WWW.KNIGI.KONFLIB.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

 
<< HOME
Научная библиотека
CONTACTS

Pages:     | 1 |   ...   | 20 | 21 ||

«МаТерИалы XVII всероссИйской научно-пракТИческой конференцИИ БИТ Г. П. Аверьянов, В. А. Будкин, В. В. Дмитриева ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЕТЕВОГО ...»

-- [ Страница 22 ] --

На данный момент количество интернет-страниц, использующих технологию JavaScript, составляет 75 % [1]. В свою очередь, около 80 % интернет-страниц, использующих JavaScript, содержат в себе различные уязвимости [2].

В антивирусной индустрии широко используются два подхода к детектированию вредоносного программного обеспечения – детектирование вредоносного кода по его сигнатуре либо по его поведению.

Материалы XVII всероссийской научно-практической конференции Сигнатурный анализ является простейшим вариантом детектирования вредоносного кода.

На данный момент этот подход наиболее распространен и исследован.

Поведенческий анализ предоставляет возможность детектировать вредоносный код не на основании его свертки и сравнения с сигнатурой, а на основании математических алгоритмов, позволяющих описать поведение программы, проанализировать воздействие программы на ее окружение. Поведенческий анализ является перспективным направлением исследований.

Модель угрозы вредоносного использования языка JavaScript можно представить следующим образом:

- находящийся в теле интернет-страницы JavaScript-код не был реализован как злонамеренный, но нарушитель внедрил в код исходной интернет-страницы сценарий, выполнение которого может привести к нежелательным результатам;

- интернет-ресурс или конкретная интернет-страница были реализованы изначально с целью совершать несанкционированные действия на ЭВМ просматривающего интернет-ресурс или интернет-страницу пользователя.

В случае реализации одной из вышеописанных угроз возможны атаки на:

- пользователя, использующего интернет-страницу или интернет-ресурс, содержащий вредоносный JavaScript-код;

- интернет-сервис, на котором располагается код вредоносной интернет-страницы или код страницы, в которую вредоносный JavaScript-код был внедрен.

Для представления программы с точки зрения взаимодействия различных наборов функций, ее составляющих, программа представляется в виде графа потока управления. Граф потока управления рассматривается как представление всех путей выполнения кода программы и ее состояний во время ее выполнения. Каждая вершина в графе – линейный участок кода без переходов. Переходы представляются в виде дуг графа или объединения вершин и дуг в путь в графе. Направленные ребра используются, чтобы представить переходы в потоке выполнения [3].

На основании алгоритма построения графа потока управления программы создается база данных с проанализированными программами, в которую вносятся те, поиск поведения которых нас впоследствии будет интересовать.

Каждая конкретная вершина графа потока управления анализируемой программы или находящаяся в базе данных с уже проанализированными вершинами описывается следующим образом:

- идентификатор – каждой вершине присваивается идентификатор, позволяющий впоследствии обращаться к данным, описывающим рассматриваемую вершину;

- список функций вершины – в данный список входят все стандартные функции языка JavaScript, вызов которых произведен в ходе выполнения JavaScript-инструкций, принадлежащих к линейному участку программы, соответствующему данной вершине;

- список наследных вершин – в данный список входят вершины, в которые возможен переход из рассматриваемой вершины после выполнения содержащихся в данной вершине функций.

Для описания поведенческой сигнатуры программы, реализованной на языке JavaScript, были введены следующие понятия, описывающие программу:

- состояние программы – функции программы, исполняемые в текущей вершине графа потока управления программы;

- поведение программы – последовательность состояний, необходимых для перехода из одного состояния в другое.

Пусть набор всех функций языка JavaScript описывается алфавитом P из p символов, pt – t-й символ данного алфавита, являющийся определенной стандартной функцией языка JavaScript.

«Проблемы информационной безопасности в системе высшей школы»

Пусть Alyz – граф потока управления анализируемой программы, состоит из n вершин, aq – q-я вершина в Alyz, q= 1, n, Sig – граф потока управления поведенческой сигнатуры, состоит из m вершин, sg – какая-либо конкретная вершина графа поведенческой сигнатуры, g= 1, m, nm. Пусть aq, sg состоят из k и l – стандартных функций языка JavaScript, входящих в каждый конкретный список функций вершины; p, n, m, k, l N, и пусть гомоморфизм рассматривается как функция, которая отображает Sig в Alyz, такая, что если в графе Sig существует путь, соединяющий вершины si и sj, то и в графе Alyz существует путь, соединяющий вершины (si) и (sj).

