WWW.KNIGI.KONFLIB.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

 
<< HOME
Научная библиотека
CONTACTS

Pages:     | 1 |   ...   | 20 | 21 ||

«МаТерИалы XVII всероссИйской научно-пракТИческой конференцИИ БИТ Г. П. Аверьянов, В. А. Будкин, В. В. Дмитриева ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЕТЕВОГО ...»

-- [ Страница 22 ] --

На данный момент количество интернет-страниц, использующих технологию JavaScript, составляет 75 % [1]. В свою очередь, около 80 % интернет-страниц, использующих JavaScript, содержат в себе различные уязвимости [2].

В антивирусной индустрии широко используются два подхода к детектированию вредоносного программного обеспечения – детектирование вредоносного кода по его сигнатуре либо по его поведению.

Материалы XVII всероссийской научно-практической конференции Сигнатурный анализ является простейшим вариантом детектирования вредоносного кода.

На данный момент этот подход наиболее распространен и исследован.

Поведенческий анализ предоставляет возможность детектировать вредоносный код не на основании его свертки и сравнения с сигнатурой, а на основании математических алгоритмов, позволяющих описать поведение программы, проанализировать воздействие программы на ее окружение. Поведенческий анализ является перспективным направлением исследований.

Модель угрозы вредоносного использования языка JavaScript можно представить следующим образом:

- находящийся в теле интернет-страницы JavaScript-код не был реализован как злонамеренный, но нарушитель внедрил в код исходной интернет-страницы сценарий, выполнение которого может привести к нежелательным результатам;

- интернет-ресурс или конкретная интернет-страница были реализованы изначально с целью совершать несанкционированные действия на ЭВМ просматривающего интернет-ресурс или интернет-страницу пользователя.

В случае реализации одной из вышеописанных угроз возможны атаки на:

- пользователя, использующего интернет-страницу или интернет-ресурс, содержащий вредоносный JavaScript-код;

- интернет-сервис, на котором располагается код вредоносной интернет-страницы или код страницы, в которую вредоносный JavaScript-код был внедрен.

Для представления программы с точки зрения взаимодействия различных наборов функций, ее составляющих, программа представляется в виде графа потока управления. Граф потока управления рассматривается как представление всех путей выполнения кода программы и ее состояний во время ее выполнения. Каждая вершина в графе – линейный участок кода без переходов. Переходы представляются в виде дуг графа или объединения вершин и дуг в путь в графе. Направленные ребра используются, чтобы представить переходы в потоке выполнения [3].

На основании алгоритма построения графа потока управления программы создается база данных с проанализированными программами, в которую вносятся те, поиск поведения которых нас впоследствии будет интересовать.

Каждая конкретная вершина графа потока управления анализируемой программы или находящаяся в базе данных с уже проанализированными вершинами описывается следующим образом:

- идентификатор – каждой вершине присваивается идентификатор, позволяющий впоследствии обращаться к данным, описывающим рассматриваемую вершину;

- список функций вершины – в данный список входят все стандартные функции языка JavaScript, вызов которых произведен в ходе выполнения JavaScript-инструкций, принадлежащих к линейному участку программы, соответствующему данной вершине;

- список наследных вершин – в данный список входят вершины, в которые возможен переход из рассматриваемой вершины после выполнения содержащихся в данной вершине функций.

Для описания поведенческой сигнатуры программы, реализованной на языке JavaScript, были введены следующие понятия, описывающие программу:

- состояние программы – функции программы, исполняемые в текущей вершине графа потока управления программы;

- поведение программы – последовательность состояний, необходимых для перехода из одного состояния в другое.

Пусть набор всех функций языка JavaScript описывается алфавитом P из p символов, pt – t-й символ данного алфавита, являющийся определенной стандартной функцией языка JavaScript.

