Модели и методы защиты от вредоносных программ на основе контроля доступа к файлам тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Маркина, Татьяна Анатольевна

Введение

Актуальность работы. Одной из ключевых современных проблем обеспечения компьютерной безопасности является необходимость эффективного противодействия вредоносным программам. При этом необходимо учитывать, что это могут быть, как самостоятельные программы, призванные осуществлять соответствующие несанкционированные действия, так и вполне легальные, санкционировано используемые приложения, наделяемые в процессе работы вредоносными свойствами. В общем случае атаки подобных программ могут быть нацелены, как на хищение данных, так и на вывод из строя компьютерных ресурсов, как следствие, объектами защиты, применительно к данным угрозам, должны являться, как информационные, так и системные компьютерные ресурсы.

Актуальность задачи защиты от вредоносных программ возрастает из года в год. В статье [27] помимо попыток выявления причин сложившейся ситуации с защитой от вредоносного ПО, приведен прогноз роста вредоносного ПО. По мнению автора [27], в 2013 году выпущено порядка 50 млн. новых вредоносных программ, то есть 136 тысяч ежедневно, по его прогнозам в 2015 году количество новых вредоносных программ может превысить 200 млн.

На сегодняшний день для решения рассматриваемых задач широко используются всевозможные способы сигнатурного и поведенческого анализов, призванных предотвратить возможность несанкционированного внедрения и запуска вредоносных программ на защищаемые ресурсы. Однако существующая статистика роста вредоносных программ позволяет предположить о весьма низкой эффективности выше указанных методов решения наиболее актуальных современных задач защиты информации.

Объектом исследования являются технологии защиты от внедрения и запуска вредоносных программ.

Предметом исследования являются методы и механизмы защиты на основе контроля доступа к файлам.

Целью диссертационной работы является развитие методов защиты от вредоносных программ применительно к современным информационным системам.

Задачи исследования. В рамках диссертационного исследования были решены следующие задачи:

1. Анализ основных типов вредоносных программ и их классификация по способам загрузки и выполнения вредоносных файлов.

2. Исследование эффективности существующих методов и средств защиты от вредоносных программ, основанных на сигнатурном и поведенческом анализах.

3. Разработка моделей и методов защиты от вредоносных программ на основе контроля доступа к файловым объектам.

4. Разработка требований к построению безопасной системы.

5. Разработка функциональной схемы, политик безопасности, направленных на защиту информационной системы от вредоносных программ.

6. Оценка эффективности предложенных методов защиты и оценка влияния реализующих их средств защиты на загрузку вычислительных ресурсов информационной системы.

Научная новизна работы заключается в следующем:

1. Предложен общий подход к построению системы защиты от вредоносных программ на основе контроля доступа к файловым объектам по типам файлов, идентифицируемых по их расширениям.

2. Разработаны методы, позволяющие защищать информационную систему, как от загрузки, так и от исполнения бинарных и скриптовых вредоносных файлов.

3. Разработаны модели безопасной системы контроля доступа к файловым объектам, позволяющие оценить возможные способы утечки прав доступа и сформулировать требования, реализация которых обеспечивает эффективную защиту от вредоносных программ.

4. Сформулированы требования к эксплуатационным параметрам средства защиты и оценена эффективность разработанных методов защиты от вредоносных программ по сравнению с известными методами.

Практическая ценность результатов работы состоит в следующем:

1. С использованием разработанной модели массового обслуживания получена количественная оценка эффективности известных методов защиты от вредоносных программ.

2. На модели атаки показано, что наиболее актуальными угрозами для современных информационных систем являются бинарные и скриптовые вредоносные файлы.

3. Сформулированы и обоснованы требования к средствам защиты при помощи предложенных моделей, реализующим разработанные методы, выполнение которых позволяет строить безопасную систему.

4. Рассмотрена реализация предложенных методов, на которой представлена возможность практической реализации разработанных методов защиты от вредоносных программ с учетом сформулированных требований.

5. Разработаны политики безопасности - варианты настройки средства защиты от вредоносных программ.

6. Разработаны требования к параметрам средства защиты, при выполнении которых обеспечивается значение вероятности готовности средства защиты к безопасной эксплуатации 0,96 и выше, а значение среднего времени безотказной работы (наработки на отказ) средства защиты более года.

7. Проведены исследования влияния средства защиты на загрузку ЦП системы, в результате которых показано, что дополнительная загрузка ЦП не превысит 17%.

Методы исследования. При решении поставленных задач использовались методы теории массового обслуживания, теории надежности, теории графов, методы статистической обработки результатов эксперимента.

На защиту выносятся следующие результаты:

1. Подход к построению системы защиты от внедрения и запуска вредоносных программ на основе контроля доступа к ресурсам по расширениям и типам файлов, модели и методы защиты информационной системы от бинарных и скриптовых вредоносных файлов на основе реализации разграничительной политики доступа к файловым объектам.

2. Модели безопасной системы, позволяющие оценить возможные способы утечки прав доступа в системе контроля доступа и сформулировать требования к построению безопасной системы, модели и методы количественной оценки актуальности угроз и эффективности средств защиты.

