Метатехнология защиты информационных ресурсов от вредоносного поведения программ тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Косолапов, Феликс Александрович

В настоящее время в сфере информационных технологий отчетливо просматривается тенденция быстрого усложнения и обновления информационных систем, что является причиной появления все новых и новых угроз безопасности. Системам защиты, в свою очередь, необходимо учитывать больше аспектов безопасности, что также приводит к их усложнению. Они становятся громоздкими и сложными в эксплуатации и настройке.

Кроме того, данные статистики говорят о том, что существующие средства защиты от вредоносного поведения программ, к которым традиционно относят системы контроля доступа, обнаружения вторжений и антивирусные сканеры не способны в полной мере защитить компьютеры пользователей от новых и неизвестных вредоносных программ.

Современная система защиты должна обеспечивать адекватное противодействие новым и неизвестным вредоносным программам. Актуальной становится проблема разработки контрмер по отношению к вредоносным воздействиям. Система защиты должна предполагать, что часть атак со стороны вредоносных программ все же достигнет успеха и необходимо иметь заранее подготовленный арсенал контрмер.

Суть проблемы заключается в том, что наиболее разработанные и доминирующие технологии защиты, такие, как контроль доступа, обнаружение вторжений и антивирусное сканирование, работают в рамках парадигмы блокирования действий или предотвращения вторжений, которая утрачивает свою адекватность реальным условиям. Возникает необходимость переосмысления существующих технологий в свете сегодняшних тенденций и качественного их усовершенствования.

Актуальность темы

Диссертация посвящена исследованию методологических аспектов актуальной проблемы защиты информационных ресурсов от вредоносного поведения программ. Теоретические исследования ряда авторов показали с математической строгостью принципиальную ограниченность техник обнаружения и блокирования вредоносного программного кода. В этой связи на передний план выходит задача разработки не абсолютной, но адекватной системы защиты, что вызывает необходимость обобщения и систематизации концепций и подходов, имеющих отношение к обозначенной проблеме.

Принимая во внимание сегодняшнюю тенденцию быстрого усложнения и увеличения объемов информационных потоков, важно отметить, что помимо задачи обнаружения и блокирования новых и неизвестных угроз безопасности особое значение приобретает задача оперативного поиска и ликвидации последствий вредоносных воздействий. Не смотря на то, что данные задачи направлены на решение одной проблемы, попытки их комплексного рассмотрения до сих пор не предпринимались.

В диссертации предлагается восполнить данный пробел рассмотрением задач блокирования вредоносных воздействий и восстановления системы после сбоев в рамках принципа изоляции поведения программ. Учитывая успехи и продолжающееся развитие теории метапознания в таких науках как математика (металогика), физика (метафизика), информатика (метапоиск), представляется целесообразным раскрытие методологического значения принципа изоляции посредством понятия «метатехнология защиты». Роль идеи метатехнологии заключается в том, что она фиксирует общие моменты и особенности технологий, по отношению к которым она применяется и указывает на конкретные способы их модернизации.

Цели и задачи работы

Целью работы является разработка метатехнологии защиты, позволяющей качественно модернизировать существующие технологии защиты информационных ресурсов от вредоносного поведения программ в части принятия решений о допустимости и недопустимости информационных воздействий.

Для достижения указанной цели были поставлены следующие задачи:

1. Исследовать существующие системы защиты от вредоносного поведения программ и выявить общие пути их развития.

2. Разработать алгоритмическую и методологическую основу метатехнологии защиты.

3. Разработать методику оценки эффективности метатехнологии защиты.

4. Провести экспериментальное исследование метатехнологии защиты с помощью программной реализации ее основных механизмов.

Методы исследованя

Для решения перечисленных задач использовались методы решения изобретательских задач, теории вероятностей, теории функциональных и экспертных систем, теории графов и алгоритмов.

Объект и предмет исследования

Объектом исследования являются технологии защиты от вредоносного поведения программ. Предметом исследования являются аспекты развития и модернизации существующих технологий защиты.

Результаты, выносимые на защиту

1. Разработанные метод и алгоритмы логической изоляции поведения программ позволяют реализовать эффективную защиту различных типов информационных ресурсов.

