также упрощении и ускорении дальнейших расчетов.
Таким образом, результатом работы преобразователя являются обучающие массивы оценок вероятности встречаемости элементов при корректной работе и при наличии разладки и последовательность наблюдений для проверки работоспособности. Эти данные используются в обработчике для-формирования последовательности результатов. Принцип— — работы обработчика изложен в главе 3, 3.2, п.3.2.1.
При проведении экспериментов реальная точка разладки смоделирована, то есть известно ее расположение. Логично, что чем ближе 9 к 9, тем эффективнее обнаруживает разладку предлагаемый принцип. Рассмотрев, таким образом, практическую реализацию программного комплекса при предварительном обучении, можно перейти к описанию экспериментальных исследований, проведенных в рамках описанного выше принципа работы комплекса.
Прежде чем приступить к рассмотрению проведенных экспериментов, необходимо описать подготовительные работы, выполненные в рамках данного исследования.
В начале данной главы нами был сделан выбор исследуемого приложения - Internet Explorer для Windows, а также были приведены доводы в пользу рассмотрения данного приложения. Чтобы смоделировать работу этого ПО, необходимо было использовать некоторый экспериментальный стенд, представляющий собой, по крайней мере, одну рабочую станцию, работающую под управлением ОС семейства Windows, для установки на нее различных элементов сканирующего компонента программного комплекса, а именно ПО «Мелкоскоп» (см. глава 3, 3.2, п.3.2.1). Установку подобного стенда было решено производить при помощи специального ПО «VMware Workstation» версии 7.1.0, которое используется для создания так называемых виртуальных машин, то есть программных аналогов физических рабочих станций. При помощи данного ПО возможно создание виртуальных рабочих станций работающих под управлением ОС Windows, а также объединение их в единую виртуальную локальную сеть. При этом каких либо.существенных отличий от физически распределенных рабочих станций, объединенных в реальную локальную сеть, при решении поставленной перед нами задачи обнаружено не было.
Для чистоты эксперимента было решено использовать две рабочие станции, соединенные в единую локальную сеть. Одна из рабочих станций использовалась для работы с рассматриваемым приложением (назовем ее клиентской станцией), а другая использовалась как сервер сканера (серверная станция). На последней фиксировались все действия, происходящие на клиентской станции, которые были вызваны рассматриваемым приложением.