«Проблемы информационной безопасности в системе высшей школы»

Пусть Alyz – граф потока управления анализируемой программы, состоит из n вершин, aq – q-я вершина в Alyz, q= 1, n, Sig – граф потока управления поведенческой сигнатуры, состоит из m вершин, sg – какая-либо конкретная вершина графа поведенческой сигнатуры, g= 1, m, nm. Пусть aq, sg состоят из k и l – стандартных функций языка JavaScript, входящих в каждый конкретный список функций вершины; p, n, m, k, l N, и пусть гомоморфизм рассматривается как функция, которая отображает Sig в Alyz, такая, что если в графе Sig существует путь, соединяющий вершины si и sj, то и в графе Alyz существует путь, соединяющий вершины (si) и (sj).

Пусть слова waq и wsg определены как объединения всех символов (которыми являются функции языка JavaScript), входящих в эти слова.

Пусть psydr – вероятность существования гомоморфизма графа Sig в граф Alyz.

сros(waq,wsg) – функция «схожести» слов waq и wsg, принимающая значения «0» или «1», DLD – функция, вычисляемая на основании алгоритма Дамерау–Левенштейна для всех вершин графа потока управления анализируемой программы и графа потока управления поведенческой сигнатуры [4].

В случае, если существует f(psydr,m) вершин aq Alyz, для которых существует sg Sig, таких, что сros(waq,wsg) = 1, то принимается решение о проверке существования гомоморфизма графа Sig в граф Alyz. Все обнаруженные вершины aq с cros(waq,wsg) = 1 в Alyz помечаются. На основании алгоритма «поиска простого пути» [5] проверяется, есть ли путь в Alyz, позволяющий соединить вершины aq графа Alyz с cros(waq,wsg) = 1 в той же последовательности, что и вершины sg в графе Sig. В случае существования подобного пути принимается решение, что код вредоносен.



СПИСОК ЛИТЕРАТУРЫ:

1. Blended Attacks and Web 2.0 Threats: Are You Ready for 2009? URL: http://securitylabs.websense.com/content/Alerts/3277.aspx.

2. Ask MAMA what the Web is. URL: http://www.opera.com/press/releases/2008/10/15/.

3. Вояковская Н. Н., Москаль А. Е., Булычев Д. Ю., Терехов А. А. Анализ потока управления. URL: http://www.intuit.ru/ department/sa/compilersdev/12/.

4. Левенштейн В. И. Двоичные коды с исправлением выпадений, вставок и замещений символов // Докл. АН СССР. 1965.

Т. 163. № 4. С. 845–848.

5. Кнут Э. Д. Искусство программирования. Том 1. Основные алгоритмы. М.: Издательский дом «Вильямс», 2000. – 832 с.

СИСТЕМЫ УПРАВЛЕНИЯ СОБЫТИЯМИ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ

В условиях сложившейся ситуации в области защиты информации проблема сбора информации о событиях становится наиболее актуальной. В организациях участились инциденты информационной безопасности, связанные с несовершенством систем защиты информации, используемых для защиты автоматизированных систем.

В крупных организациях используются сложные информационные системы, состоящие из большого числа сетевых устройств, операционных систем, антивирусного программного Материалы XVII всероссийской научно-практической конференции обеспечения, систем управления базами данных, систем обнаружения вторжений, межсетевых экранов и т. д. Перечисленные подсистемы имеют встроенные средства защиты информации и мониторинга событий информационной безопасности. Для получения полноценной картины об угрозах информационной безопасности в подобных системах необходимо анализировать файлы журналов, содержащих огромное число записей, что, как правило, просто не под силу администраторам ИБ. Помочь в решении данной проблемы могут автоматизированные системы сбора информации о событиях.

Одним из таких решений является IBM Tivoli Security Operations Manager (TSOM). TSOM – это набор программных модулей для построения системы сбора и корреляции сообщений от различных устройств и программ обеспечения информационной безопасности. Данная система сбора событий предоставляет возможность автоматизировать трудоемкие, часто повторяющиеся операции, выполняемые специалистами по информационной безопасности для выявления угроз и предотвращения атак.

Основными функциями TSOM являются:

централизованный сбор, накопление и анализ событий информационной безопасности от различных источников;

корреляция полученных данных в соответствии с моделями угроз информационной безопасности;

выявление угроз информационной безопасности;

выполнение автоматических действий, направленных на предотвращение зафиксированных угроз и атак;

оперативное уведомление оператора системы об инцидентах информационной безопасности [1].

