Диссертация (1144110), страница 16

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 16)

С помощью этой технологии гипервизор осуществляетсокрытие собственной памяти от ОС, что в дальнейшем контролируетсянепосредственно процессором.Для защиты памяти гипервизора от модификации со стороны аппаратныхустройств, которые обладают доступом к оперативной памяти с помощью DMA(Direct Memory Access), используется технология Intel-VTd или ее аналог AMD-Vi.Обе технологии позволяют настроить контроллер DMA таким образом, что каждоеобращение к оперативной памяти со стороны внешних устройств осуществляетсятолько после преобразования адресов, аналогичного виртуальной памяти.Аналогично технологии EPT, гипервизор настраивает таблицы трансляции такимобразом, что адресное пространство гипервизора исключается из любых DMAтранзакций.Темнеменее,реализациядополнительногомеханизмаконтроляцелостности для гипервизора необходима, в силу того, что реализация технологийIntel-VTd и AMD-Vi может вовлекать недоверенные компоненты системы.Благодаря тому, что гипервизор может использовать дополнительныйуровень контроля за доступом к оперативной памяти, может быть реализованмеханизм защиты собираемых данных от нелегальной модификации.

Этотмеханизм может быть реализован с помощью гипервизора двумя способами:1)сбор всей информации непосредственно в защищенном адресномпространстве гипервизора;2)защита собираемой информации с помощью контроля адресногопространства ядра.83Дляконтроляадресногопространстваядрагипервизордолженконтролировать все операции чтения и записи в адресное пространство ядра, а вслучае размещения всех собираемых данных в адресном пространстве гипервизорадостаточноконтролироватьадресинструкцииVMCALL,которойбудетпользоваться доверенный код в ядре. Способ с VMCALL предпочтительнее за счетболее эффективного использования аппаратных ресурсов.Однако контроль адресного пространства ядра ОС следует использовать вгипервизоре для контроля целостности адресного пространства агента в ядре ОС,обеспечивая постоянную защиту кода агента от нелегитимной модификации.Гипервизор обладает возможностью поддержки так называемой вложеннойвиртуализации, которая обеспечивает контролируемый запуск и работу не толькоядра ОС с приложениями, но и других гипервизоров.

Однако из этой возможностиследует, что доверенный гипервизор должен запускаться первым, до всехостальных гипервизоров. Для современных ОС вполне достаточно запускатьдоверенный гипервизор сразу после завершения работы BIOS, после чегогипервизор запускает ОС в режиме виртуальной машины.Одной из основных функций гипервизора является обнаружение событийсистемных вызовов. Современные ОС используют для системных вызовов одну издвух инструкций в зависимости от битности ядра ОС: SYSCALL – для 64-х битныхсистем и SYSENTER – для 32-х битных систем. Обе инструкции работают тольков пользовательском режиме и выполняют переключение в режим ядра.

Обеинструкции используют регистры MSR для определения адреса в коде ядра ОС, скоторого следует начать исполнение кода обработчика системного вызова:MSR_LSTAR – для инструкции SYSCALL и MSR_SYSENTER_RIP дляинструкции SYSENTER. Благодаря тому, что гипервизор обладает возможностьюперехватывать обращения к MSR, он может поменять адрес кода в ядре ОС,который осуществляет обработку системного вызова, передав управление кодуагента в ядре ОС, таким образом, обеспечив работу по обнаружению ипоследующему анализу событий системных вызовов.Таким образом, гипервизор обеспечивает реализацию следующих функций:84−обнаружения событий ядра;−минимизация объема доверенного кода в системе;−использованиеаппаратныхтехнологийдляповышенияпроизводительности с сохранением необходимого уровня контроля за поведениемОС;−защита данных в адресном пространстве гипервизора от ОС и внешнихустройств;−защита собираемых данных от нарушений безопасности;−обеспечениевозможностиконтролязасобытиямидругихгипервизоров.Все эти функции делают гипервизор ключевым элементом системыбезопасности.2.2.3Предлагаемый метод выявления ВПОКонтроль за событиями уровня гипервизора предполагает миграцию нановый уровень привилегий, к тому же, число таких событий достаточно велико, иих анализ представляется трудоемкой задачей.