Пусть слова waq и wsg определены как объединения всех символов (которыми являются функции языка JavaScript), входящих в эти слова.

Пусть psydr – вероятность существования гомоморфизма графа Sig в граф Alyz.

сros(waq,wsg) – функция «схожести» слов waq и wsg, принимающая значения «0» или «1», DLD – функция, вычисляемая на основании алгоритма Дамерау–Левенштейна для всех вершин графа потока управления анализируемой программы и графа потока управления поведенческой сигнатуры [4].

В случае, если существует f(psydr,m) вершин aq Alyz, для которых существует sg Sig, таких, что сros(waq,wsg) = 1, то принимается решение о проверке существования гомоморфизма графа Sig в граф Alyz. Все обнаруженные вершины aq с cros(waq,wsg) = 1 в Alyz помечаются. На основании алгоритма «поиска простого пути» [5] проверяется, есть ли путь в Alyz, позволяющий соединить вершины aq графа Alyz с cros(waq,wsg) = 1 в той же последовательности, что и вершины sg в графе Sig. В случае существования подобного пути принимается решение, что код вредоносен.



СПИСОК ЛИТЕРАТУРЫ:

1. Blended Attacks and Web 2.0 Threats: Are You Ready for 2009? URL: http://securitylabs.websense.com/content/Alerts/3277.aspx.

2. Ask MAMA what the Web is. URL: http://www.opera.com/press/releases/2008/10/15/.

3. Вояковская Н. Н., Москаль А. Е., Булычев Д. Ю., Терехов А. А. Анализ потока управления. URL: http://www.intuit.ru/ department/sa/compilersdev/12/.

4. Левенштейн В. И. Двоичные коды с исправлением выпадений, вставок и замещений символов // Докл. АН СССР. 1965.

Т. 163. № 4. С. 845–848.

5. Кнут Э. Д. Искусство программирования. Том 1. Основные алгоритмы. М.: Издательский дом «Вильямс», 2000. – 832 с.

СИСТЕМЫ УПРАВЛЕНИЯ СОБЫТИЯМИ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ

В условиях сложившейся ситуации в области защиты информации проблема сбора информации о событиях становится наиболее актуальной. В организациях участились инциденты информационной безопасности, связанные с несовершенством систем защиты информации, используемых для защиты автоматизированных систем.

В крупных организациях используются сложные информационные системы, состоящие из большого числа сетевых устройств, операционных систем, антивирусного программного Материалы XVII всероссийской научно-практической конференции обеспечения, систем управления базами данных, систем обнаружения вторжений, межсетевых экранов и т. д. Перечисленные подсистемы имеют встроенные средства защиты информации и мониторинга событий информационной безопасности. Для получения полноценной картины об угрозах информационной безопасности в подобных системах необходимо анализировать файлы журналов, содержащих огромное число записей, что, как правило, просто не под силу администраторам ИБ. Помочь в решении данной проблемы могут автоматизированные системы сбора информации о событиях.

Одним из таких решений является IBM Tivoli Security Operations Manager (TSOM). TSOM – это набор программных модулей для построения системы сбора и корреляции сообщений от различных устройств и программ обеспечения информационной безопасности. Данная система сбора событий предоставляет возможность автоматизировать трудоемкие, часто повторяющиеся операции, выполняемые специалистами по информационной безопасности для выявления угроз и предотвращения атак.

Основными функциями TSOM являются:

централизованный сбор, накопление и анализ событий информационной безопасности от различных источников;

корреляция полученных данных в соответствии с моделями угроз информационной безопасности;

выявление угроз информационной безопасности;

выполнение автоматических действий, направленных на предотвращение зафиксированных угроз и атак;

оперативное уведомление оператора системы об инцидентах информационной безопасности [1].

TSOM состоит из следующих модулей:

Central Management System (CMS) – центральная система управления, собирающая в единую базу данных информацию о событиях от различных модулей, производит корреляцию и анализ собранных данных для выявления угроз безопасности;

Event Aggregation Module (EAM) – накапливает данные, поступающие из различных систем безопасности, нормализует, фильтрует, группирует и затем передает в центральную систему управления;

Universal Collection Module – используется для сбора информации о событиях от источников, которые невозможно подключить напрямую к модулю EAM. Принимает сообщения от систем на основе правил и передает в модуль EAM [2].

TSOM анализирует и располагает по приоритетам данные о событиях, используя множественный анализ и корреляции:

Статистическая корреляция (Statistical Correlation) выявляет подозрительные события, используя усовершенствованный метод анализа событий и хостов.