TSOM состоит из следующих модулей:

Central Management System (CMS) – центральная система управления, собирающая в единую базу данных информацию о событиях от различных модулей, производит корреляцию и анализ собранных данных для выявления угроз безопасности;

Event Aggregation Module (EAM) – накапливает данные, поступающие из различных систем безопасности, нормализует, фильтрует, группирует и затем передает в центральную систему управления;

Universal Collection Module – используется для сбора информации о событиях от источников, которые невозможно подключить напрямую к модулю EAM. Принимает сообщения от систем на основе правил и передает в модуль EAM [2].

TSOM анализирует и располагает по приоритетам данные о событиях, используя множественный анализ и корреляции:

Статистическая корреляция (Statistical Correlation) выявляет подозрительные события, используя усовершенствованный метод анализа событий и хостов.

Корреляция на основе правил (Rule-Based Correlation) выявляет известные атаки и нарушения политики безопасности, принятой в организации [1].

Корреляция – это взаимосвязь двух и более параметров в событии, выявляющая модели угроз информационной безопасности. Примером таких корреляций могут быть:

изменение политики аудита в системе;

очистка журнала аудита в системе;

пять неуспешных попыток входа в систему под учетной записью пользователя;

три неуспешные попытки входа в систему под учетной записью администратора.

Поскольку TSOM поддерживает большое число различных систем, работа администратора ИБ существенно упрощается за счет сопоставления, анализа и корреляции данных, поступающих «Проблемы информационной безопасности в системе высшей школы»

из различных источников. Таким образом, появляется возможность оперативного выявления угроз безопасности, регистрации инцидента и проведения соответствующих действий по обнаружению нарушителя и предотвращению атак.

Нарушения политики безопасности могут иметь серьезные последствия для организации, такие как потеря репутации на рынке, огромные финансовые затраты. Поэтому организации нуждаются в быстром выявлении угроз безопасности и реагировании на возникшие нештатные ситуации. TSOM способен помочь предотвратить вторжения, повысить уровень безопасности в организации и существенно облегчить труд администраторов ИБ.

СПИСОК ЛИТЕРАТУРЫ:

1. http://www-01.ibm.com/software/tivoli/products/security-operations-mgr/.

2. Документация IBM Tivoli Security Operations Manager.

СТАТИСТИЧЕСКИЙ МЕТОД ВЫДЕЛЕНИЯ СИГНАТУР РАЗРУШАЮЩИХ

ПРОГРАММНЫХ ВОЗДЕЙСТВИЙ

Одним из основных методов борьбы с вирусами является сигнатурный анализ [1]. Однако отсутствие жестко заданного алгоритма выделения и методики оценки сигнатур, а также наличие случайных ошибок, возникающих при ручном анализе, снижают надежность данного подхода.

Таким образом, возникает необходимость создания автоматизированной системы выделения сигнатур разрушающих программных воздействий (РПВ). В данной работе предлагается статистический подход к автоматизации процесса выделения сигнатур.

Для начала необходимо выделить множество файлов, подверженных РПВ (R). С этой целью производится запуск модели РПВ, после чего осуществляется сравнение контрольных сумм файловой системы до и после заражения. Элементы множества R можно получить не только исполнением самого РПВ, но и запуском его потомков. Чем больше множество R, тем меньше вероятность ошибок типа «false negative», а это является наиболее важным фактором при сигнатурном анализе [1].

Далее необходимо создать максимально полное множество всех программ, не подверженных РПВ. Это множество будет представлять собой «чистую систему» (C). Чем оно больше, тем меньше вероятность ошибок типа «false positive».

По сути, задача выявления сигнатур сводится к нахождению последовательности, присутствующей во всех файлах, зараженных данной моделью РПВ, и не встречающейся ни в одном файле «чистой системы». Т. е. необходимо найти новое множество потенциальных сигнатур (SP), представляющее собой вычитание множества С из множества R.