Поэтому для обеспечениядоверенной среды выполнения ОС предлагается осуществлять контрольцелостности гипервизора с помощью специального аппаратного модуля, амониторинг за непрерывностью его функционирования – путем внедренияаппаратного сторожевого таймера (Рисунок 7).85УровеньпользователяУровень ядраСбор данныхГипервизорСбор данныхАппаратное обеспечениеКонтроль целостностиРисунок 7 — Расположение компонентов сбора данных и контроля целостностиПолученная на этапе сбора информация используется для определениясобытийных взаимосвязей, в результате чего генерируется граф событийопределеннойпрограммы,характеризующийееповедение.Наосновепостроенного графического представления поведения программы осуществляетсяизвлечение информации, необходимой для принятия решения о том, является липрограмма вредоносной или нет (Рисунок 8).Сбор данныхПостроениесобытийного графаАнализ и принятиерешенияΔВПОРисунок 8 — Схема работы подхода к обеспечению безопасности на основеанализа событий безопасности86Для принятия решения о том, является ли программа вредоносной или нет,необходимо сравнить два графа, характеризующих поведение программы.

Дляэтого предлагается оценивать подобие (различие) графов с использованиемфункции расстояния, которая сопоставляет этим графам вещественное число,показывающее, насколько близки их структуры. Также для определения сходстваили различия двух графов могут использоваться алгоритмы поиска подструктуры,изоморфной заданному графу.Основной сложностью при оценке подобия графов является то, что наданный момент задача определения изоморфизма двух графов не имеетэффективных решений. По этой причине, анализ структуры графов необходимоосуществлять на основе косвенных признаков, позволяющих сделать вывод осходстве графов.Существует большое число подходов к оценке подобия пары графов,основное различие между которыми состоит в выборе расстояния для определениясходства графов. Такая оценка может проводиться как на основе структурныхпризнаков, так и количественных.

Количественные признаки могут выражаться,например, в числе операций редактирования, необходимых для преобразованияодного графа в другой. Существуют три наиболее широко используемые метрикидля решения данной проблемы.Первая метрика для оценки подобия или различия двух графов G1 ,G2использует максимальный общий подграф двух графов [109]:| MCS (G1 ,G2 ) |1−∆1 (G1 ,G2 ) =| G1 | + | G2 | − | MCS (G1 ,G2 )|(6)где MCS (G1 ,G2 ) — максимальный общий подграф графов G1 ,G2 , |G | — числовершин графа G.

Значение знаменателя соотношения представляет собойэквивалент объединения в теории множеств.87Вторая метрика для оценки подобия графов использует максимальныйобщий подграф и минимальный общий надграф [110]:∆ 2 (G1 ,G2 ) =| mcs (G1 ,G2 )|-|MCS (G1 ,G2 )|(7)где mcs (G1 ,G2 ) - минимальный общий надграф графов G1 ,G2 . Очевидно, чтомаксимальный общий подграф и минимальный общий надграф для одинаковыхграфов являются идентичными. В таком случае, значение этого расстояния будетравно 0. По мере увеличения различия между вершинами и связями графов, размермаксимального общего подграфа уменьшается, а размер минимального общегонадграфа увеличивается. В результате чего, значение расстояния возрастает.Третья метрика для оценки подобия двух графов G1 ,G2используетследующую функцию вычисления расстояния [111]:| MCS (G1 ,G2 ) |∆3 (G1 ,G2 ) =1−max{ | G1 |,| G2 | }(8)Значение данного расстояния для изоморфных графов равно 0, а для графов,не имеющих схожей структуры, равно 1.