Корреляция на основе правил (Rule-Based Correlation) выявляет известные атаки и нарушения политики безопасности, принятой в организации [1].

Корреляция – это взаимосвязь двух и более параметров в событии, выявляющая модели угроз информационной безопасности. Примером таких корреляций могут быть:

изменение политики аудита в системе;

очистка журнала аудита в системе;

пять неуспешных попыток входа в систему под учетной записью пользователя;

три неуспешные попытки входа в систему под учетной записью администратора.

Поскольку TSOM поддерживает большое число различных систем, работа администратора ИБ существенно упрощается за счет сопоставления, анализа и корреляции данных, поступающих «Проблемы информационной безопасности в системе высшей школы»

из различных источников. Таким образом, появляется возможность оперативного выявления угроз безопасности, регистрации инцидента и проведения соответствующих действий по обнаружению нарушителя и предотвращению атак.

Нарушения политики безопасности могут иметь серьезные последствия для организации, такие как потеря репутации на рынке, огромные финансовые затраты. Поэтому организации нуждаются в быстром выявлении угроз безопасности и реагировании на возникшие нештатные ситуации. TSOM способен помочь предотвратить вторжения, повысить уровень безопасности в организации и существенно облегчить труд администраторов ИБ.

СПИСОК ЛИТЕРАТУРЫ:

1. http://www-01.ibm.com/software/tivoli/products/security-operations-mgr/.

2. Документация IBM Tivoli Security Operations Manager.

СТАТИСТИЧЕСКИЙ МЕТОД ВЫДЕЛЕНИЯ СИГНАТУР РАЗРУШАЮЩИХ

ПРОГРАММНЫХ ВОЗДЕЙСТВИЙ

Одним из основных методов борьбы с вирусами является сигнатурный анализ [1]. Однако отсутствие жестко заданного алгоритма выделения и методики оценки сигнатур, а также наличие случайных ошибок, возникающих при ручном анализе, снижают надежность данного подхода.

Таким образом, возникает необходимость создания автоматизированной системы выделения сигнатур разрушающих программных воздействий (РПВ). В данной работе предлагается статистический подход к автоматизации процесса выделения сигнатур.

Для начала необходимо выделить множество файлов, подверженных РПВ (R). С этой целью производится запуск модели РПВ, после чего осуществляется сравнение контрольных сумм файловой системы до и после заражения. Элементы множества R можно получить не только исполнением самого РПВ, но и запуском его потомков. Чем больше множество R, тем меньше вероятность ошибок типа «false negative», а это является наиболее важным фактором при сигнатурном анализе [1].

Далее необходимо создать максимально полное множество всех программ, не подверженных РПВ. Это множество будет представлять собой «чистую систему» (C). Чем оно больше, тем меньше вероятность ошибок типа «false positive».

По сути, задача выявления сигнатур сводится к нахождению последовательности, присутствующей во всех файлах, зараженных данной моделью РПВ, и не встречающейся ни в одном файле «чистой системы». Т. е. необходимо найти новое множество потенциальных сигнатур (SP), представляющее собой вычитание множества С из множества R.

Любую из полученных последовательностей можно использовать в качестве сигнатуры.

Однако то, что выбранные последовательности не встречаются в «чистой системе», еще не гарантирует отсутствие ложных срабатываний. Это связано с тем, что невозможно составить полное Материалы XVII всероссийской научно-практической конференции множество «чистой системы» С, так как оно будет стремиться к бесконечности. Данная задача разрешима только для узких областей применения, где набор возможного программного обеспечения ограничен [2]. Следовательно, необходимо провести дополнительный этап анализа множества SP с целью получения последовательности, представляющей собой качественную сигнатуру. Здесь под качественной сигнатурой понимается последовательность, обеспечивающая минимальное количество ложных срабатываний.

Качественная сигнатура должна содержать как можно больше эвристических признаков, характерных для моделей РПВ. Исходя из этого предлагается создать множество эвристических признаков (E), каждому из которых поставить в соответствие некоторый «вес» (Pi, i = 1,k, где k – число эвристических признаков), который будет соответствовать вероятности ложного срабатывания в случае наличия данного признака в сигнатуре.

При обнаружении нескольких эвристических признаков в оцениваемой сигнатуре предлагается применить метод, основанный на байесовском подходе к вычислению вероятностей.

Суть его состоит в следующем. Проверке подлежит некоторая гипотеза Н, с которой связаны утверждения А1, А2 и т. д. Тогда, проверив одно из них (A), мы можем пересчитать вероятность гипотезы Н с учетом истинности или ложности этого утверждения.

