На главную страницу
English version
 
Егорин Антон Петрович

Автореферат магистерской работы
 

«ИССЛЕДОВАНИЕ И РАЗРАБОТКА ИНДИВИДУАЛЬНОЙ СИСТЕМЫ ЗАЩИТЫ ОТ ВРЕДОНОСНОГО КОДА»

Методы детектирования вредоносного кода

Рис.1. Методы детектирования вредоносного кода.

 

Актуальность работы
Ежегодно промышленные и финансовые предприятия подвергаются серьезным угрозам в связи с постоянными атаками компьютерных вирусов - самого крупного класса дестабилизирующих программных воздействий. Атаки приводят к прерыванию контроля, как над производственными, так и над программными процессами с возможными катастрофическими последствиями. Это является риском для человеческих жизней и окружающей среды. Число вирусных атак резко возрастает по мере того, как все больше связываются системы управления с внутренними компьютерными сетями и глобальной сетью Интернет.
Помимо компьютерных вирусов к дестабилизирующим программным воздействиям относятся и другие виды вредоносных программ: троянские программы, программы-шпионы, программные закладки и т.д., а также различного рода ошибки и уязвимости в программном обеспечении. Среди компьютерных вирусов необходимо выделить самый крупный класс – исполняемые вирусы, заражающие программные объекты вычислительных систем. Представители данного класса являются наиболее сложными, часто в них используются новые вирусные технологии. Наибольшее распространение получили платформы фирмы Intel, использующие операционные системы семейства Windows. Поэтому необходимо выделить класс Windows вирусов, представители которого в своей работе используют только стандартный программный интерфейс операционных систем Windows под названием Windows API, что позволяет им функционировать в любой операционной системы семейства Windows.
Существующие средства борьбы с вирусами - современные антивирусные системы имеют ряд недостатков:

  1. Самый серьезный - это малый процент распознавания вирусов,   которые не были исследованы специалистами вирусологами антивирусной компании - разработчика антивирусного средства.
  2. Низкая скорость сканирования зараженных объектов.
  3. Определенная частота ошибок.
  4. Замедление работы системы в целом в условиях контроля всех событий.

5. Постоянно растущая база сигнатур вредоносного кода.
Исследование программного объекта, зараженного вирусом, выполняется с помощью статического и динамического методов анализа программных реализаций. Статический метод заключается в восстановлении алгоритма работы программы на основе анализа листинга выдаваемого дизассемблером, программой переводящей машинные коды в команды Ассемблера. При динамическом методе используется программа отладчик, которая позволяет просматривать и анализировать динамику выполнения программы. После исследования вируса, его признаки добавляют в базу данных антивируса, которую необходимо периодически обновлять. Таким образом, новый вирус может беспрепятственно работать до выхода обновления. Недостатки антивирусных средств связаны с отсутствием системных исследований вирусов и огромным разрывом между теорией и практикой компьютерной вирусологии. Поэтому актуальным является системный анализ компьютерных вирусов, моделирование их и создание нового метода их распознавания.

Целью диссертационной работы является системный анализ компьютерных вирусов как самого крупного класса дестабилизирующих программных воздействий, анализ их влияния на программные комплексы разработка метода распознавания компьютерных вирусов.

Основные задачи
Для достижения поставленной цели необходимо решение следующих задач:

  1. Анализ влияния компьютерных вирусов на программные комплексы разных масштабов.
  2. Разработка алгоритма исследования компьютерного вируса и проведение экспериментального исследования компьютерных вирусов.
  3. Системный анализ вирусов на основе проведенного экспериментального исследования, декомпозиция, выявление подсистем вирусов, методов их работы и взаимодействия с программной средой.
  4. Анализ методов распознавания компьютерных вирусов.
  5. Построение системной модели состава вируса и функциональной классификации компьютерных вирусов. Разработка требований к модели поведения вируса и анализ существующих моделей поведения на соответствие данным требованиям.
  6. Разработка модели программной среды и математического аппарата для описания программных объектов и их поведения.
  7. Построение моделей поведения абстрактного компьютерного вируса, основных классов компьютерных вирусов и их подсистем.
  8. Разработка архитектуры, алгоритмов работы и программной реализации индивидуальной системы распознавания вирусов, ее тестирование.
  9. Разработка методики системного анализа дестабилизирующих программных воздействий.

Методы исследования базируются на комплексном применении методов системного анализа, теории низкоуровневого программирования, теории алгоритмов, методов анализа программных реализаций.

 Научная новизна и значимость заключается в следующих полученных результатах:

  1. Решены задачи системного анализа компьютерных вирусов как самого крупного класса дестабилизирующих программных воздействий и их влияния на вычислительно-управляющие комплексы промышленных предприятий, на основе представления вируса как системы, что позволило построить обобщенную модель состава данной системы, структурные модели и функциональную классификацию.
  2. На основе анализа существующих моделей компьютерных вирусов построены модели программных систем со встроенной индивидуальной защитой.
  3. Модели поведения различных классов вирусов, которые построены на базе введенных моделей программ, файлов, операционных систем, сервисных процедур, что позволяет моделировать подсистемы вирусов и идентифицировать представителей различных классов вирусов.
  4. Метод распознавания вирусов и алгоритмы работы программной системы распознавания, основанные на созданных моделях поведения вирусов и том, что индивидуально разработанная защита позволяет определять вид и степень поврежденности компонент системы в целом и, следовательно, распознавать штампы вирусов, что позволило создать систему распознавания вирусов как существующих на данный момент так и модифицированных их копий.
  5. Методика системного анализа дестабилизирующих программных воздействий, позволяющая проводить системные исследования вирусов и других видов вредоносных программ, а также различного рода ошибок и уязвимостей в программном обеспечении.

