- •1. Цель работы
- •2. Задачи работы
- •3. Задание по работе
- •4. Рекомендуемая классификация вредоносного программного обеспечения
- •Вредоносные программы
- •Вирусы и черви
- •Троянские программы
- •Подозрительные упаковщики
- •Вредоносные утилиты
- •Проникновение
- •Доставка рекламы
- •Сбор данных
- •Правила именования детектируемых объектов
- •Альтернативные классификации детектируемых объектов
- •5. Рекомендуемая методология риск-анализа
- •5.1. Расчет параметров рисков для компонентов систем
- •5.2. Алгоритмическое обеспечение риск-анализа систем в диапазоне ущербов
- •5.3. Расчет рисков распределенных систем на основе параметров рисков их компонентов
- •5.4. Методология оценки эффективности систем в условиях атак
- •5.5. Управление рисками систем
- •6. Рекомендуемая методология моделирования информационно-кибернетических атак
- •6.1. Обобщенные модели информационно-кибернетических деструктивных операций
- •6.2. Топологические модели сетевых атак
- •6.2.1. Классификация сетевых угроз для компьютерных систем
- •6.2.2. Топологические модели атак на основе подбора имени и пароля посредством перебора
- •6.2.3. Топологические модели атак на основе сканирования портов
- •6.2.4. Топологические модели атак на основе анализа сетевого трафика
- •6.2.5. Топологические модели атак на основе внедрения ложного доверенного объекта
- •6.2.6. Топологические модели атак на основе отказа в обслуживании
- •6.3. Риск-модели атак на компьютерные системы
- •7. Рекомендуемая методология
- •1. Длина окна и длина ряда.
- •2. Длина окна и слабая разделимость.
- •Заключение
- •Библиографический список
- •Интернет-источники
ФГБОУ ВПО «Воронежский государственный технический университет» А. Г. Остапенко, Д.Г. Плотников, С.В. Машин. МЕТОДОЛОГИЯ РИСК-АНАЛИЗА И МОДЕЛИРОВАНИЯ КИБЕРНЕТИЧЕСКИХ СИСТЕМ, АТАКУЕМЫХ ВРЕДОНОСНЫМ ПРОГРАММНЫМ ОБЕСПЕЧЕНИЕМ Утверждено Редакционно-издательским советом Университета в качестве учебного пособия Воронеж 2012 УДК Остапенко А.Г. Методология риск-анализа и моделирования кибернетических систем, атакуемых вредоносным программным обеспечением. Учеб. пособие / А. Г. Остапенко, Д.Г. Плотников, С.В. Машин. Воронеж : ФГБОУ ВПО «Воронежский государственный технический университет», 2012. 190 с. Издание соответствует требованиям Государственного образовательного стандарта высшего профессионального образования по направлению 090301 «Компьютерная безопасность», 090302 «Информационная безопасность телекоммуникационных систем», 090303 «Информационная безопасность автоматизированных систем» очной формы обучения а так же -для реализации курсового проектирования по дисциплинам: «Компьютерные преступления», «Информационные операции и атаки в социотехнических системах», «Социотехнические основы информационной безопасности» вышеуказанных специальностей. Табл. 11. Ил.57 Библиогр.:61 назв. Рецензент канд. техн. наук, доц. Г.А. Остапенко Ответственный за выпуск зав. кафедрой д-р техн. наук, проф. А.Г. Остапенко © ФГБОУ ВПО «Воронежский государственный технический университет» 2012 Оглавление
1. ЦЕЛЬ РАБОТЫ 7
2. ЗАДАЧИ РАБОТЫ 7
3. ЗАДАНИЕ ПО РАБОТЕ 7
4. РЕКОМЕНДУЕМАЯ КЛАССИФИКАЦИЯ ВРЕДОНОСНОГО ПРОГРАММНОГО 8
ОБЕСПЕЧЕНИЯ 8
Вредоносные программы 9
Вирусы и черви 9
Троянские программы 15
Подозрительные упаковщики 24
Вредоносные утилиты 25
Adware, Pornware и Riskware 27
Adware 28
Проникновение 28
Доставка рекламы 29
Сбор данных 30
Pornware 30
Riskware 31
Правила именования детектируемых объектов 39
Behavior.Platform.Name[.Variant] 39
Альтернативные классификации детектируемых объектов 39
Crimeware 40
Spyware 41
Ransomware 42
Bot-clients 43
5. РЕКОМЕНДУЕМАЯ МЕТОДОЛОГИЯ 43
РИСК-АНАЛИЗА 43
5.1. Расчет параметров рисков для компонентов систем 43
5.2. Алгоритмическое обеспечение риск-анализа систем в диапазоне ущербов 72
5.3. Расчет рисков распределенных систем на основе параметров рисков их компонентов 77
89
5.4. Методология оценки эффективности систем в условиях атак 89
5.5. Управление рисками систем 104
6. РЕКОМЕНДУЕМАЯ МЕТОДОЛОГИЯ 112
МОДЕЛИРОВАНИЯ ИНФОРМАЦИОННО-КИБЕРНЕТИЧЕСКИХ АТАК 112