Степень достоверности. Достоверность результатов обусловлена корректностью используемого математического аппарата, подтверждена натурным моделированием, экспертными заключениями при получении гранта, апробацией полученных результатов на конференциях, а также результатами внедрения.

Апробация результатов работы. Результаты выполненных исследований были представлены на VII Всероссийской межвузовской конференции молодых ученых, XXXIX Неделе науки Санкт-Петербург ГПУ, II Всероссийской научно-технической конференции «Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур», II научно-практической конференции молодых ученых «Вычислительные системы и сети (Майоровские чтения)», ХЫ1 научной и учебно-методической конференции НИУ ИТМО, а также на II и III Всероссийском конгрессе молодых ученых.

Исследования поддержаны грантом в рамках конкурса грантов 2011 года для студентов, аспирантов вузов и академических институтов, расположенных на территории Санкт-Петербурга.

Публикации. Основные результаты диссертационного исследования опубликованы в 11-ти научных публикациях общим объемом 45 страницы: 6 статей, 5 тезисов, в том числе 2 статьи в изданиях, включенных в Перечень изданий ВАК.

Структура и объем работы. Диссертационная работа состоит из введения, основной части, содержащей 5 глав, заключения и списка литературы. Общий объем работы - 140 страницы. Работа содержит 39 иллюстрации и 14 таблиц. Список литературы включает 92 библиографических источника.

1 Исследование актуальности задачи защиты от вредоносных программ

1.1 Классификация вредоносных программ

Под вредоносной программой будем понимать компьютерную программу или переносной код, предназначенные для реализации угроз информации, хранящейся в компьютерной системе, либо для скрытого нецелевого использования ресурсов системы, либо иного воздействия, препятствующего нормальному функционированию компьютерной системы.

К вредоносному программному обеспечению относятся сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.

Независимо от типа, вредоносные программы способны наносить значительный ущерб, реализуя любые угрозы информации - угрозы нарушения целостности, конфиденциальности, доступности.

1.1.1 Классификация и описание вредоносных программ

Прежде чем разбирать каким образом следует защищаться, определим от чего нужно защищаться. Рассмотрим основные типы вредоносных программ, способы их проникновения и принципы действия [10, 21, 32, 38, 39, 45, 65, 68].

Вредоносные программы принято делить на классы по следующим основным признакам (рисунок 1.1): о среда обитания; о объем причиненного вреда; о особенности алгоритма работы; о операционная система.

Рисунок 1

.1 - Классификация вредоносных программ

Из рисунка 1.1 видим, что вредоносные программы (ВП) по среде обитания можно разделить на следующие типы: о макро; о загрузочные; о сетевые; о файловые; о скриптовые.

По объему причиненного вреда ВП делятся на:

о неопасные - в результате своего распространения ограничиваются

уменьшением свободной памяти на диске; о опасные - могут привести к серьезным сбоям в работе компьютера или ОС;

о очень опасные - могут привести к потере программ, конфиденциальных данных, системных файлов и других критичных файлов.

При этом нельзя с полной уверенностью назвать программу безвредной, если в её коде не найдено команд, наносящих ущерб системе, так как её проникновение в компьютер-жертву может вызвать непредсказуемые последствия

[5, 6].

По алгоритму работы ВП делятся на следующие типы: о с использованием стелс-алгоритмов; о с самошифрованием и полиморфичностью; о с использованием нестандартных приемов; о резидентные;

о наделение санкционированных программ вредоносными свойствами. Использование стелс-алгоритмов позволяет ВП полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов операционной системы на чтение/запись зараженных объектов. Стеле ВП при этом заменяют собой незараженные участки информации.

Самошифрование и полиморфичность используются практически всеми типами ВП для того, чтобы максимально усложнить процедуру его детектирования.

Полиморфик ВП (polymorphic) - это программы, которые не имеют сигнатур, то есть не содержат ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик ВП не будут иметь ни одного совпадения. Это достигается шифрованием основного тела ВП и модификациями программы-расшифровщика.

Различные нестандартные приемы часто используются в ВП для того, чтобы как можно глубже спрятать себя в ядре ОС, защититься от обнаружения резидентной копии и затруднить его удаление.

Резидентная ВП при инфицировании компьютера-жертвы оставляет в оперативной памяти свою резидентную часть, которая после заражения перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные ВП находятся в памяти и являются активными вплоть до перезагрузки операционной системы или выключения компьютера.

Резидентными можно считать вредоносные макро-программы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом в качестве операционной системы выступает программа, поддерживающая макро-язык, и соответственно ВП будет в оперативной памяти до момента закрытия приложения.

По способу заражения файловые ВП делятся на несколько групп: о перезаписывающие; о паразитические; о «компаньон»; о прочие способы заражения.

Первый способ заражения является наиболее простым: ВП записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Как правило перезаписывающие (overwriting) - программы быстрее всего обнаруживаются, так

как рано или поздно система начинает работать не корректно или полностью теряет работоспособность.

Паразитические программы (parasitic) добавляют свой код в зараженный файл, после чего он остается полностью или частично работоспособным.

