Электронная библиотека диссертаций и авторефератов России
dslib.net
Библиотека диссертаций
Навигация
Каталог диссертаций России
Англоязычные диссертации
Диссертации бесплатно
Предстоящие защиты
Рецензии на автореферат
Отчисления авторам
Мой кабинет
Заказы: забрать, оплатить
Мой личный счет
Мой профиль
Мой авторский профиль
Подписки на рассылки



расширенный поиск

Способ повышения эффективности средств выявления зараженных файлов на основе использования скрытых марковских моделей Эдель, Дмитрий Александрович

Работа не может быть доставлена, но Вы можете
отправить сообщение автору



Эдель, Дмитрий Александрович. Способ повышения эффективности средств выявления зараженных файлов на основе использования скрытых марковских моделей : диссертация ... кандидата технических наук : 05.13.19 / Эдель Дмитрий Александрович; [Место защиты: Юж. федер. ун-т].- Ростов-на-Дону, 2013.- 158 с.: ил. РГБ ОД, 61 13-5/1576

Введение к работе

Актуальность

Настоящая диссертационная работа направлена на исследование возможностей повышения эффективности методов защиты информации от несанкционированного доступа.

С ростом распространенности вычислительной техники и вычислительных сетей, естественным образом растет и интерес к проблемам безопасности - как в смысле сохранения от повреждений, так и в смысле предотвращения несанкционированного доступа - обрабатываемых с их помощью данных.

На текущий момент существует значительное количество различных организаций, занимающихся разработкой средств защиты от НСД и обнаружения вредоносных программ. В частности, среди российских компаний наиболее известными являются ЗАО "Лаборатория Касперского" и ООО "Доктор Веб".

Интерес к проблемам обеспечения ИБ высок и к их решению привлечены значительные ресурсы. Несмотря на это, по информации центра безопасности компании Microsoft, в 2012 году было проведено 1 595 587 670 атак через сеть Интернет с использованием 6 537 320 уникальных хостов, что почти на 40% больше, чем в 2011 году, а согласно данным "Лаборатории Касперского", за 2012 год было зарегистрировано 7 500 694 попытки проникновения в информационные системы посредством вредоносных вложений. Причем существенная доля зарегистрированных атак была проведена успешно и обнаружена не в процессе их предотвращения, а по факту наступивших последствий.

Одной из основных причин роста количества и разнообразия атак на информационные системы и распространенности вредоносного программного обеспечения (ПО), в том числе осуществляющего НСД к защищаемой информации, является то, что существующие методы защиты от внедрения вредоносных программ в информационные системы зачастую не могут предоставить полную необходимую защиту. У этой проблемы имеется два базовых аспекта. Прежде всего, наиболее распространенные методы защиты от распространения вредоносного ПО основаны на распознавании заранее известных сигнатур и потому принципиально не могут противодействовать новому вредоносному ПО в начальный период его существования, а также вредоносному ПО, модифицируемому с помощью приемов мета- или полиморфизации. То же относится и к несколько более сложным методам анализа ПО, также основанным на поиске соответствия исследуемых информационных объектов специализированным моделям: в реализации атак на информационные системы могут успешно использоваться вредоносные программы, образы которых не соответствуют используемым в средствах защиты эвристическим и статистическим моделям, а также и моделям на основе искусственных нейронных сетей. Существующие же принципиально более мощные методы анализа ПО на предмет вредоносности - такие, как методы динамического анализа - зачастую непрактичны в силу требовательности к вычислительным и временным ресурсам.

Указанные здесь факты демонстрируют наличие проблемы недостаточности защиты информационных систем от несанкционированного доступа к защищаемой информации, обеспечиваемой с использованием существующих в настоящее время алгоритмов и методов функционирования средств защиты. Это свидетельствует об актуальности задачи повышения эффективности средств защиты информации от несанкционированного доступа путем применения иных, чем наиболее распространенные в настоящее время, алгоритмов и методов функционирования средств защиты, что и составляет тематику настоящей диссертационной работы.

Цель работы. Повышение эффективности защиты информационных систем от вредоносных программ и компьютерных закладок.

Задачи исследования. В соответствии с поставленной целью в работе производится анализ современных проблем защиты от угроз программно- математического воздействия и компьютерных закладок для выявления недостатков распространенных средств защиты и используемых в них методов и алгоритмов, а также выявления разновидностей угроз, для противодействия которым распространенные принципы работы средств защиты оказываются наименее продуктивными. По результатам проведенного исследования были сформулированы следующие задачи диссертационного исследования:

  1. Разработка модели зараженных файлов неисполнимых форматов, определяющей структуру и свойства эксплойтов.

  2. Разработка метода построения языковой модели загрузчика эксплойта на базе марковской цепи исполнимых инструкций, входящих в него.

  3. Разработка метода обнаружения эксплойтов, основанном на выявлении наличия в теле файла неисполнимого формата исполнимого загрузчика.

  4. Разработка алгоритма реализации способа обнаружения зараженных файлов с использованием скрытых марковских моделей.

  5. Разработка макета программного средства обнаружения вредоносных вложений, предназначенного для экспериментального исследования эффективности предложенного способа выявления вложений.