В рамках данной работы в качестве гипотезы H будет выступать предположение о том, что файл, содержащий оцениваемую сигнатуру, является инфицированным либо самим РПВ.

В качестве утверждений (А) предлагается использовать эвристические признаки, присутствующие в сигнатуре.

Таким образом, будут получены конечные вероятности выдвинутой гипотезы для каждой выделенной сигнатуры: P1(H/A1 A2…As), P2(H/A1 A2…As) … Pi(H/A1 A2…As), где s – количество эвристических признаков в сигнатуре. Из вычисленных вероятностей берется максимальная, так как она обеспечит наименьшую вероятность ложного срабатывания.

Оценка полученных вероятностей в соответствии с заданным уровнем значимости осуществляется на основе анализа вхождения параметра Pi в доверительный интервал.

где t = – точность оценки, – среднеквадратическое отклонение, n – объем выборки, P – выборочное среднее, t – аргумент функции Лапласа, при котором.

Среднеквадратическое отклонение рассчитывается как:

В данном случае выборка будет включать в себя совокупность всех весов Pi, i =1,k, а также все вариации их произведений.

Вместо множества эвристических признаков в описанном выше методе можно также использовать частотные признаки. Для этого рассчитывается распределение значений байт по частоте их использования в базе данных известных сигнатур (или вирусов), которое принимается как эталонное. «Веса» ставятся в соответствие каждому значению байт, отражая частоту появления последнего в базе сигнатур. Чем больше частота, тем больше «вес». Далее производится поиск значений байт из эталонного распределения во множестве потенциальных сигнатур SP. Если в элементе множества SP содержатся несколько байт, значения которых совпадают со значениями из эталонного распределения, то «веса» суммируются. Следовательно, из множества SP выбирается сигнатура с минимальным значением P.

Если вероятность ложного срабатывания у всех полученных сигнатур достаточно велика, то для исключения ошибки типа «false positive» можно совместно использовать пару потенциальных «Проблемы информационной безопасности в системе высшей школы»

сигнатур. При этом общая вероятность ложного срабатывания будет равна произведению вероятностей каждой сигнатуры. Однако недостатком данного подхода является увеличение времени сканирования вдвое.

Эффективность применения описанного метода обусловлена следующими факторами:

- использование жестко заданных алгоритмов позволит существенно повысить скорость выявления сигнатур;

- исключение человеческого фактора сведет к минимуму случайные ошибки;

- автоматизация процесса позволит использовать методы, требующие больших временных затрат;

- использование аппарата теории вероятности позволит дать оценку полученным сигнатурам.

СПИСОК ЛИТЕРАТУРЫ:

1. Касперски К., Рокко Е. Искусство дизассемблирования. СПб.: БХВ-Петербург, 2008. – 891 с.

2. Cohen F. Computer viruses // Computers & Security. 1987. № 6. P. 22–35.



Pages:     | 1 |   ...   | 20 | 21 ||
 



Похожие работы:

«Молекулярная физика и термодинамика Данное пособие посвящено второму разделу Молекулярная физика. Термодинамика кодификатора ЕГЭ по физике. Оно охватывает следующие темы. • Тепловое движение атомов и молекул вещества. Броуновское движение. Диффузия. Экспериментальные доказательства атомистической теории. Взаимодействие частиц вещества. • Модели строения газов, жидкостей и твёрдых тел. • Модель идеального газа. Связь между давлением и средней кинетической энергией теплового движения молекул...»

«ЭНЕРГЕТИЧЕСКОЕ ОБСЛЕДОВАНИЕ Том 2 Электротехника Справочное издание Екатеринбург 2011 Я.М. Щелоков ЭНЕРГЕТИЧЕСКОЕ ОБСЛЕДОВАНИЕ Том 2 Электротехника Справочное издание Екатеринбург 2011 УДК 536 ББК 31.32 Щ 46 Рецензент В.Г. Лисиенко, заведующий кафедрой Автоматика и управление в технических системах УрФУ, заслуженный деятель науки и техники РФ, лауреат премии Правительства РФ, доктор технических наук, профессор Я.М. Щелоков Энергетическое обследование: справочное издание: В 2-х томах. Том 2....»

