Введение к работе
Актуальность
Настоящая диссертационная работа направлена на исследование возможностей повышения эффективности методов защиты информации от несанкционированного доступа.
С ростом распространенности вычислительной техники и вычислительных сетей, естественным образом растет и интерес к проблемам безопасности - как в смысле сохранения от повреждений, так и в смысле предотвращения несанкционированного доступа - обрабатываемых с их помощью данных.
На текущий момент существует значительное количество различных организаций, занимающихся разработкой средств защиты от НСД и обнаружения вредоносных программ. В частности, среди российских компаний наиболее известными являются ЗАО "Лаборатория Касперского" и ООО "Доктор Веб".
Интерес к проблемам обеспечения ИБ высок и к их решению привлечены значительные ресурсы. Несмотря на это, по информации центра безопасности компании Microsoft, в 2012 году было проведено 1 595 587 670 атак через сеть Интернет с использованием 6 537 320 уникальных хостов, что почти на 40% больше, чем в 2011 году, а согласно данным "Лаборатории Касперского", за 2012 год было зарегистрировано 7 500 694 попытки проникновения в информационные системы посредством вредоносных вложений. Причем существенная доля зарегистрированных атак была проведена успешно и обнаружена не в процессе их предотвращения, а по факту наступивших последствий.
Одной из основных причин роста количества и разнообразия атак на информационные системы и распространенности вредоносного программного обеспечения (ПО), в том числе осуществляющего НСД к защищаемой информации, является то, что существующие методы защиты от внедрения вредоносных программ в информационные системы зачастую не могут предоставить полную необходимую защиту. У этой проблемы имеется два базовых аспекта. Прежде всего, наиболее распространенные методы защиты от распространения вредоносного ПО основаны на распознавании заранее известных сигнатур и потому принципиально не могут противодействовать новому вредоносному ПО в начальный период его существования, а также вредоносному ПО, модифицируемому с помощью приемов мета- или полиморфизации. То же относится и к несколько более сложным методам анализа ПО, также основанным на поиске соответствия исследуемых информационных объектов специализированным моделям: в реализации атак на информационные системы могут успешно использоваться вредоносные программы, образы которых не соответствуют используемым в средствах защиты эвристическим и статистическим моделям, а также и моделям на основе искусственных нейронных сетей. Существующие же принципиально более мощные методы анализа ПО на предмет вредоносности - такие, как методы динамического анализа - зачастую непрактичны в силу требовательности к вычислительным и временным ресурсам.
Указанные здесь факты демонстрируют наличие проблемы недостаточности защиты информационных систем от несанкционированного доступа к защищаемой информации, обеспечиваемой с использованием существующих в настоящее время алгоритмов и методов функционирования средств защиты. Это свидетельствует об актуальности задачи повышения эффективности средств защиты информации от несанкционированного доступа путем применения иных, чем наиболее распространенные в настоящее время, алгоритмов и методов функционирования средств защиты, что и составляет тематику настоящей диссертационной работы.
Цель работы. Повышение эффективности защиты информационных систем от вредоносных программ и компьютерных закладок.
Задачи исследования. В соответствии с поставленной целью в работе производится анализ современных проблем защиты от угроз программно- математического воздействия и компьютерных закладок для выявления недостатков распространенных средств защиты и используемых в них методов и алгоритмов, а также выявления разновидностей угроз, для противодействия которым распространенные принципы работы средств защиты оказываются наименее продуктивными. По результатам проведенного исследования были сформулированы следующие задачи диссертационного исследования:
-
Разработка модели зараженных файлов неисполнимых форматов, определяющей структуру и свойства эксплойтов.
-
Разработка метода построения языковой модели загрузчика эксплойта на базе марковской цепи исполнимых инструкций, входящих в него.
-
Разработка метода обнаружения эксплойтов, основанном на выявлении наличия в теле файла неисполнимого формата исполнимого загрузчика.
-
Разработка алгоритма реализации способа обнаружения зараженных файлов с использованием скрытых марковских моделей.
-
Разработка макета программного средства обнаружения вредоносных вложений, предназначенного для экспериментального исследования эффективности предложенного способа выявления вложений.
-
Проведение экспериментального исследования.
Границы исследования
В данной диссертационной работе исследуются только зараженные файлы неисполнимого формата (локальные эксплойты), а также методы и алгоритмы их выявления и идентификации. Не рассматриваются эксплойты, шеллкод которых генерируется в процессе обработки зараженного файла в памяти приложения-жертвы (с помощью языков сценариев VBA, JavaScript, ActionSctipt, ROP-цепочек и т.д.).