К категории «компаньоны» относятся программы, не изменяющие заражаемые файлы. Алгоритм работы состоит в том, что для заражаемого файла создается файл-двойник и при запуске зараженного файла управление получает именно этот двойник.

К прочим способам заражения относятся вредоносные программы, которые не связывают свое присутствие с каким-либо выполняемым файлом. При заражении они копируют свой код или файл целиком в какие-либо каталоги дисков, новые копии будут когда-либо запущены пользователем или прописываются в автозапуск. Данные ВП как правило имеют имена, которые подталкивают пользователя на запуск своей копии - например, install.exe.

Теперь рассмотрим более подробно типы вредоносных программ, классифицированных по признаку среды обитания.

1.1.1.1 Вредоносные макро-программы

Вредоносные макро-программы заражают файлы-документы и электронные таблицы нескольких популярных редакторов. Это ВП на макро-языках разных программ, например MS Excel (VB), MS Word (WB), CorelDRAW, AutoCAD и другие.

Для своего размножения они используют возможности макро-языков и с их помощью переносят себя из одного зараженного файла в другие.

Для существования такого типа ВП в конкретной системе необходимо наличие встроенного в систему макро-языка с возможностями:

о привязки программы на макро-языке к конкретному файлу;

о копирования макро-программ из одного файла в другой;

о получения управления макро-программой без вмешательства пользователя.

Макро-язык позволяет копировать файлы или перемещать макропрограммы в служебные файлы системы и редактируемые файлы, при открытии/редактировании/закрытии зараженного файла. Чаще всего идет заражение стандартного шаблона, который загружается при открытии нового документа, таким образом, все последующие копии файла тоже являются зараженными.

1.1.1.2 Загрузочные вредоносные программы

Загрузочные вредоносные программы заражают загрузочный сектор (boot) или Главную загрузочную запись (Master Boot Record - MBR) винчестера. В названии подобных вредоносных программ фигурирует слово «Boot».

Загрузочные ВП заменяют на свой код код какой-либо программы, получающей управление при загрузке системы. ВП заставляет систему при ее перезапуске считать в память и отдать управление уже не оригинальному коду загрузчика, а вредоносному.

Винчестер заражается тремя возможными способами:

о ВП записывается вместо кода MBR;

о ВП записывается вместо кода boot-ceKTopa загрузочного диска (обычно диска «С:»);

о ВП модифицирует адрес активного boot-сектора в Таблице разбиения диска (Disk Partition Table), расположенной в MBR винчестера.

1.1.1.3 Сетевые вредоносные программы

Сетевыми называются такие вредоносные программы, которые при своем распространении используют возможности Интернет и локальных сетей.

Основными принципами работы сетевой ВП являются:

о возможность самостоятельно передать свой код на удаленный сервер;

о возможность запустить себя на выполнение на удаленном компьютере. Так же сетевые ВП называют сетевыми червями. Для своего распространения они используют:

о ошибки в приложениях и операционных системах (уязвимости); о недокументированные возможности приложений, ОС или сетей; о протокол FTP (передают свою копию на удаленный йр-сервер в каталог Incoming).

1.1.1.4 Файловые вредоносные программы

Файловые вредоносные программы - являются наиболее распространенным типом ВП, обладающим следующими возможностями:

о внедрение в исполнимые файлы различными способами; о создание файлов-двойников;

о использование особенностей организации файловой системы. При своем размножении файловые ВП используют файловую систему определенной операционной системы. Чаще всего заражаются исполнимые файлы, но может быть и простое внедрение своей копии в файловую систему (например, сохранение в каталог «Temp»).

В ежегодном отчете компании ESET «Итоги 2013: угрозы и эксплуатация Windows» [31] отмечено, что согласно статистике системы телеметрии ESET Live Grid три семейства файловых ВП Win32/Sality, Win32/Ramnit и Win32/Virut стабильно попадали в десятку самых популярных угроз в мире (рисунок 1.2). Данные вредоносные программы подвергают компрометации исполнимые файлы на компьютере пользователя и нарушают их целостность, а также могут ставить под угрозу целую сеть предприятия, если на одном из компьютеров присутствует хотя бы один вредоносный файл, поскольку они умеют заражать сетевые диски других компьютеров в сети.

3,5 3

2,5

УУ1п32/$аП1у ................—■■ \Мп32/йагпгт ——уМп32/\ЛгШ

Рисунок 1.2-Динамика активности файловых ВП в мире, 2013 г.

На рисунке 1.2 и далее на рисунке 1.3 на оси ординат показано количество в тысячах зараженных компьютеров.

Для России наиболее популярной вредоносной программой является \¥т32/С)Ьо81 (рисунок 1.3), которая ориентирована в первую очередь на этот регион. Сам код ОЬоб! является довольно простым: выполняет модификацию системного Ьк^-файла для перенаправления жертвы на необходимые злоумышленникам вредоносные, рекламные и фишинговые ресурсы. Подобные перенаправления в последующем монетизируются и приносят злоумышленникам фактическую прибыль.