6.1. Обобщенные модели информационно-кибернетических деструктивных операций 112
6.2. Топологические модели сетевых атак 117
6.2.1. Классификация сетевых угроз для 117
компьютерных систем 117
6.2.2. Топологические модели атак на основе подбора имени и пароля посредством перебора 123
6.2.3. Топологические модели атак на основе сканирования портов 127
6.2.4. Топологические модели атак на основе анализа сетевого трафика 130
6.2.5. Топологические модели атак на основе внедрения ложного доверенного объекта 133
6.2.6. Топологические модели атак на основе отказа в обслуживании 151
6.3. Риск-модели атак на компьютерные системы 153
7. РЕКОМЕНДУЕМАЯ МЕТОДОЛОГИЯ 163
ПРОГНОЗИРОВАНИЯ РИСКОВ 163
ЗАКЛЮЧЕНИЕ 169
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 170
ПРИЛОЖЕНИЕ 1. 183
ПЕРЕЧЕНЬ 183
ИНДИВИДУАЛЬНЫХ ЗАДАНИЙ 183
1. Цель работы
Изучение возможностей использования функционала вредоносных программ на основе оценки возможных ущербов, анализа уязвимостей и средств противодействия, а так же - организация эффективной зашиты систем от вредоносного обеспечения определенного типа и прогнозирование рисков.
2. Задачи работы
В работе необходимо:
изучить рекомендуемый теоретический материал;
осуществить анализ уязвимостей для рассматриваемой системы и моделирование деструктивных воздействий;
произвести оценку величины и частоты возможных ущербов от реализации рассматриваемых деструктивных действий;
предложить средства эффективного противодействия рассматриваемому классу вредоносного программного обеспечения;
оценить эффективность применяемых средств защиты на основе прогнозирования рисков ущербности и шансов полезности.
3. Задание по работе
Работа выполняется по индивидуальным заданиям, включающим конкретные указания относительно вида (типа) вредоносного обеспечения, класса подвергающегося атакам систем (или параметры конкретной системы), разновидностей используемых средств защиты, а также - оцениваемых параметров систем.
4. Рекомендуемая классификация вредоносного программного обеспечения
Потребность классификации подобного обеспечения возникла одновременно с появлением первой антивирусной программы. Несмотря на то, что вирусов первоначально было мало, их всё равно необходимо было как-то отличать друг от друга по названиям.
Обычно использовали самую простую классификацию, состоящую из уникального имени вируса и размера детектируемого файла. Однако из-за того, что один и тот же вирус в разных антивирусных программах мог именоваться по-разному, началась путаница.
Попытки упорядочить процесс классификации были предприняты еще в начале 90-х годов прошлого века, в рамках альянса антивирусных специалистов CARO (Computer AntiVirus Researcher's Organization). Альянсом был создан документ «CARO malware naming scheme», который на какой-то период стал стандартом для индустрии.
Стремительное развитие вредоносных программ, появление новых платформ и рост числа антивирусных компаний привели к тому, что эта схема фактически перестала использоваться. Ещё более важной причиной отказа от неё стали существенные отличия в технологиях детектирования каждой антивирусной компании и, как следствие, невозможность унификации результатов проверки разными антивирусными программами.
Продолжаются попытки выработать новую общую классификацию детектируемых антивирусными программами объектов, однако они, по большей части, остаются малоуспешными. Наиболее значительным проектом подобного рода было создание организации CME (Common Malware Enumeration), которая присваивает одинаковым детектируемым объектам единый уникальный идентификатор.
Предложенная в «Лаборатории Касперского» система классификации детектируемых объектов [1] является одной из наиболее широко используемой в индустрии, и послужила основой для классификаций некоторых других антивирусных компаний. В настоящее время классификация «Лаборатории Касперского» включает в себя весь объём детектируемых Антивирусом Касперского вредоносных или потенциально нежелательных объектов, и основана на разделении объектов по типу совершаемых ими на компьютере пользователей действий.
Типы детектируемых объектов