Основные положения, выносимые на защиту
-
-
Использование разработанной модели эксплойта, включающей такой характеристический признак эксплойта, как наличие у него исполнимого загрузчика (короткой исполнимой последовательности команд в теле неисполнимого файла) в качестве основы для обнаружения эксплойтов, позволяет обнаруживать эксплойты, игнорируемые распространенными средствами защиты.
-
Разработанный способ выявления угроз безопасности информационных систем, реализуемых посредством вредоносных вложений в файлах неисполнимых форматов, на основе использования скрытых марковских моделей, позволяет повысить эффективность существующих систем автоматического выявления вредоносных вложений и, тем самым, увеличить качество защиты информационных систем от угроз вредоносных вложений в неисполнимых форматов файлов.
Научная новизна работы заключается в следующем
Разработана новая формальная модель вредоносных вложений в файлах неисполнимых форматов, позволяющая повысить эффективность методов их обнаружения. Впервые предложен метод обнаружения эксплойтов, основанный на выявлении наличия в теле файла неисполнимого формата исполнимого загрузчика и экспериментально исследована его применимость. Разработан новый способ эффективного выявления угроз безопасности в информационных системах, реализуемых посредством вредоносных вложений в файлах неисполнимых форматов, основанный на использовании скрытых марковских моделей. Сформулирована и доказана теорема, устанавливающая связь между вероятностью схождения двух дизассемблерных последовательностей за заданное количество шагов с вероятностями различных значений разности стартовых позиций дизассемблирования.
Практическая значимость и внедрение результатов работы
Следующие разработки, полученные в ходе диссертационного исследования, были на практике использованы в Федеральном государственном бюджетном учреждении науки «Институт космических исследований Российской академии наук»:
-
метод обнаружения зараженных файлов, основанный на выявлении наличия в теле файла неисполнимого формата исполнимого загрузчика (использованы модели характеристического признака зараженного файла и способ эффективного выявления угроз безопасности информационных систем, реализуемых посредством вредоносных вложений в файлах неисполнимых форматов);
-
модель вредоносных вложений в файлах неисполнимых форматов, выделившая место задачи выявления исполнимого загрузчика в теле зараженного файла в задаче анализа и идентификации зараженных файлов аналитикам отдела безопасности, что позволило усилить безопасность организации и сэкономить время на обработку внешнего входящего траффика используемого в организации почтового сервера.
Использование этих разработок подтверждено соответствующим актом о внедрении.
Кроме того, следующие разработки, также полученные в ходе диссертационного исследования, были на практике использованы в ЗАО «Универсальные бизнес-технологии» в областях, смежных с областью, к которой относится диссертационное исследование:
-
способ эффективного выявления угроз безопасности информационных систем, реализуемых посредством вредоносных вложений в файлах неисполнимых форматов на основе использования скрытых марковских моделей (использование алгоритма Витерби с целью выявления скрытых состояний дизассемблированных последовательностей команд (код или данные) позволило ускорить обработку системы сборщика фрагментированных пакетов данных);
-
алгоритм определения скрытых состояний дизассемблированных последовательностей команд (его использование позволило увеличить производительность процесса восстановления удаленных файлов на внешних USB Flash-накопителях путем вспомогательной маркировки класса блоков (код и данные);
-
предложенный подход к анализу блоков данных с целью идентификации принадлежности к исполнимому или неисполнимому классу был применении в целях восстановления удаленных файлов и позволил повысить скорость и качество функционирования комплекса восстановления удаленных файлов.
Использование этих разработок также подтверждено актом о внедрении.
Достоверность полученных результатов обусловлена строгостью математических построений и результатами корректно проведенной экспериментальной проверки эффективности разработанных решений.
Апробация работы Основные результаты, полученные в ходе работы над диссертацией, были представлены и обсуждались на следующих конференциях:
-
-
XI Международной научно-практической конференции «Информационная безопасность-2010». г.Таганрог (2010 г.).
-
Седьмая Всероссийская научно-практическая конференция "Перспективные системы и задачи управления". п.Домбай (2012г).
Публикации
По теме диссертации опубликовано 8 научных статей (из них 3 в изданиях, рекомендованных ВАК) и тезисов докладов. Имеется свидетельство об официальной регистрации программ для ЭВМ (№2011618094).
Объем и структура диссертации Диссертация состоит из введения, четырех глав, заключения, списка литературы. Основной текст диссертации изложен на 157 страницах, включая 22 рисунка и 16 таблиц.
Похожие диссертации на Способ повышения эффективности средств выявления зараженных файлов на основе использования скрытых марковских моделей
-
-