2. Разработанная концепция метатехнологии защиты определяет способы модернизации существующих технологий защиты на основе метода логической изоляции и механизма отложенного принятия решений.

3. Разработанная методика оценки эффективности метатехнологии защиты позволяет моделировать применение механизма логической изоляции к различным реализациям статистических систем защиты.

4. Результаты экспериментального исследования предлагаемой метатехнологии подтверждают ее работоспособность и возможность применения в реальных условиях.

Научная новизна работы

Научная новизна работы заключается в следующем:

1. С помощью методов решения изобретательских задач осуществлено исследование систем защиты от вредоносного поведения программ и выявлены общие пути их развития.

2. Разработаны новые метод и алгоритмы логической изоляции поведения программ, основанные на модификации логики выполнения операций с ресурсами, предполагающей возможность отмены изменений и возврата к исходному состоянию в случае обнаружения неисправности.

3. Разработана концепция метатехнологии защиты, в рамках которой предложены новые способы модернизации существующих технологий защиты, на основе метода логической изоляции и механизма отложенного принятия решений.

4. Разработана методика оценки эффективности предлагаемой метатехнологии на базе экспертной системы, позволяющая оценивать целесообразность применения механизма логической изоляции к статистическим системам защиты.

Карта работы

Основные этапы диссертационной работы можно представить с помощью визуальной карты, как показано на рисунке 1.

Технологии контроля доступа

Технологии обнаружения вторжений

Технологии антивирусного сканирования

ТРИЗ исследование

Развитие прежних концепций

Развитие идеи изоляции 4

Концепция метатехнологии защиты

Метод логической изоляции

Описание

Алгоритмы

Оценка

Реализация

Рис 1. Визуальная карта работы.

Данный рисунок показывает, каким образом выполняется переход от объекта исследования, представленного технологиями контроля доступа, обнаружения вторжений и антивирусного сканирования, к предмету исследования, выраженного концепцией метатехнологии защиты.

Практическая ценность работы

В практическом плане ценность представляют разработанные метод и алгоритмы логической изоляции поведения программ, которые могут использоваться разработчиками для создания новых средств защиты различных типов информационных ресурсов.

Кроме того, разработанный метод логической изоляции позволяет модернизировать бинарный механизм принятия решений, используемый в существующих системах защиты, решающих задачи противодействия вирусам, контроля доступа и обнаружения вторжений, таким образом, чтобы была возможность отложенного принятия решений, когда ни пользователь, ни система не могут дать однозначного ответа по поводу блокирования поведения. Применение логической изоляции позволяет принимать правильные решения при появлении достаточной информации без риска для безопасности системы.

Ценность также представляет разработанная методика оценки целесообразности применения логической изоляции в различных реализациях статистических систем защиты.

Использование результатов

Результаты, полученные в ходе работы над диссертацией, были использованы на кафедре Безопасности информационных технологий ТРТУ при проведении научно-исследовательских работ «Создание программных и программно-аппаратных средств обнаружения и выявления сетевых атак в информационно-телекоммуникационных системах» и «Разработка материалов по вопросам обнаружения сетевых атак в ЛВС АС ВН и создания программного макета системы тестирования системы обнаружения атак», а также при проведении научных исследований, поддержанных грантом РФФИ № 04-07-90137 «Исследование и разработка моделей, методов и средств обнаружения атак».

Достоверность полученных результатов подтверждается полнотой и корректностью теоретических обоснований и результатами экспериментов, проведенных с помощью разработанных в диссертации программ.

Апробация работы

По теме диссертации опубликовано 11 научных статей и тезисов докладов, из них одна статья опубликована в журнале «Проблемы информационной безопасности. Компьютерные системы» из перечня, рекомендованного ВАК РФ для публикации результатов диссертационных работ. Основные результаты, полученные в ходе работы над диссертацией, были представлены на:

1. Международных научно-практических конференциях «Информационная безопасность», г. Таганрог, 2003, 2004, 2005 годов.

2. Всероссийских научных конференциях «Проблемы информационной безопасности в системе высшей школы», г. Москва, 2003 и 2006 годов.

3. Всероссийском смотр-конкурсе научно-технического творчества студентов высших учебных заведений «Эврика - 2005», г. Новочеркасск, 2005 г.

