- •Обнаружение вторжений на основе анализа фрагментов унитарного кода
- •1. Методы обнаружения вредоносных фрагментов унитарного кода в телекоммуникационных системах
- •1.1.1. Логическое моделирование цифровых схем с помощью эвм
- •1.1.2. Моделирование неисправностей цифровых схем
- •1.1.3. Моделирование процесса тестовой диагностики цифровых схем
- •1.1.5. Одноканальный сигнатурный анализатор
- •1.1.6. Методы, использующие сигнатуры вторжений
- •1.2. Методы и средства структурного обнаружения потенциально опасных фрагментов унитарного кода
- •1.2.1. Метод неинтеллектуального дизассемблирования
- •1.2.2. Метод интеллектуального дизассемблирования от точки входа
- •1.2.3. Метод потокового анализа
- •1.2.4. Метод разметки (предиката)
- •1.2.5. Дизассемблер автоматизированного анализа
- •1.3. Методы и средства системного обнаружения потенциально опасных фрагментов унитарного кода
- •1.3.1. Метод статистического анализа
- •1.3.2. Метод эвристического анализа
- •1.4. Этапы проведения анализа потоков унитарного кода
- •2. Программно-аппаратный комплекс обнаружения вредоносных фрагментов унитарного кода в телекоммуникационных системах
- •2.1. Методика оценки потенциальной опасности фрагментов унитарного кода
- •2.2. Алгоритм оценки потенциальной опасности фрагментов унитарного кода
- •2.3. Структурно-функциональная схема программно-аппаратного комплекса анализа фрагментов унитарного кода
- •2.4. Риск-анализ использования технологий обнаружения информационных воздействий
- •394026 Воронеж, Московский просп., 14
1.3.2. Метод эвристического анализа
Когда количество вирусов превысило несколько сотен, антивирусные эксперты задумались над идеей детектирования вредоносных программ, о существовании которых антивирусная программа еще не знает (нет соответствующих сигнатур). В результате были созданы так называемые эвристические анализаторы. Эвристическим анализатором называется набор подпрограмм, которые анализируют код исполняемых файлов, макросов, скриптов, памяти или загрузочных секторов для обнаружения в нем разных типов вредоносных компьютерных программ.
Существуют два принципа работы анализатора:
Статический метод. Поиск общих коротких сигнатур, которые присутствуют в большинстве вирусов (так называемые "подозрительные" команды). Например, большое количество вирусов производит поиск вирусов по маске *.EXE, открывает найденный файл, производит запись в открытый файл. Задача эвристик в этом случае - найти сигнатуры, отражающие эти действия. Затем происходит анализ найденных сигнатур, и, если найдено некоторое количество необходимых и достаточных "подозрительных команд", то принимается решение о том, что файл инфицирован. Большой плюс этого метода - простота реализации и хорошая скорость работы, но при этом уровень обнаружения новых вредоносных программ довольно низок.
Динамический метод. Этот метод появился одновременно с внедрением в антивирусные программы эмуляции команд процессора (подробнее эмулятор описан ниже). Суть метода состоит в эмуляции исполнения программы и протоколировании всех «подозрительных» действий программы. На основе этого протокола принимается решение о возможном заражении программы вирусом. В отличие от статического метода, динамический метод более требовательный к ресурсам компьютера, однако и уровень обнаружения у динамического метода значительно выше. Что предполагает более эффективное обнаружение вторжений в компьютерные системы.
На основе вышеизложенного определяются преимущества статистических методов:
использование для обнаружения атак классических статистических методов с хорошо развитой теорией;
множество контролируемых переменных не требует большого объема памяти при хранении;
статистические методы могут использовать время как параметр при анализе;
легко обнаруживаемо простое отклонение в поведении пользователей;
К недостаткам статистических методов относится:
трудно сформулировать нормальное понятие нормального поведения для многих пользователей системы;
трудно сформулировать критерии нормального поведения для многих пользователей системы;
один и тот же пользователь может вести себя различно (входить в систему в разное время, выполнять широкий спектр различных работ и т.д.);
если нарушитель знает об использовании статистических методов обнаружения нарушителя, он может выбрать атаку, не демонстрирующую статистических отклонений;
порядок событий не влияет на анализ;
1.4. Этапы проведения анализа потоков унитарного кода
Предлагаются выделить 5 этапов проведения анализа потока унитарного кода:
Этап анализа входного потока. Чтобы понять механизм функционирования данного этапа необходимо рассмотреть принцип работы межсетевого экрана.
Межсетевой экран - это набор связанных между собой программ, располагающихся на компьютере, который размещает ресурсы владельцев и защищает их от пользователей из внешней сети. Владелец компьютера, имеющего выход в Internet, устанавливает межсетевой экран, чтобы предотвратить получение посторонними конфиденциальных данных, хранящихся на защищаемом компьютере, а также для контроля за внешними ресурсами, к которым имеют доступ другие пользователи данного компьютера.
В основном межсетевые экраны работают с программами маршрутизации и фильтрами всех сетевых пакетов, чтобы определить, можно ли пропустить данный информационный пакет и если можно, то отправить его точно по назначению к компьютерной службе. Для того чтобы межсетевой экран мог сделать это, ему необходимо определить набор правил фильтрации. Главная цель систем межсетевого экранирования - это контролирование удаленного доступа внутрь или изнутри защищаемого компьютера.
Основными устройствами удаленного доступа являются модемы. Управлять безопасностью подключений с помощью модемов будет намного легче, если сосредоточиться на проверке и оценке всех соединений, а затем осуществлять допустимые соединения с ответственными компьютерными службами (TELNET, FTP). Пользователь через модем соединяется с модемным пулом провайдера, чтобы затем с его помощью осуществить необходимые соединения (например, с помощью протокола TELNET) с другими системами в мировой сети. Некоторые межсетевые экраны содержат средства обеспечения безопасности и могут ограничивать модемные соединения с некоторыми системами или потребовать от пользователей применения средств аутентификации.
Межсетевой экран разрешает работать только тем службам, которым было разрешено работать на защищаемом компьютере. В результате компьютер остается незащищенным перед небольшим количеством предварительно разрешенных служб, тогда как все остальные службы запрещены. Firewall также обладает способностью контролировать вид доступа к защищаемому компьютеру. Например, некоторые компьютерные службы могут быть объявлены достижимыми из глобальной сети Internet, в то время как другие могут быть сделаны недоступными. Межсетевой экран может предотвращать доступ ко всем службам, исключая специальные компьютерные сервисы, выполняющие функции доставки почтовых сообщений (SMTP) и функции информационного характера (TELNET, FTP). Для выполнения разграничения доступных служб должна быть описана политика доступа, которую межсетевые экраны проводят с большой эффективностью.
Этап периодической проверки. На данном этапе производится анализ сигнатурного, структурного и системного методов обнаружения потенциальной опасности унитарного кода.
Этап проверки завершения цикла работы. Данный этап заключается в проведении проверки остаточности в памяти или резиденте последовательностей унитарно, когда фрагментов вредоносного кода.
Этап ликвидации воздействия информационного воздействия. Данный этап заключается в восстановлении вычислительного процесса, программы, или всей автоматизированной машины в целом.
Этап формирования новой сигнатуры, ее обобщения и внесения в базу данных.