Анализ графов, имеющих ветвистую исложную структуру, представляется достаточно трудоемкой задачей. Длянахождения MCS (G1 ,G2 ) можно использовать алгоритмы поиска с возвратом,например, алгоритм МакГрегора [112]. Также выделяют приближенные методы,основанные на генетических алгоритмах [113] и алгоритмах комбинаторнойоптимизации [114].Расстояние ∆ 2 может принимать ненормированные значения и, помимоMCS (G1 ,G2 ) , использует mcs (G1 ,G2 ) , что требует дополнительных временныхзатрат по сравнению с метриками ∆1 , ∆3 .

Расстояния ∆1 , ∆3 основанные навычислении максимального общего подграфа двух графов, обладают всемисвойствами метрики и могут принимать значения от 0 до 1. Чем больше размер88максимального общего подграфа, тем больше похожи два графа по своейструктуре. Соответственно, метрики ∆1 , ∆3 характеризуют различие двух графов,то есть, чем ближе значение метрики к 1, тем больше они различаются.Предлагаемый метод выявления современного ВПО, направленного нанарушение ИБ системы управления КФС, включает в себя следующие этапы:1.Обучение метода:1.1 Запуск всех необходимых корректно работающих экземпляровпрограммного обеспечения для обучения.1.2 Построение графов работы программы.1.3 Сохранение полученных графов, характеризующих корректную работупрограмм, в базе данных.2.Запуск программы.3.Мониторинг:3.1 Запуск программных агентов и гипервизора для каждого уровнясистемы.3.2 Сбор данных программными агентами и гипервизором.3.3 Анализ взаимосвязей между полученными событиями.4.Выявление ВПО:4.1 Построение графа работы программы.4.2 Оценка различия графа работы программы с графами, полученным врезультате обучения на этапе 1:4.2.1Вычисление метрик различия графов.

В зависимости от значений,переход либо на шаг 4.2.2, либо на шаг 4.2.3.4.2.2 Графы различны, генерация оповещения об обнаружении ВПО.4.2.3 Графы одинаковы, программа не является вредоносной.Рисунок 9 иллюстрирует схему работы метода выявления современногоВПО.89ПРОГРАММА ДЛЯ ПРОВЕРКИКОРРЕКТНОСТИ ЕЕ РАБОТЫКОРРЕКТНОРАБОТАЮЩАЯПРОГРАММА ДЛЯОБУЧЕНИЯЗАПУСК ПРОГРАММЫДЛЯ АНАЛИЗАЗАПУСК ПРОГРАММЫДЛЯ ОБУЧЕНИЯМОНИТОРИНГСОБЫТИЙПОСТРОЕНИЕ ГРАФАРАБОТЫ ПРОГРАММЫБАЗАДАННЫХГРАФ КОРРЕКТНОЙРАБОТЫ ПРОГРАММЫОЦЕНКА РАЗЛИЧИЯГРАФОВ НА ОСНОВЕМЕТРИКИГРАФ ТЕКУЩЕЙРАБОТЫ ПРОГРАММЫПРИНЯТИЕ РЕШЕНИЯО НАЛИЧИИ/ОТСУТСТВИИНАРУШЕНИЯ ИБНАРУШЕНИЕ ИБ И ЕГОЛОКАЛИЗАЦИЯОТСУТСТВИЕНАРУШЕНИЯ ИБРисунок 9 — Схема работы метода выявления современного ВПО, направленногона нарушение ИБ системы управления КФС2.3 ВыводыВ данном разделе предложены:−метод определения нарушений ИБ КФС, основанный на применениимультифрактального анализа и статистических методов для контроля самоподобияпараметров функционирования системы;−метод выявления современного ВПО, направленного на нарушение ИБсистемы управления КФС.90Предложенный метод определения нарушений ИБ КФС базируется наодновременном мультифрактальном анализе временных рядов, характеризующихпроцессы КФС, и оценке главной компоненты, характеризующей состояние всейсистемы.

Характеристики

Список файлов диссертации