  6. Проведение экспериментального исследования.

Границы исследования

В данной диссертационной работе исследуются только зараженные файлы неисполнимого формата (локальные эксплойты), а также методы и алгоритмы их выявления и идентификации. Не рассматриваются эксплойты, шеллкод которых генерируется в процессе обработки зараженного файла в памяти приложения-жертвы (с помощью языков сценариев VBA, JavaScript, ActionSctipt, ROP-цепочек и т.д.).

Основные положения, выносимые на защиту

    1. Использование разработанной модели эксплойта, включающей такой характеристический признак эксплойта, как наличие у него исполнимого загрузчика (короткой исполнимой последовательности команд в теле неисполнимого файла) в качестве основы для обнаружения эксплойтов, позволяет обнаруживать эксплойты, игнорируемые распространенными средствами защиты.

    2. Разработанный способ выявления угроз безопасности информационных систем, реализуемых посредством вредоносных вложений в файлах неисполнимых форматов, на основе использования скрытых марковских моделей, позволяет повысить эффективность существующих систем автоматического выявления вредоносных вложений и, тем самым, увеличить качество защиты информационных систем от угроз вредоносных вложений в неисполнимых форматов файлов.

    Научная новизна работы заключается в следующем

    Разработана новая формальная модель вредоносных вложений в файлах неисполнимых форматов, позволяющая повысить эффективность методов их обнаружения. Впервые предложен метод обнаружения эксплойтов, основанный на выявлении наличия в теле файла неисполнимого формата исполнимого загрузчика и экспериментально исследована его применимость. Разработан новый способ эффективного выявления угроз безопасности в информационных системах, реализуемых посредством вредоносных вложений в файлах неисполнимых форматов, основанный на использовании скрытых марковских моделей. Сформулирована и доказана теорема, устанавливающая связь между вероятностью схождения двух дизассемблерных последовательностей за заданное количество шагов с вероятностями различных значений разности стартовых позиций дизассемблирования.

    Практическая значимость и внедрение результатов работы

    Следующие разработки, полученные в ходе диссертационного исследования, были на практике использованы в Федеральном государственном бюджетном учреждении науки «Институт космических исследований Российской академии наук»:

    1. метод обнаружения зараженных файлов, основанный на выявлении наличия в теле файла неисполнимого формата исполнимого загрузчика (использованы модели характеристического признака зараженного файла и способ эффективного выявления угроз безопасности информационных систем, реализуемых посредством вредоносных вложений в файлах неисполнимых форматов);

    2. модель вредоносных вложений в файлах неисполнимых форматов, выделившая место задачи выявления исполнимого загрузчика в теле зараженного файла в задаче анализа и идентификации зараженных файлов аналитикам отдела безопасности, что позволило усилить безопасность организации и сэкономить время на обработку внешнего входящего траффика используемого в организации почтового сервера.

    Использование этих разработок подтверждено соответствующим актом о внедрении.

    Кроме того, следующие разработки, также полученные в ходе диссертационного исследования, были на практике использованы в ЗАО «Универсальные бизнес-технологии» в областях, смежных с областью, к которой относится диссертационное исследование:

    1. способ эффективного выявления угроз безопасности информационных систем, реализуемых посредством вредоносных вложений в файлах неисполнимых форматов на основе использования скрытых марковских моделей (использование алгоритма Витерби с целью выявления скрытых состояний дизассемблированных последовательностей команд (код или данные) позволило ускорить обработку системы сборщика фрагментированных пакетов данных);

    2. алгоритм определения скрытых состояний дизассемблированных последовательностей команд (его использование позволило увеличить производительность процесса восстановления удаленных файлов на внешних USB Flash-накопителях путем вспомогательной маркировки класса блоков (код и данные);

    3. предложенный подход к анализу блоков данных с целью идентификации принадлежности к исполнимому или неисполнимому классу был применении в целях восстановления удаленных файлов и позволил повысить скорость и качество функционирования комплекса восстановления удаленных файлов.

    Использование этих разработок также подтверждено актом о внедрении.

    Достоверность полученных результатов обусловлена строгостью математических построений и результатами корректно проведенной экспериментальной проверки эффективности разработанных решений.

    Апробация работы Основные результаты, полученные в ходе работы над диссертацией, были представлены и обсуждались на следующих конференциях:

      1. XI Международной научно-практической конференции «Информационная безопасность-2010». г.Таганрог (2010 г.).

      2. Седьмая Всероссийская научно-практическая конференция "Перспективные системы и задачи управления". п.Домбай (2012г).

      Публикации

      По теме диссертации опубликовано 8 научных статей (из них 3 в изданиях, рекомендованных ВАК) и тезисов докладов. Имеется свидетельство об официальной регистрации программ для ЭВМ (№2011618094).

      Объем и структура диссертации Диссертация состоит из введения, четырех глав, заключения, списка литературы. Основной текст диссертации изложен на 157 страницах, включая 22 рисунка и 16 таблиц.

      Похожие диссертации на Способ повышения эффективности средств выявления зараженных файлов на основе использования скрытых марковских моделей