б

Шп 32/ОЬо$1 «—»НТМ1/1^зте \Мп32/Вк;о1о1о

Рисунок 1.3 - Динамика активности файловых ВП в России, 2013 г. Файловые вредоносные программы делятся на четыре основных типа: о классические компьютерные вирусы; о троянские программы; о компьютерные черви;

о другие: условно опасные программы (пБклуаге, аёшаге, рогпшаге),

шпионские программы (эрухуаге), хакерские утилиты. Каждый из вышеперечисленных типов вредоносных программ отличается от других методом распространения, средой обитания и наносимым вредом.

1.1.1.4.1 Классические компьютерные вирусы

К данной категории относятся программы, распространяющие свои копии по ресурсам локального компьютера с целью:

о последующего запуска своего кода при каких-либо действиях

пользователя; о дальнейшего внедрения в другие ресурсы ОС.

В отличие от компьютерных червей, классические вирусы не используют сетевых сервисов для проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если зараженный объект

по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:

о при заражении доступных дисков вирус проник в файлы,

расположенные на сетевом ресурсе; о вирус скопировал себя на съёмный носитель или заразил файлы на нем; о было отослано электронное письмо с зараженным вложением. Некоторые вирусы содержат в себе свойства других разновидностей вредоносного программного обеспечения, например бэкдор процедуру или троянскую компоненту уничтожения информации на диске.

1.1.1.4.2 Троянские программы

В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях [36].

Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для массированных DoS-атак на удалённые ресурсы сети).

Троянские программы можно условно разделить на следующие виды по выполняемым вредоносным действиям:

о шпионские и рекламные программы, программы дозвона; о утилиты несанкционированного удаленного администрирования (такие утилиты позволяют злоумышленнику удаленно управлять зараженным компьютером);

о утилиты для проведения DDoS-атак (Distributed Denial of Service- распределенные атаки отказа в обслуживании); о серверы рассылки спама;

о многокомпонентные троянские программы-загрузчики (переписывают из Интернета и внедряют в ОС различные вредоносные программы).

Часто можно встретить троянские программы, которые относятся сразу к нескольким вышеперечисленным видам. Опишем некоторые классы таких программ, подразделив их по функциональным возможностям:

о Backdoor - содержит в себе RAT-функцию (RAT- Remote Administration Tool - утилита удаленного администрирования). Эта функция позволяет злоумышленнику удаленно управлять компьютером.

о PSW (Password Stealing Ware,) - это «троянский конь», который ворует пароли. Это могут быть все пароли, данные о системе, регистрационная информация от лицензионных программ, установленных на вашем компьютере, адреса электронной почты, номера телефонов.

о Trojan-Spy - имеет такие же цели, как и класс троянских программ PSW, служит для передачи информации. Этой информацией могут быть снимки экрана, видеоданные (если к компьютеру подключена веб-камера), набранная на клавиатуре информация, аудиоданные (при наличии подключенного к компьютеру микрофона).

о Trojan-Clicker - троянская программа, которая различными способами заставляет пользователя открыть веб-страницу какого-то специально созданного сайта. Программа выполняет установку страницы в качестве домашней страницы браузера, с помощью коррекции файла hosts меняет IP-адрес посещаемого сайта на IP-адрес вредоносной веб-страницы, это все может привести к различным последствиям, зависящим от целей злоумышленников.

о Trojan-Notifier - устанавливается на компьютер-жертву и совершает попытку передать информацию о конфигурации и настройках инфицированного компьютера своему создателю, степени зараженности.

о Trojan-Dropper - класс троянских программ, в составе которых находятся другие нежелательные программы, автоматически устанавливающиеся на компьютер-жертву. Эта автоматическая установка происходит не заметно для пользователя, так как прикрывается установкой другой программы, то есть

троянская программа устанавливает их параллельно с безвредной программой, в фоновом режиме.

о Trojan-DDoS - DDoS (Distributed Déniai of Service) - распределенный отказ в обслуживании. Такой класс троянских программ предназначен для атаки конкретного сайта с определенной целью.

о Trojan-Proxy -реализует аналог прокси-сервера (компьютер-посредник), через который происходит соединение с Интернетом или с другой сетью. Цель такой программы - скрыть реальный IP-адрес хакерского компьютера, заменив его чьим-либо другим 1Р-адресом.

о Trojan-Downloader - данная программа загружает и устанавливает другие вредоносные программы на компьютер-жертву.

Дополнительно выделяют следующие типы троянских программ:

о Exploit;

о Rootkit;

о Trojan-ArcBomb;

о Trojan-Banker;

о Trojan-FakeAV;

о Trojan-GameThief;

о Trojan-IM;

о Trojan-Ransom;

о Troj an-SMS;

о Troj an-Mailfinder;

1.1.1.4.3 Компьютерные черви

Компьютерные черви относятся к вредоносным программам, распространяющимся между компьютерами чаще всего без всякого участия пользователя. Основным свойством компьютерных червей является воспроизведение себя самого на компьютере. При их помощи заражается компьютер вместе с файлом, который в дальнейшем нужно запустить. Другим

вариантом заражения является его самостоятельное проникновение на компьютер-жертву в тот момент, когда операционная система или программное обеспечение через содержащиеся в них ошибки (уязвимости).

