Введение к работе
Актуальность темы разработки методов распознавания программных средств скрытого информационного воздействия определяется широтой применения компьютерных технологий во всех сферах деятельности и большим количеством сопутствующих противоправных действий, осуществляемых через вредоносные программные продукты. К тому же, благодаря широкому развитию компьютерных коммуникаций распространение программных продуктов, в том числе и имеющих встроенные программные средства скрытого информационного воздействия, происходит с высокой степенью динамичности.
Для безопасного функционирования автоматизированных систем управления (АИС) и телекоммуникационных систем (ТКС) необходимо в таковых использовать доверенное программное обеспечение, в котором отсутствуют программные закладки. Но возникает проблема - трудозатраты, необходимые на анализ кода операционной системы, крайне велики. В связи с этим проблема разработки методики автоматизированного анализа исполняемого кода на предмет обнаружения в таковом программных средств скрытого информационного воздействия (ПССИВ) и, соответственно, программных средств, реализующих эти методики, становится весьма актуальной задачей.
В большинстве работ, посвященных обнаружению вредоносного кода в программном обеспечении, делается акцент на выявление такого кода в одном отдельно взятом исполняемом файле. Поэтому актуальной является также и задача создания методов анализа не только отдельного исполняемого файла, но и программного обеспечения в целом без ограничений размера программного обеспечения и количества файлов в нём.
Степень научной разработанности проблемы. Задача обнаружения программных средств скрытого информационного воздействия является в достаточной степени разработанной проблемой в отечественной и зарубежной научной литературе.
Все публикации по этой проблеме могут быть разделены на две большие группы:
- доказывающие, что в общем виде невозможно решить задачу написа
ния программы, обнаруживающей все возможные схрытыс информационные
воздействия;
- показывающие, каким образом можно частично решить задачу обна
ружения в исполняемом файле ПССИВ.
На появление этих направлений оказал влияние факт доказательства в начале 50-х годов 20-го века американским учёным Райсом (H.G.Rice) и советским ученым В. А. Успенским теоремы (названной впоследствии теоремой Райса-Успенского) о том, что в общем случае распознавание любого нетривиального свойства алгоритма является неразрешимой проблемой.
Автор термина «компьютерный вирус» Фред Коэн (Fred Kohen) в работе «Компьютерные вирусы - теория и эксперименты»1 показал, что невозможно создать алгоритм, распознающий все возможные вирусы. Этот вывод подтвердили Дэвид Чесе и Стив Уайт (David М. Chess, Steve R. White) сотрудники Исследовательского центра фирмы IBM2. Решению этой проблемы
So" Par УиЛММа JbH№ (William Landi>' ^333 Барака (Boaz Barak), Одеда Голдрейха (Oded Goldreich), Рассела Импальяццо (Russell Im-paghazzo), Стивена Рудича (Steven Rudich), АмитаСахая (Amit Sahai), Салила BaflaHa(SalilVadhan),KeHHra(KeYang).,3
Методам, применимым для анализа программного обеспечения на предмет наличия в них ПССИВ, посвящены работы российских ученых В П Банникова, А. И. Аветисяна, С. С. Гайсаряна, В. В. Кулямина, П. Д. Зевд А. м. Ивашко. Большой вклад в методологию анализа программ внесли М ьендре, Дж. Бержерон, П. Боллинени, М. Кристодореску, Д. Дин, М. Дебба-би, Дж. Дешарне, Д. Дхурджати, М.-М. Эрхью, С. Генк, С. Ханов, С. Джа, И
Й йСагав'р-Секар'м-Сиадукыо'н- Тауби>д-Вагне*м-
Разработкой инструментов для анализа исполняемых кодов занимались Г. Балакришнан, А. Ланци, Дж. Лим, Л. Мартиньони, М. Монья, Р. Палеари Т. Репс, Т. Теительбаум, Дж.-Э. Тевис, Дж. Уайтхед, Т. Циммерман.
Разработке методов визуализации исполняемых файлов с целью выявления их скрытых свойств посвящены работы Л. Фенга, М.-Дж. Харольд, Дж. Джонса, Дж. Малетича, А. Маркуса, М. Петре, Э. Куинси, Дж. Стаско.
_ Инструментальные средства для визуального выявления скрытых свойств исполняемых файлов разрабатывали А. Корхонен, Дж. Никандер, П Силвасти,К.Сталначке,А.Хирскикари.
Однако до сих пор единая методика анализа исполняемых файлов не создана и исследования программного обеспечения проводятся по различным ведомственным методикам.
Целью исследования является разработка методов распознавания программных средств скрытого информационного воздействия на основе системного анализа, позволяющих значительно повысить качество исследования операционных систем.
Объектом исследования в данной работе являются как системное программное обеспечение, так и прикладное программное обеспечение
Предметом исследования являются методы исследования взаимосвя
зей и взаимозависимостей исполняемых файлов, частей исполняемых фай
лов, а также исполняемого кода, находящегося в исполняемых файлах фор-
мата rfc. Y v
1ittp://all.net/books/virus/index.html
j
Для достижения указанной цели поставлены и решены следующие задачи:
-
Построение структурной, контентной и кодовой модели исполняемых файлов, входящих в состав системного и прикладного программного обеспечения;
-
Разработка визуальных моделей исполняемых файлов.