4. Международной научно-практической конференции «Комплексная защита информации», г. Суздаль, 2006 г.

5. Международном конкурсе по информационной безопасности «Securitatea informationala - 2006», г. Кишинев, 2006 г.

5.5. Выводы

В данной главе были рассмотрены способы реализации механизма логической изоляции на различных уровнях иерархии драйверов операционной системы Microsoft Windows NT. Было показано, что механизм логической изоляции может быть реализован на уровне перехвата системных сервисов, фильтра файловой системы и фильтра дисковых операций. Поскольку рассмотренные технологические уровни используются также для реализации систем контроля доступа, обнаружения вторжений и антивирусных сканеров, можно отметить, что механизм логической изоляции может быть легко интегрирован с существующими системами защиты.

Было показано, что выбор того или иного способа реализации зависит от требований предъявляемых к механизму логической изоляции, так как каждый способ обладает своими преимуществами и недостатками.

Для экспериментальной проверки был выбран способ реализации на уровне фильтра дисковых операций, поскольку он является наиболее надежным и эффективным с точки зрения быстродействия.

Результаты тестирования показали работоспособность метода логической изоляции и возможность его использования с существующими системами защиты.

ЗАКЛЮЧЕНИЕ

Основные теоретические и практические результаты, полученные в диссертации, заключаются в следующем:

1. Проведено исследование существующих систем защиты от вредоносного поведения программ с помощью методов решения изобретательских задач, выявлены общие пути их развития, служащие ориентиром для разработки новых решений в выделенной проблемной области.

2. Разработан метод логической изоляции вредоносного поведения программ, а также алгоритмы изоляции логических и физических объектов системы, позволяющие реализовать доступность системы в условиях неопределенности.

3. Разработана концепция метатехнологии защиты, раскрывающая способы модернизации технологий блокирования поведения на основе метода логической изоляции и механизма отложенного принятия решений.

4. Разработана методика оценки эффективности предлагаемой метатехнологии по отношению к различным реализациям статистических систем защиты. Особенностью методики является возможность моделирования и оценки логической изоляции без непосредственной реализации.

5. Разработана программная реализация механизма логической изоляции на уровне фильтра дисковых операций, экспериментальное исследование которой показало возможность применения предлагаемой метатехнологии в реальных условиях.

1. CERT/CC Statistics 1988-2006. http://www.cert.org/stats

2. Fred Moore. InformationWeek Research survey of InformationWeek 500 executives // STORAGE NAVIGATOR, 2004.

3. Andrew Conry-Murray. Product Focus: Behavior-Blocking Stops Unknown Malicious Code // Network Magazine,http://www.aladdin.com/about/press/esafe/networkMag.htm, 2002.

4. Nicholas Weaver. Future Defenses: Technologies to Stop the Unknown Attack // SecurityFocus, http://www.securityfocus.com/infocus/1547, 2002.

5. Neil Desai. Intrusion Prevention Systems: the Next Step in the Evolution of IDS // SecurityFocus, http://www.securitvfocus.com/infocus/1670, 2003.

6. Carey Nachenberg. Behavior Blocking: The Next Step in Anti-Virus Protection // SecurityFocus, http://www.securityfocus.com/infocus/1557, 2002.

7. Peter Szor. The Art of Computer Virus Research and Defense. Addison-Wesley, ISBN: 0-321-30454-3, 2005.

8. Ю.Альтшуллер Г.С. Введение в ТРИЗ. Основные понятия и подходы / Официальный Фонд Г.С. Альтшуллера, Петрозаводск, 2004.

9. П.Петров В. Алгоритм решения изобретательских задач: Учебное пособие. Тель-Авив, 1992.

10. Саламатов Ю.П. Система законов развития техники (Основы теории развития технических систем). 2-е издание, - Красноярск: INSTITUTE OF INNOVATIVE DESIGN, 1996.

11. Fred Cohen. Computer Viruses. PhD Dissertation, University of Southern California, 1986.

12. Марков Ю.Г. Функциональный подход в современном научном познании. — Новосибирск: Наука, 1982.