К категории компьютерных червей относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью: о проникновения на удаленные компьютеры; о запуска своей копии на удаленном компьютере; о дальнейшего распространения на другие компьютеры в сети. Большинство известных компьютерных червей распространяется в виде файлов: вложение в электронное письмо, ссылка на зараженный файл на каком-либо веб- или FTP-pecypce в ICQ- и IRC-сообщениях, файл в каталоге обмена Р2Р и другие.

Некоторые компьютерные черви (так называемые «бесфайловые» или «пакетные») распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код.

Для проникновения на удаленные компьютеры и запуска своей копии черви используют различные методы: социальный инжиниринг (например, текст электронного письма, призывающий открыть вложенный файл), ошибки в службах безопасности операционных систем и приложений, недочеты в конфигурации сети (например, копирование на диск, открытый на полный доступ).

Компьютерные черви обладают также свойствами других разновидностей вредоносных программ. Например, содержат функции троянских программ или способны заражать выполняемые файлы на локальном диске, то есть имеют свойство троянской программы и/или компьютерного вируса.

Можно поделить компьютерных червей по видам в зависимости от способа их распространения:

о Сетевые черви (net-worm) (способ распространения - протоколы Интернета и локальных сетей). Этот вид может посылать свою копию на сетевые ресурсы, включая ресурсы публичного использования; проникать на другие

компьютеры через уязвимость в ОС или приложений; заражать другие программы удаленного администрирования.

о Почтовые черви (email-worm) (способ распространения - электронная почта). Данный вид после попадания на компьютер-жертву посылает на все имеющиеся в адресной книге адреса электронной почты письма с вредоносной ссылкой или файлом.

о IM-черви (способ распространения - системы мгновенного обмена сообщениями). Этот вид, используя такие программы, как ICQ и подобные ей, выбирает из списка контактов пользователей и посылает им сообщения со ссылкой на вредоносный файл.

Список литературы

1. Архитектура Windows для разработчиков / М.: Русская Редакция, 1998. -472 с.

2. Ахметов К. Безопасность в Windows ХР / К. Ахметов // BYTE Россия. -2001.-№12(41)-с. 36-41.

3. Бармен С. Разработка правил информационной безопасности / Скотт Бармен. - М., Санкт-Петербург, Киев: Вильяме, 2002. - 208 с.

4. Безопасность компьютерных сетей на основе Windows NT / В. С. Люцарев, К. В. Ермаков, Е. Б. Рудный, И. В. Ермаков. - М.: Русская Редакция, 1998. -304 с.

5. Безруков H. Н. Компьютерная вирусология / H. Н. Безруков. - Киев: Укр. сов. энцикл., 1991. - 414 с.

6. Безруков, H. Н. Компьютерные вирусы / H. Н. Безруков. - М.: Наука, 1991. -160 с.

7. Бессонов А. А. Обработка результатов прямого измерения [Электронный ресурс]. Режим доступа: http://teachmen.ru/methods/phys_prac6.php#§3, свободный (12.09.2013).

8. Борисов М. А. Основы программно-аппаратной защиты информации. / М. А. Борисов, И. В. Заводцев, И. В. Чижов. - М.: УРСС: Либроком, 2013. -370 с.

9. Вероятностные разделы математики: Теория вероятностей. Математическая статистика. Теория случайных процессов. Теория массового обслуживания. Учебник для ВТУЗов / H. Н. Амосова, Б. А. Куклин, С. Б. Макарова и др.; под общ. ред. Ю. Д. Максимова. - Санкт-Петербург.: Иван Федоров, 2001. -588 с.

10. Вишневецкий В. Ю. Конспект лекций по курсу «Информатика» [Электронный ресурс]. Режим доступа: http.V/fep.tti.sfedu.m/win/egamt/leam/InfornV2006/inform.shtml.orig, свободный (19.09.2011).

11. Возможности Norton Internet Security [Электронный ресурс]. Режим доступа:

https://support.norton.com/sp/ru/ru/home/current/solutions/v59829727_EndUserP rofile_ru_ru?q=15MHHyT\, свободный (15.09.2011).

12. Вульф М. М. Как защитить компьютер от вирусов / М. М. Вульф, Н. Т. Разумовский, Р. Г. Прокди. - Санкт-Петербург: Наука и техника, 2010. - 190 с.

13. Галатенко В. А. Информационная безопасность: практический подход / М.: Наука, 1998.-301 с.

14. Галатенко В. А. Основы информационной безопасности / М.: Интернет-Университет Информационных Технологий, 2004. - 260 с.

15. Глобальный тест антивирусов COMSS.TV: Январь 2013 [Электронный ресурс]. Режим доступа: http://www.comss.ru/page.php?id=1274, свободный (01. 03.2013).

16. Гнеденко Б. В. Введение в теорию массового обслуживания / Б. В. Гнеденко, И. Н. Коваленко. - 6-е изд. - М.: УРСС: Изд-во ЛКИ, 2013.- 352 с.

