Диссертация (Обеспечение информационной безопасности киберфизических систем на основе принципа гомеостаза), страница 9

Для этого предлагается отслеживать все попыткимодификации важных структур уровня ядра и параметры вызовов функций. Такоерешение имеет достаточно узкую направленность и не позволяет обнаруживатьвредоносные объекты, функционирующие на уровне пользователя, кроме того,анализ лишь некоторого подмножества потенциально опасных операций непозволяет обеспечить комплексную защиту, которая необходима в сложныхинформационных системах.Исследования в области обнаружения ВПО на основе использованияшаблоновосуществляютсяМичиганскиммногимиуниверситетом,крупнейшимиКолумбийскимуниверситетамиуниверситетом,мира:Венским43техническимуниверситетом,университетомДикина(Австралия)идр.Значительный интерес представляют публикации [58-60].В публикации [58] описан метод динамического исследования поведенияпрограммы путем извлечения информации об используемых функциях и ихсравнению с имеющимися шаблонами.

Авторами работы выделены шестькатегорий функций, которые считаются потенциально опасными. Данное решениеможет быть использовано лишь для анализа ВПО, разработанного дляоперационной системы Windows. Кроме того, такое решение не будет эффективнов случае применения ВПО техник запутывания кода, перехвата функций и непозволяет составить полную информацию о поведении программного объекта.В работе [59] авторы предлагают метод обнаружения вредоносногоповедения с помощью анализа вызовов используемых объектом функций.Проведена классификация API-функций в операционной системе Windows,которая позволяет сделать вывод о поведении объекта на основе сравненияпоследовательности вызовов функций с заранее определенными шаблонами.Данный подход отличается быстродействием, однако сильно зависит от базыданных имеющихся шаблонов, поэтому при обнаружении ВПО нового видаданный метод не может быть применен.В работе [60] авторы предлагают анализировать частоту появленияразличных последовательностей операционных кодов для идентификациивредоносных объектов.

В результате эксперимента показана высокая точностьобнаружения известного вредоносного программного обеспечения, однако, приисследовании новых образцов показатели качества могут снизиться, поэтомуиспользование такого подхода в сложных системах не позволяет обеспечитьвысокий уровень защищенности.Исследования в области обнаружения ВПО на основе энтропииосуществляются в технологическом институт Джорджии, Калифорнии, в научнотехническом университете Китая, в Мельбурнском королевском технологическомуниверситете и др. Наиболее перспективными являются работы [61-63].44В работе [61] предлагается метод для идентификации упакованныхисполняемых файлов с помощью анализа энтропии.

Для защиты от анализаисходного кода вредоносные программы часто используют различные способыупаковки, в результате чего энтропия конечного файла изменяется. Еслиисполняемый файл имеет энтропию выше некоторого установленного пороговогозначения, то можно сделать вывод о том, что он упакован и, следовательно, можетбыть вредоносным. Однако, такой подход может быть обойден путем добавленияизбыточной информации для снижения энтропии и не позволяет проанализироватьповедение вредоносного объекта.В публикации [62] авторами предложен инструмент для обнаруженияупакованных исполняемых файлов, который, помимо энтропийного анализа,используетдополнительныехарактеристики,полученныеврезультатестатического анализа файла. Обнаруженный упакованный файл подвергаетсяраспаковке и сигнатурному анализа с помощью антивирусного программногообеспечения.

Однако, сигнатурный анализ достаточно легко может быть обойденпутем перемешивания кода, добавления избыточных инструкций, обфускациикода. Поэтому сложных информационных системах такой метод не может бытьприменим.В работе [63] предложен подход, позволяющий провести идентификациюалгоритма упаковки исполняемого файла и сделать вывод о его вредоносности.Данный метод не использует известные сигнатуры алгоритмов сжатия, а процесспринятия решения о вредоносности файла происходит на основе одной из четырехпредложенных метрик. Существенным недостатком такого метода является то, чтоон не позволяет получить информацию о поведении объектов, что необходимо,например, в случае ложных срабатываний, а также чувствителен к алгоритмуклассификации.Наиболее перспективными являются подход на основе контроля значенийпараметров объектов и подход на основе контроля поведения объектов сиспользованием графов, в силу того, что каждый из них по отдельностиобеспечивает высокий уровень обнаружения как в отношении известных45вредоносных объектов, так и в отношении ВПО, использующих новые техникизащиты от анализа.

Кроме того, данные подходы предоставляют подробнуюинформацию о поведении и состоянии самого объекта, а также его воздействия наокружающую информационную среду. Максимально эффективным будетсочетание двух этих подходов, однако в настоящее время такие научные методыотсутствуют.Практические исследования в области данной проблемы проводятсякрупнейшими мировыми компаниями в области обнаружения вредоносногопрограммного обеспечения: Kaspersky, Symantec, TrendMicro и др.