13. Анохин П.К. Принципиальные вопросы общей теории функциональных систем. — М.: АН СССР, 1971.

14. Халин С.М. Метапознание (Некоторые фундаментальные проблемы): монография / С. М. Халин. Тюмень: ТюмГУ, 2003.

15. Т. Garfinkel and М. Rosenblum. A Virtual Machine Introspection Based Architecture for Intrusion Detection. // Proceedings of the 10th Annual Network and Distributed System Security Symposium (NDSS ), San Diego, CA, 2003.

16. Bochs x86 PC emulator // http://bochs.sourceforge.net, 2006.

17. Transmeta corp, Crusoe processor // http://www.transmeta.com/crusoe/architecture.html, 2006

18. Qemu cpu emulator // http://fabrice.bellard.free.fr/qemu/qemu-tech.html, 2006.

19. Susanta Nanda, Wei Li, Lap-Chung Lam, Tzi-cker Chiueh. BIRD: Binary Interpretation using Runtime Disassembly // Proceedings of 4th International Symposium on Code Generation and Optimization, New York, 2006.

20. Vasanth Bala, Evelyn Duesterwald, and Sanjeev Banerjia, Dynamo: a transparent dynamic optimization system // ACM SIGPLAN Notices, vol. 35, no. 5, 2000.

21. Vmware corp. Vmware workstation //http ://www. vmware. com/products/desktop/ws features.html. 2006.

22. Microsoft corp. Microsoft Virtual PC // http://www.microsoft.com/windows/virtualpc/default.mspx, 2004.

23. Andrew Whitaker, Marianne Shaw and Steven D. Gribble. Denali: Lightweight virtual machines for distributed and networked Applications // Proceedings of the USENIX Technical Conference, 2002.

24. Paul Barham, Boris Dragovic, Keir Fraser, Steven Hand, Tim Harris, Alex Ho, Rolf Neugebauer, Ian Pratt, and Andrew Warfield. Xen and the art of virtualization // Proceedings of the nineteenth ACM symposium on Operating systems principles, 2003.

25. Plex86 Virtual Machine // http://savannah.nongnu.org/proiects/plex86. 2006.

26. Jeff Dike. A user-mode port of the linux kernel // Proceedings of the 4th Annual Linux Showcase and Conference, Atlanta, Georgia, USW, 2000.

27. Dan Aloni. Cooperative linux // Proceedings of the Linux Symposium, Ottawa, Ontario, Canada, 2004.

28. ВШ Venners. The lean, mean, virtual machine // Java World, New York, NY, 1996.31 .Microsoft corp. Common language infrastructure (cli) concepts andarchitecture // http://msdn.microsoft.com/netframework/programming/clr. 2006.

29. Parrotcode: Parrot documentation // http://www.parrotcode.org/docs, 2006.

30. Wine Project. Wine user guide // http://www.winehq.com/site/docs/wineusr-guide/index. 2006.

31. Sun Microsystems. Wabi 2.1 documentation // http://docs.sun.com/app/docs/doc/802-3253, 2006.

32. Steven Ginzburg. Lxrun: linux emulator //http://www.ugcs.caltech.edu/~steven/lxrun, 2003.

33. Mainsofi. Port business-critical applications from windows to unix and linux // http://www.mainsoft.com/solutions/vmw5 wp.aspx. 2006.

34. Aaron B. Brown. A Recovery-Oriented Approach to Dependable Services: Repairing Past Errors with System-Wide Undo // EECS Department University of California, Berkeley, Technical Report No. UCB/CSD-04-1304, 2004.

35. Ann Chervenak, Vivekenand Vellanki, and Zachary Kurmas. Protecting file systems: A survey of backup techniques // Proceedings Joint NASA and IEEE Mass Storage Conference, 1998.

36. Norman C. Hutchinson, Stephen Manley, Mike Federwisch, Guy Harris, Dave Hitz, Steven Kleiman, Sean O'Malley. Logical vs. physical file system backup. // Proceedings of the USENIX Technical Conference, 1999.

37. Dilip Naik. Inside Windows Storage: Server Storage Technologies for Windows Server 2003, Windows 2000 and Beyond. Addison-Wesley, ISBN: 032112698X, 2003.