17. Горин М. А. 25 бесплатных антивирусов и программ для защиты компьютера от вирусов, шпионов и троянских программ / М. А. Горин, А. Н. Ермолин. -М.: Технолоджи-3000: Триумф, 2010. - 151 с.

18. Гошко С. В. Технологии борьбы с компьютерными вирусами: практическое пособие / С. В. Гошко. - М.: Солон-пресс, 2009. - 350 с.

19. Гошко С. В. Энциклопедия по защите от вирусов / С. В. Гошко. - М.: Солон-пресс, 2005. - 350 с.

20. Гульев И. А. Создаем вирус и антивирус / И. А. Гульев. - М.: ДМК, 1999. -303 с.

21. Гульев И. А. Компьютерные вирусы, взгляд изнутри / И. А. Гульев. - М.: ДМК, 1999.-304 с.

22. Девянин П. Н. Анализ безопасности управления доступом и информационными потоками в компьютерных системах / П. Н. Девянин. -М.: Радио и связь, 2006. - 176 с.

23. Девянин П. Н. Модели безопасности компьютерных систем / П. Н. Девянин. - М.: Academia, 2005. - 143 с.

24. Дрозд А. Сравнение встроенных средств защиты Windows 7/8 с Norton Internet Security и Kaspersky Internet Security [Электронный ресурс]. Режим доступа: http://www.anti-malware.ru/node/12201, свободный (09.08.2013).

25. Жадаев А. Г. Антивирусная защита ПК / А. Жадаев. - Санкт-Петербург: БХВ - Петербург, 2010.-224 с.

26. Ивченко Г. И. Теория массового обслуживания / Г. И. Ивченко - М.: УРСС, 2012.-296 с.

27. Ильин С. Антивирусные вендоры ищут выход из технологического тупика// [Электронный ресурс]. Режим доступа: http://www.3ani;HTa-инфopмaции.su/chitalnyi-zai/antiviшsnaya-zaschita/antiviшsnye-vendory-ischut-vyhod-iz-tehnologicheskogo-tupika, свободный (21.10.2011).

28.Информационная безопасность и защита информации [Текст]: учебное пособие для студентов высших учебных заведений, обучающихся по направлению 230200 «Информационные системы» специальности 230201 «Информационные системы и технологии» / Ю.Ю. Громов [и др.]. - Старый Оскол:ТНТ, 2010.-382 с.

29. Исполняемые файлы: расширения, форматы. // Справочник типов файлов. [Электронный ресурс]. Режим доступа: http://open-file.ru/types/executable/, свободный (21.10.2011).

30. Использование защитника Windows [Электронный ресурс]. Режим доступа: http://windows. microsoft. com/ru-ru/windows/using-defender#lTC=windows-7, свободный (22.11.2011).

31. Итоги 2013: угрозы и эксплуатация Windows [Электронный ресурс]. Режим доступа: http://habrahabr.ru/company/eset/blog/209694/, свободный (21.01.2014).

32. Касперский Е. В. «Компьютерное зловредство» / Е. В. Касперский. -Санкт-петербург: Питер, 2009. - 208 с.

33. Кастер X. Основы Windows NT и NTFS / X. Кастер. Предисл. Д. Н. Катлер. - М.: Русская Редакция, 1996. - 436 с.

34. Квартальный отчет PANDALABS июль - сентябрь [Электронный ресурс]. Режим доступа: 2013 http://www.viruslab.ru/upload/files/download/wp/wp_reports_2013.pdf, свободный (11.11.2013).

35. Климов Г. П. Теория массового обслуживания / Г. П. Климов. - М.: Изд-во Московского университета, 2011. - 307 с.

36. Колисниченко Д. Н. Руткиты под Windows. Теория и практика программирования «шапок-невидимок», позволяющих скрывать от системы данные, процессы, сетевые соединения / Д.Н. Колисниченко. - Санкт-Петербург: Наука и техника, 2006. - 296 с.

37. Краткий обзор Windows 7 AppLocker [Электронный ресурс]. Режим доступа: http://technet. microsoft. com/ru-ru/library/dd548340(v=ws. 10). aspx, свободный (22.11.2011).

38. Лебедев А. Защита компьютера от вирусов, хакеров и сбоев. / Алексей Лебедев. -М.: Питер, 2013. - 157 с.

39. Левин М. Библия хакера 2. Книга 1 / М. Левин. - М.: Майор, 2003. - 638 с.

40. Лекции по теории графов: учебное пособие для студентов / В.А. Емеличев, О.И. Мельников, В.И. Сарванов, Р.И. Тышкевич. - 3-е изд. - М.: УРСС: Либроком, 2013. - 382 с.

41. Маркина Т. А. Метод формального проектирования системы защиты / Т. А. Маркина // Сборник тезисов докладов конгресса молодых ученых. - 2013. — Выпуск 1. — с. 106-107.

42. Маркина Т. A. Security Measures Against Malware Penetration and Spreading / Т. А. Маркина, А. А. Оголюк // Tern Journal. - 2013. - Iss.2. №1. - 83-86 c.