Подавляющеебольшинство коммерческих средств обнаружения ВПО использует сочетаниесигнатурного подхода, который выявляет образцы известных вредоносныхпрограмм, и различных эвристик, направленных на обнаружение актуальных,новых угроз.Компания Kaspersky имеет ряд антивирусных решений, выполняющихпоиск вредоносных объектов и мониторинг за состоянием системы. Например,Kaspersky System Watcher занимается отслеживанием событий создания,изменения файлов, а также осуществляет мониторинг работы системных служб,любых изменений, внесенных в системный реестр, и анализ содержимого сетевыхпакетов. Работа данного решения может проводиться в автоматическом режиме,однако такой подход может быть эффективным преимущественно противвредоносных объектов, которые функционируют на уровне пользователя.

Крометого, для обеспечения защиты от новых угроз требуется постоянное обновлениебазы данных сигнатур, однако, как показывают исследования [64], от появлениянового вредоносного объекта до момента его распознавания может пройти дочетырех недель, что неприемлемо для безопасности критически важныхинфраструктур.Компания Symantec использует в своих коммерческих продуктахмногоэтапный анализ, который сочетает в себе несколько подходов, направленныхна исследование поведения объекта и выявления аномалий. Прежде всего,выполняетсяанализсетевыхсоединений,которыйпозволяетвыявить46взаимодействие с командными серверами, использование вредоносных ссылок.Далее проходит проверка с помощью технологии черных списков (Blacklisting), вкоторыхсодержитсяинформацияобизвестныхобразцахвредоносногопрограммного обеспечения, и сигнатурный анализ.

После этого осуществляетсястатический анализ файла для выделения характеристик и составления рейтингадоверия к образцу. На последнем этапе проводится поведенческий анализпрограммы в изолированной среде. Таким образом, предлагаемые коммерческиерешения используют сочетание простых методов, способных выявить вредоносныепрограммы, которые не используют различных техник для защиты от анализасредствами обнаружения угроз. Проводимые антивирусом проверки могут бытьобойдены путем перемешивания и запутывания исходного кода, введения«временных бомб», которые обходят поведенческий анализ и осуществляютактивацию вредоносной нагрузки лишь по наступлению какого-либо события.Кроме того, такие решения не осуществляют контроль значений параметровобъектов, не позволяют отследить воздействия на внешнюю информационнуюсреду и не могут защитить от вредоносных образцов, использующих достаточносложные методы обхода защиты.Следовательно, можно сделать вывод о том, что существующие методыобнаружения ВПО во многом неэффективны для сложных и крупномасштабныхсистем и, как следствие, не будут эффективны для обнаружения ВПО в КФС.1.4.3Исследования, посвященные обеспечению динамической защитыКФСТехнология динамической защиты достаточно сложна в реализации, иприменение данной технологии для сложной и новой предметной области КФСосвещено в научной литературе недостаточно широко.Исследование [65] посвящено сочетанию статической и динамическойзащитыдляреализациикомплекснойустойчивойсистемыобеспечениябезопасности КФС.

В качестве КФС авторы рассматривают системы военныхкораблей, которые, в силу интеграции информационных технологий, становятся47болееуязвимымикдеструктивнымкибер-воздействиям.Технологиядинамической защиты допускает вторжения и деструктивные воздействия на КФС,однако при этом сохраняет устойчивость системы.

В рамках предложенногорешения, динамическая защита включает в себя такие функции, как обнаружениевторжений, а также реагирование на них с использованием предварительногопланирования на основе оценки рисков. Процесс принятия решений ореагировании на деструктивное воздействие или об упреждающей защитебазируется на генетических алгоритмах. Следует отметить, что данный подходможет быть применен для КФС относительно небольшого масштаба, содержащейне слишком большое число разнородных компонентов и не обладающих ярковыраженной целевой функцией. Однако для большой КФС со сложной целевойфункцией, для достижения которой необходимо реализовать множество различныхпроцессов,данныйподходнебудетэффективен,посколькурешениеоптимизационной задачи с использованием генетического алгоритма длякрупномасштабной КФС может потребовать значительных временных затрат, чтонедопустимо в условиях деструктивных воздействий.Авторы источника [66] выделяют такие функции динамической защиты, какобнаружение вторжений и реагирование на них в соответствии с политикойбезопасности, которая меняется в режиме реально времени и представляет собойвариативное число ответных действий и их типов, которые зависят от текущейзагруженности ресурсов системы, пропускной способности и т.д.