«ФЕДЕРАЛЬНЫЙ ПРОЕКТ ПАРК: ПРОМЫШЛЕННО-АГРАРНЫЕ РЕГИОНАЛЬНЫЕ КЛАСТЕРЫ Руководитель проекта: М.А. Сутягинский, президент НП Центр инноваций Проект поддержан Бюро Высшего Совета Всероссийской политической партии Единая Россия 4 мая 2010 года Пилотная площадка: Омская область. Проект Омский промышленно-аграрный инновационный кластер ПАРК объединяет 32 участника Оператор проекта в Омской области: ЗАО ГК Титан 05 июля 2010 года агропромышленный биокластер включен в Перечень первоочередных...»

«1 Школьные конкурсные проекты предлагают простые энергетические решения для сохранения климата Всероссийский конкурс SPARE 2011-2012 учебного года в рамках шестого международного конкурса школьных проектов по энергоэффективности Энергия и среда обитания проводился под лозунгом Сохраним климат с помощью простых энергетических решений. Цель конкурса: внедрение идей и методов энергосбережения в обществе, создание у школьников мотивации для сбережения ресурсов и энергии. Конкурс поддерживается...»

«Москва, 2006 Куда течет Амур? С. А. Подольский, Е. А. Симонов, Ю. А. Дарман Владивосток 2006 С. А. Подольский, Е. А. Симонов, Ю. А Дарман. Куда течет Амур?. Под редакцией к.г.н. С. А. Подольского. М.: Всемирный фонд дикой природы (WWF) – Россия, 2006 – 72 с. Книга издана на средства Всемирного фонда дикой природы (WWF) Россия В брошюре в популярной форме изложены проблемы, связанные с будущим Амура, как одной из последних великих рек мира, не имеющих плотин на своем главном русле. Основной упор...»

«Yuri A.Shushkevich. Production of Standardised Feed Product on the Basis of Biofuel crops deposits as a prospective biotechnology. Abstract. The development of world bioenergetics under conditions of increasing shortage of fossil raw hydrocarbons may very shortly result in substantial diminishing of cultivated crops areas worldwide presently intended for food production and, consequently, in decrease of food availability and global hunger. At the same time modern biotechnologies allow to ease...»

«АТЭС: институциональная структура, направления деятельности и достижения Форум Азиатско-Тихоокеанское экономическое сотруд- Г.М. Костюнина ничество является единственной в Азиатско-Тихоокеанском регионе межправительственной организацией. Членами состоит 21 экономика – Австралия, Бруней, Вьетнам, Гонконг УДК 339.92 (САР, Китай), Индонезия, Канада, Китай, Малайзия, Мекси- ББК 65.428 К-727 ка, Новая Зеландия, Папуа Новая Гвинея, Перу, Республика Корея, Российская Федерация, Сингапур, США, Таиланд,...»

«ПРОГРАММА VII АСТАНИНСКОГО ЭКОНОМИЧЕСКОГО ФОРУМА 21-23 мая 2014 года Астана, Дворец Независимости Актуальная программа размещена на сайте: www.astanaforum.org 21 МАЯ – СРЕДА 19-21 Мая IX МЕЖДУНАРОДНАЯ КОНФЕРЕНЦИЯ 10:00-18:00 ТРАНСЕВРАЗИЯ-2014 Президент Отель Риксос, зал Жеруйык, 1 этаж, ул. Кунаева 7 Организатор: Министерство Транспорта и Коммуникации Республики Казахстан Ключевые вопросы: Рост и развитие международного рынка услуг по перевозке на автомобильном, железнодорожном, авиационном и...»

«Центральный Дом художника 30.11–04.12.2011 Куратор: Михаил Погарский Curator: Mikhail Pogarsky Магия Книги художника Организаторы: Organizers: Дизайн-студия Design-studio “Triangular Wheel”, Треугольное колесо, “KulTTovary” gallery Меня часто спрашивают: По какому принципу отбираются участники ярмарки?. галерея КульТТовары Принцип очень простой: хорошие работы, сделанные в формате Книги художника. По счастью, случайных людей здесь практически не бывает, отсев осуществляет Орг-комитет:...»

«Памятные даты: 2014 год – Год науки Россия - ЕС; 2014 год – Год культуры в Российской Федерации; 2014 год – Год кристаллографии; 2014 год – 180-летие Гидрометеорологической службы России; 2014 год – 300-летие Нижегородской губернии; 2005 – 2015 гг. – Международное десятилетие действий Вода для жизни; 2011– 2020 гг. – Десятилетие биоразнообразия Организации Объединенных Наций; 2005 – 2014 гг. – Десятилетие образования в интересах устойчивого развития; 2014 – 2024 гг. – Десятилетие устойчивой...»






 
© 2013 www.knigi.konflib.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.