43. Маркина Т. А. Метод защиты от атак типа drive-Ьу-загрузка / Т. А. Маркина, А. Ю. Щеглов // «Известия вузов. Приборостроение». - 2014. -№4.-с. 15-20.

44. Матвеев М. Д. Администрирование Windows 7 / M. Д. Матвеев, Р. Г. Пронди и др. - Санкт-Петербург: Наука и техника, 2013. - 396 с.

45. Михайлов А. В. Компьютерные вирусы и борьба с ними. / А.В. Михайлов. - М.: Диалог-МИФИ, 2012. - 148 с.

46. О «Лаборатории Касперского» [Электронный ресурс]. Режим доступа: http://www.kaspersky.ru/about, свободный (21.12.2013).

47. Партыка Т. Л. Информационная безопасность учебное пособие / Т. Л. Партыка, И. И. Попов. - М.: ФОРУМ, 2011. - 432 с.

48. Половко А. М. Основы теории надежности: учебное пособие для студентов вузов / А. М. Половко, С. В. Гуров. - Санкт-Петербург: БХВ-Петербург, 2006. - 702 с.

49. Проскурин В. Г. Защита программ и данных: учебное пособие / В. Г. Проскурин, С. В. Крутов, И. В. Мацкевич. - М.: Академия, 2011. - 198 с.

50. Проскурин В. Г. Защиты в операционных системах / В. Г. Проскурин, С. В. Крутов, И. В. Мацкевич. - М.: Радио и связь, 2000.

51. Проскурин В.Г. Программно-аппаратные средства обеспечения информационной безопасности. Защита в операционных системах: Учебник для вузов / В. Г. Проскурин, С. В. Крутов, И. В. Мацкевич. - М.: Радио и связь, 2000. - 166 с.

52. Путеводитель по различным видам Honeypots. // Администрирование -сообщество профессиональных администраторов [Электронный ресурс]. Режим доступа: http://www.admingroup.ru/?p=32, свободный (21.10.2011).

53. Романец Ю. В. Защита информации в компьютерных системах и сетях. / Ю. В. Романец, П. А. Тимофеев, В. Ф. Шаньгин. - М.: Радио и связь, 2001. -366 с.

54. Руссинович М. Внутреннее устройство Microsoft Windows / M. Руссинович, Д. Соломон. - Санкт-Петербург.: Питер, 2013. - 800 с.

55. С какой частотой загружаются обновления антивирусных баз при выборе опции «Автоматически» в свойствах задачи обновления? [Электронный ресурс]. Режим доступа: http://support.kaspersky.ru/8595, свободный (21.11.2012).

56. Сердюк В. А. Организация и технологии защиты информации / В. А. Сердюк. - М.: Издательский дом Государственного университета - Высшей школы экономики, 2011.-571 с.

57.Соломон Д. Внутреннее устройство Windows 2000 / Д. Соломон, М. Руссинович. - Санкт-Петербург: Питер, 2004. - 719 с.

58.Средство удаления вредоносных программ [Электронный ресурс]. Режим доступа: http://support.microsoft.com/kb/890830/ru, свободный (22.11.2011).

59. Станек Уильям P. Windows 7: справочник администратора. / Уильям Р. Станек. - М.: Русская Редакция, 2010. - 692 с.

60. Таранцев А. А. Инженерные методы теории массового обслуживания / А. А. Таранцев. - Санкт-Петербург: Наука, 2007. - 164 с.

61. Тарасюк М. В. Защищенные информационные технологии / М. В. Тарасюк. - М.: Солон-пресс, 2004. - 191 с.

62. Татт У. Теория графов / У. Татт, пер. с англ. Г. П. Гаврилова. - М. Мир, 1988.-424 с.

63. Теоретические основы компьютерной безопасности / П. Н. Девянин, О. О. Михальский, Д. И. Правиков, А. Ю. Щербаков. - М.: Радио и связь, 2000. -192 с.

64. Тихоненко О. М. Модели массового обслуживания в информационных системах: учебное пособие для ВУЗов / О. М. Тихоненко. - Минск: Технопринт, 2003. - 327 с.

65. Топольский Д. В. Компьютерные вирусы: учебное пособие / Д. В. Топольский, И. Г. Топольская. - Челябинск: Изд-во ЮУрГУ, 2008. - 25 с.

66. Трубачев А. П. Оценка безопасности информационных технологий / А. П. Трубачев и др. под. общ. ред. Галатенко В. А. - М.: СИП РИА, 2001. - 356 с.

67. Уилсон Р. Дж. Введение в теорию графов / Р. Уилсон; пер. с англ. И. Г. Никитиной; под ред. Г. П. Гаврилова. - М.: «Мир», 1977. - 207 с.

68. Файтс Ф. Компьютерный вирус: проблемы и прогноз / Ф. Файтс, П. Джонстон, М. Кратц. - М.: мир, 1993. - 176 с.

69. Харари Ф. Теория графов / Фрэнк Херари; пер. с англ. И предисл. В.П, Козырева; под. ред. Г.П. Гаврилова. - 3-е изд., стер. - М.: УРСС, 2006. - 290 с.