-
Формирование поля информативных признаков, демаскирующих применение программных средств скрытого информационного воздействия, то есть признаков, позволяющих предположить наличие ПССИВ в исполняемых файлах;
-
Разработка методики выявления признаков ПССИВ в системном и прикладном программном обеспечении;
-
Разработка методики исследования структурных закономерностей исполняемых файлов с целью получения информации о нахождении в файле аномалий и/или фиксации фактов целенаправленного воздействия на исполняемые файлы;
-
Выработка критериев сходства файлов, содержащих в себе ПССИВ, со сформированным полем информативных признаков.
Теоретическая и методическая база исследования.
Исследование проводилось в полном соответствии с ключевыми положениями системного анализа, теории вероятности, теории матриц. Теоретическую и методологическую основу исследования составили труды отечественных и зарубежных ученых в области математического моделирования, математической статистики, теории вероятностей, теории и методологии обеспечения информационной безопасности и защиты информации.
Достоверность и обоснованность научных положений, выводов и рекомендаций, содержащихся в диссертации, определяются: результатами выполненного анализа наиболее актуальных работ отечественных и зарубежных ученых, отечественной нормативно-правовой базы в области программно-технических средств защиты информации, необходимой полнотой и достоверностью использованной исходной информации, логической последовательностью её анализа и применением строгих экономико-математических методов обработки.
Источниковедческую базу исследования составили материалы научной периодики, конференций и семинаров, а также данные статистических сборников и проектные разработки ведущих научных школ в области информационной безопасности.
Диссертационная работа по своему содержанию соответствует пунктам 3 и 7 Паспорта специальности 05.13.19 Методы и системы защиты информации, информационная безопасность.
Эмпирическую базу исследования составило программное обеспечение производства фирмы «Microsoft».
Научная новизна исследования заключается в следующем:
разработаны структурная, контентная и кодовая модели, описывающие исполняемые файлы, с целью повышения уровня выявления ПССИВ;
разработана совокупность методов выявления программных средств скрытого информационного воздействия, основанных на новых подходах к анализу программного обеспечения как к множеству исполняемых файлов;
предложены методы анализа программного обеспечения, позволяющие, в отличие от существующих, выявить не только известные, но и неизвестные ПССИВ, клоны ранее известных ПССИВ и ПССИВ эксплуатирующие известные уязвимости.
Положения, выносимые на защиту:
разработана структурная модель исполняемого файла, в основе которой лежат взаимосвязи и взаимозависимости функциональных компонентов в исполняемом файле;
разработана контентная и кодовая модели исполняемого файла, выявляющие и определяющие состав функциональных компонентов в исполняемом файле;
предложена древовидная модель исполняемого файла, объединяющая в себе структурную и контентную модели, которая позволяет осуществить структурный анализ исполняемого файла на предмет выявления в нём ПССИВ;
разработаны визуальные модели исполняемого файла, позволяющие получить наглядное представление файла для оценки возможного присутствия в нём ПССИВ;
разработаны методы исследования структурных закономерностей исполняемого файла с целью получения информации о возможном нахождении в файле ПССИВ и/или фиксации фактов воздействия на исполняемый файл с целью размещения в нём ПССИВ.
Теоретическая и практическая значимость исследования. В совокупности, выносимые на защиту результаты можно интерпретировать как дальнейшее развитие методов и методик выявления ПССИВ в программном обеспечении.
Разработанные в диссертации научно-методические подходы могут способствовать повышению эффективности распознавания и выявления ПССИВ в исполняемых файлах, что позволяет повысить надёжность и защищённость информационных и телекоммуникационных систем различного назначения.
Самостоятельное практическое значение имеет предложенная методика анализа программного обеспечения с целью выявления в таковом ПССИВ.
Апробация її внедрение результатов.
Проведенные в диссертации исследования непосредственно связаны с планами научно-исследовательских работ ВНИИПВТИ по информационной безопасности.
Материалы диссертационного исследования использовались в НИР, проводимых ФГУП «НТЦ «Атлас» по исследованию семейства ОС Windows, проводимых предприятием по заказу уполномоченных государственных органов. Применение методики позволило повысить эффективность исследований.
О полученных результатах было доложено на XVII и XVIII Международных научно-практических конференциях "Информатизация и информационная безопасность правоохранительных органов", а также на научном семинарах кафедры информационных технологий управлення Академии управления МВД России и научном семинаре в/ч 43753-Ц.
Предлагаемые подходы и программные инструменты успешно применялись в ходе работ по сертификации операционной системы Windows ХР по защите от НСД в соответствии с требованиями ФСБ, а также при исследовании программного продукта Silverlight на предмет безопасности его использования в информационном пространстве [12] Кроме того, программные продукты, разработанные с применением предлагаемых в данном исследовании моделей программного обеспечения, используются в государственных структурах, имеющих федеральные полномочия в указанной сфере.
По результатам научных исследований подготовлены и выпущены монографии «Исследование программ Win32: до дизассемблера и отладчика», «MFC: внутренний мир» и др., а также многочисленные статьи.
Основные результаты диссертации реализованы в Управлении информационно-телекоммуникационного обеспечения Спецсвязи ФСО России; в в/ч 43753-Ц и во ФГУП «НТЦ «Атлас». Соответствующие акты о внедрении прилагаются.
Публикации. Основные положения диссертационного исследования нашли отражение в 12 публикациях общим авторским объемом 71,6 п.л., (в том числе 4 монографии общим авторским объемом 66,4 пл.), 3 из них (одна в соавторстве, соавторство не разделено) общим объемом 1,55 п.л. размещены в журналах, рекомендованным ВАК.
Структура работы. Диссертация состоит из введения, трех глав и заключения. Она содержит 140 страниц основного текста, 57 рисунков и 19 таблиц. Список литературы включает 108 наименований.