38. Petrocelli T. Data Protection and Information Lifecycle Management. -Pearson Education, Stoughton, MA, ISBN: 0-13-192757-4, 2005.

39. Ryutov, Т., Neuman, С., Kim, D., and Zhou, L. Integrated Access Control and Intrusion Detection for Web Servers. // IEEE Transactions on Parallel and Distributed Systems, 2003.

40. T. Ryutov, C. Neuman, and L. Zhou. Integrated Access Control and Intrusion Detection (IACID) Framework for Secure Grid Computing. // Technical Report, USC Internet and Grid Computing Lab (TR 2004-6), 2004.

41. Kumar, S. Classification and Detection of Computer Intrusions, PhD Thesis, Purdue University, 1995.

42. Хабаров С.П., Экспертные системы (конспекты лекций в формате internet-страниц) // http://firm.trade.spb.ru/serp/main es.htm. 2005.

43. S. Dubnov, G. Assayag, О. Lartillot, and G. Berjerano, Using machine learning methods for musical style learning. IEEE Computer, 36:73-80, 2003

44. J. Gregor, G. Mazeroff, and M. Thomason. Pattern analysis tools for probabilistic suffix trees with application to Windows XP code trace models. // Proceedings of the 17th International Conference on Pattern Recognition (ICPR), Cambridge, UK, 2004.

45. Eivind Naess, Deborah A. Frincke, A. David McKinnon, David E. Bakken: Configurable Middleware-Level Intrusion Detection for Embedded Systems. // ICDCS Workshops, Columbus, OH, USA, 2005.

46. Symposium on Security and Privacy, Oakland, CA, 1996. 56.Eleazar Eskin, Wenke Lee and Salvatore J. Stolfo. Modeling System Calls for Intrusion Detection with Dynamic Window Sizes. // Proceedings of the DISCEX II, 2001.

47. Steven A. Hofmeyr, Stephanie Forrest, Anil Somayaji. Intrusion Detection using Sequences of System Calls. // Journal of Computer Security, Vol. 6,1998.

48. K. Ghosh, A. Schwartzbard, M. Schatz. Learning program behavior profiles for intrusion detection. // Proceedings of the Workshop on Intrusion Detection and Network Monitoring, Santa Clara, CA, USENIX Association,1999.

49. Sal Stolfo, Ke Wang, Wei-Jen. Li. Fileprint Analysis for Malware Detection. // Technical report, Columbia Univesrity, 2005.

50. Wei-Jen Li, Ke Wang, Salvotore J. Stolfo. Fileprints: Identifying File Types by n-gram Analysis. // IEEE Information Assurance Workshop, West Point, 2005.

51. Salvatore J. Stolfo, Frank Apap, Eleazar Eskin, Katherine Heller, Shlomo Hershkop, Andrew Honig, Krysta Marie Svore: A comparative evaluation of two algorithms for Windows Registry Anomaly Detection. // Journal of Computer Security 13(4), 2005.

52. Y. Miretskiy, A. Das, C. P. Wright, and E. Zadok, AVFS: An on-access antivirus file system. // Proceedings of the 13th USENIX Security Symposium, 2004.

53. ВП1 Hayes. Who Goes There: An Introduction to On-Access Virus Scanning // SecurityFocus, http://www.securitvfocus.com/infocus/1622. 2002.

54. M. Руссинович, Д. Соломон. Внутреннее устройство Microsoft Windows: Windows Server 2003, Windows XP, Windows 2000. -Издательства: Питер, Русская Редакция, ISBN 5-467-01174-7, 5-75020085-Х, 0-7356-1917-4, 2005.

55. Светлана Сорокина, Андрей Тихонов, Андрей Щербаков. Программирование драйверов и систем безопасности. Учебное пособие. Издательство: БХВ-Петербург, ISBN: 5-94157-263-8, 5-94740005-7, 2002.

56. Свен Шрайбер. Недокументированные возможности Windows 2000. Издательство: Питер, ISBN: 5-318-00487-3, 0-201-72187-2, 2002.

57. Гэри Неббет. Справочник по базовым функциям API Windows NT/2000. Издательство: Вильяме, ISBN 5-8459-0238-Х, 2002.