70. Хорев П. Б. Методы и средства защиты информации в компьютерных системах / П. Б. Хорев. - М.: Academia, 2005. - 255 с.

71.Чекмарев А. Н. Microsoft Windows 7: справочник администратора. / А. Чекмарев. - Санкт-Петербург: БХВ-Петербург, 2010.- 857 с.

72. Что такое брандмауэр? [Электронный ресурс]. Режим доступа: http://windows.microsoft.com/ru-ru/windows/what-is-firewall#lTC=windows-7, свободный (22.11.2011 ).

73. Что такое контроль учетных записей? [Электронный ресурс]. Режим доступа: http://windows.microsoft.com/ru-ru/windows/what-is-user-account-control#lTC=windows-7, свободный (22.11.2011).

74. Чугунков В. Масштабное тестирование быстродействия и эффективности антивирусов (март 2013) [Электронный ресурс]. Режим доступа: http://www.compbegin.ru/articles/view/_94, свободный ( 10.04.2013).

75. Шаньгин В. Ф. Защита информации в компьютерных системах и сетях. / В. Ф. Шаньгин. - М.: ДМК Пресс, 2012. - 576 с.

76. Шаньгин В. Ф. Защита компьютерной информации. Эффективные методы и средства. / В. Ф. Шаньгин. - М.: ДМК Пресс, 2010. - 530 с.

77. Шевченко А. Технологии обнаружения вредоносного кода. Эволюция. [Электронный ресурс]. Режим доступа: http://www.kaspersky.ru/about/news/virus/2007/Laboratoriya_Kasperskogo_soob schaet_o_publikacii_analiticheskoi_stati_Tehnologii_obnarujeniya_vredonosnog o_koda_Evolyuciya, свободный (22.11.2011).

78. Шибаева Т.А. Анализ методов защиты от вредоносных программ / Т.А. Шибаева (Маркина) // Сборник тезисов докладов VIII Всероссийской межвузовской конференции молодых ученых. - 2011. - Выпуск 1. - 175-176 с.

79. Шибаева Т.А. Метод защиты от внедрения и запуска вредоносных программ / Т.А. Шибаева (Маркина) // Сборник тезисов докладов VII Всероссийской межвузовской конференции молодых ученых. - 2010. -Выпуск 1. - 35-36 с.

80. Шибаева Т.А. Метод защиты от несанкционированного внедрения и запуска вредоносных программ / Т.А. Шибаева (Маркина) // Сборник докладов XXXIX Недели науки Санкт-Петербург ГПУ. - 2010. - Часть XVIII. - 5-6 с.

81. Шибаева Т.А. Метод защиты программного обеспечения от вредоносных программ / Т. А. Шибаева (Маркина) // Сборник трудов молодых ученых и сотрудников кафедры ВТ. - 2010. - Выпуск 1. - 83-86 с.

82. Шибаева Т. А. Скриптовые вредоносные программы: способы внедрения и защита от них / Т. А. Шибаева (Маркина) // Сборник трудов молодых ученых и сотрудников кафедры ВТ. - 2012. - Выпуск 3. - 78-80 с.

83.Шибаева Т. А. Способы проникновения вредоносных программ / Т. А. Шибаева (Маркина) // Межвузовский сборник трудов II Всероссийской научно-технической конференции ИКВО НИУ ИТМО. - 2011. - 124-128 с.

84.Шибаева Т. А. Защита от внедрения и запуска вредоносных программ / Т. А. Шибаева (Маркина), А. Ю. Щеглов, А. А. Оголюк // Вопросы защиты информации. Научно-практический журнал. - 2011. - Выпуск 2 (93). - 2635 с.

85. Щеглов А. Ю. Защита компьютерной информации от несанкционированного доступа / А. Ю. Щеглов. - Санкт-Петербург: Наука и техника, 2004. - 384 с.

86. Щеглов К. А. Эксплуатационные характеристики риска нарушений безопасности информационной системы / К. А. Щеглов, А. Ю. Щеглов //

Научно-технический вестник информационных технологий, механики и оптики. - 2014. - Выпуск 1(89). - 129-139 с.

87. Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности / А. Ю. Щербаков. - М.: Издатель Молгачева С. В., 2001. -352 с.

88. 2013 DATA BREACH INVESTIGATIONS REPORT Verizon [Электронный ресурс]. Режим доступа: http://www.verizonenteфrise.com/DBIR/2013/, свободный (21.01.2014).

89. AVLab: Тест антивирусов на быстродействие (2013) [Электронный ресурс]. Режим доступа: http://www.comss.ru/page.php?id=1693, свободный (18.12.2013).

90. Cisco 2014 Annual Security Report [Электронный ресурс]. Режим доступа: https://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2014_ASR.pdf, свободный (21.01.2014).

91.Kaspersky security bulletin 2013 [Электронный ресурс]. Режим доступа:: http://media.kaspersky.com/pdf/KSB_2013_RU.pdf, свободный (21.01.2014).

92. Harrison М. Protection in operating systems / M. Harrison, W. Ruzzo, J. Ullman. - Communication of ACM, 1976.

136