Практическая полезность

  1. Разработанный метод распознавания компьютерных вирусов и модели поведения Windows вирусов и их подсистем лежат в основе интеллектуальной системы распознавания Windows вирусов.
  2. Внедрение индивидуальной системы распознавания Windows вирусов позволит сократить убытки от воздействия компьютерных вирусов на программные комплексы различных масштабов.
  3. На базе разработанных моделей программных систем, моделей программных объектов и моделей поведения вирусов возможно детальное моделирование процесса заражения вирусом и моделирование процесса лечения вируса с помощью инвертирования модели заражения, а также разработка методов лечения на основе данных моделей.
  4. На основе разработанных моделей программных систем возможно моделирование других классов дестабилизирующих программных воздействий, в том числе ошибок и уязвимостей, и разработка методов и систем для их распознавания, лечения или коррекции.

 Реализация результатов работы
Разработанная индивидуальная система распознавания Windows вирусов внедрена в тестируемый программный продукт. Полученные научные результаты могут быть использованы в учебном процессе на кафедре «Электронные вычислительные системы» Донецкого национального технического университета при подготовке специалистов по специальности «Защита информации и кодирование», а также «Системное программирование» и «Компьютерные системы» в курсе «Защита информации».

Апробация работы
Основные результаты работы докладывались и обсуждались на следующих конференциях:

    1. Международная научно-техническая конференция студентов и аспирантов "Компьютерный экология и менеджмент" (КЭМ) (Донецк, весна 2007).
    2. Международная научная студенческая конференция с участием аспирантов " КЭМ " (Донецк, зима 2007).
    3. Всеукраинская научно-техническая конференция " КЭМ " (Донецк, весна 2008).

Публикации
По теме диссертации опубликовано 2 работы в сборниках конференций «КЭМ».

Структура и объем работы
Диссертация будет состоять из введения, 4 глав, заключения и 1 приложения.

Основные научные положения:

  • Методика системного анализа дестабилизирующих программных воздействий.
  • Обобщенная системная модель состава вируса.
  • Функциональная классификация исполняемых вирусов.
  • Модели программных систем – программный продукт с индивидуальной защитой к нему и комплекс моделей программных объектов на их основе.
  • Модели поведения: абстрактного компьютерного вируса, основных видов файловых вирусов, Windows вирусов и их подсистем.
  • Метод распознавания компьютерных вирусов.
  • Алгоритмы работы системы распознавания Windows вирусов.

Литература
[1] Подловченко Р.И. Иерархия моделей программ // Программирование,1981, с. 3-14.
[2] Подловченко Р.И. Полугрупповые модели программ // Программирование, с. 3-13.
[3] Подловченко Р.И.. Об одном массовом решении проблемы
эквивалентных преобразований схем программ // Программирование, 2000, N 1, с. 66-77; 2000, N 2, с. 3-11.
[4] Подловченко Р.И., Захаров В.А., Захарьящев И.М., Русаков Д.М., Щербина В.С. О возможности применения быстрых алгоритмов проверки эквивалентности программ для обнаружения вирусов // Труды второй Всероссийской научной конференции "Методы и средства обработки информации", 2005, с.414-421.
[5] Интернет ресурсы, посвященные защиты от вредоносного кода (лаборатория Касперского, Symantec Сorp и т.д.).
[6] Защита компьютерной информации от несанкционированного доступа - А.Ю. Щеглов. - Санкт-Петербург 2004г. 333с.
[7] Оголюк А.А., Щеглов А.Ю. Технологии построения системы защиты сложных информационных систем//Экономика и производство. - №3. - 2001.
[8] ZDNet UK. New page. 9 May 2000. ZDNet UK. 9 May 2000
[9] .
[10]Chenxi Wang, John Knight, and M. Elder. "On Computer Viral Infection
[11]Effect of Immunization." Technical Report UVA-CS-99-32, Department of Computer Science, University of Virginia, 1999.
[12]Jake Ferry. "A Study and Evaluation of Virus Protection Software Marketed to Average Computer Users." Dissertation ES200006, Department of Computer Science, University of Virginia, 2000.
[13]David Moore, Geoffrey Voelker, and Stefan Savage. "Infe rring Internet Denial-of- Serve Activity." Proceedings of the 10th USENIX Security Symposium, August 2001.
[14]Brian Utt. "Detection and Identification of Intruders in Network Systems." Dissertation CS990033, Department of Computer Science, University of Computer Science, 1999.
[15]Jack Brock. " "I Love You" Computer Virus Highlights Need for Improved Alert and Coordination Capabilities." In Proceeding of Critical Infrastructure Protection '00 (May 18), GAO.
[16]Eugene Kaspersky. "Viruses and the Internet- Whatever Next?" Virus Bulletin, p14-17, February 1999.
[17]Материалы Международной конференции "Информатика и компьютерные технологии" ДонНТУ (11.12.2007.). Тема доклада: "Задачи проверки эквивалентности программ для обнаружения вирусов" Автор доклада - Егорин А.П.
[18]Материалы конференции - "Информатика и компьютерные технологии" (15.06.2007) ДонНТУ по теме: "Обзор методов детектирования вредоносных программ и разработка комплексных алгоритмов противодействия обфускационным (запутывающим) преобразованиям" Автор работы - Егорин А.П.
[19]Материалы конференции - "Компьютерный мониторинг и информационные технологии" (17.06. 2008) в ДонНТУ. Автор работы - Егорин А.П.