Любую из полученных последовательностей можно использовать в качестве сигнатуры.

Однако то, что выбранные последовательности не встречаются в «чистой системе», еще не гарантирует отсутствие ложных срабатываний. Это связано с тем, что невозможно составить полное Материалы XVII всероссийской научно-практической конференции множество «чистой системы» С, так как оно будет стремиться к бесконечности. Данная задача разрешима только для узких областей применения, где набор возможного программного обеспечения ограничен [2]. Следовательно, необходимо провести дополнительный этап анализа множества SP с целью получения последовательности, представляющей собой качественную сигнатуру. Здесь под качественной сигнатурой понимается последовательность, обеспечивающая минимальное количество ложных срабатываний.

Качественная сигнатура должна содержать как можно больше эвристических признаков, характерных для моделей РПВ. Исходя из этого предлагается создать множество эвристических признаков (E), каждому из которых поставить в соответствие некоторый «вес» (Pi, i = 1,k, где k – число эвристических признаков), который будет соответствовать вероятности ложного срабатывания в случае наличия данного признака в сигнатуре.

При обнаружении нескольких эвристических признаков в оцениваемой сигнатуре предлагается применить метод, основанный на байесовском подходе к вычислению вероятностей.

Суть его состоит в следующем. Проверке подлежит некоторая гипотеза Н, с которой связаны утверждения А1, А2 и т. д. Тогда, проверив одно из них (A), мы можем пересчитать вероятность гипотезы Н с учетом истинности или ложности этого утверждения.

В рамках данной работы в качестве гипотезы H будет выступать предположение о том, что файл, содержащий оцениваемую сигнатуру, является инфицированным либо самим РПВ.

В качестве утверждений (А) предлагается использовать эвристические признаки, присутствующие в сигнатуре.

Таким образом, будут получены конечные вероятности выдвинутой гипотезы для каждой выделенной сигнатуры: P1(H/A1 A2…As), P2(H/A1 A2…As) … Pi(H/A1 A2…As), где s – количество эвристических признаков в сигнатуре. Из вычисленных вероятностей берется максимальная, так как она обеспечит наименьшую вероятность ложного срабатывания.

Оценка полученных вероятностей в соответствии с заданным уровнем значимости осуществляется на основе анализа вхождения параметра Pi в доверительный интервал.

где t = – точность оценки, – среднеквадратическое отклонение, n – объем выборки, P – выборочное среднее, t – аргумент функции Лапласа, при котором.

Среднеквадратическое отклонение рассчитывается как:

В данном случае выборка будет включать в себя совокупность всех весов Pi, i =1,k, а также все вариации их произведений.

Вместо множества эвристических признаков в описанном выше методе можно также использовать частотные признаки. Для этого рассчитывается распределение значений байт по частоте их использования в базе данных известных сигнатур (или вирусов), которое принимается как эталонное. «Веса» ставятся в соответствие каждому значению байт, отражая частоту появления последнего в базе сигнатур. Чем больше частота, тем больше «вес». Далее производится поиск значений байт из эталонного распределения во множестве потенциальных сигнатур SP. Если в элементе множества SP содержатся несколько байт, значения которых совпадают со значениями из эталонного распределения, то «веса» суммируются. Следовательно, из множества SP выбирается сигнатура с минимальным значением P.

Если вероятность ложного срабатывания у всех полученных сигнатур достаточно велика, то для исключения ошибки типа «false positive» можно совместно использовать пару потенциальных «Проблемы информационной безопасности в системе высшей школы»

сигнатур. При этом общая вероятность ложного срабатывания будет равна произведению вероятностей каждой сигнатуры. Однако недостатком данного подхода является увеличение времени сканирования вдвое.

Эффективность применения описанного метода обусловлена следующими факторами:

- использование жестко заданных алгоритмов позволит существенно повысить скорость выявления сигнатур;

- исключение человеческого фактора сведет к минимуму случайные ошибки;

- автоматизация процесса позволит использовать методы, требующие больших временных затрат;

- использование аппарата теории вероятности позволит дать оценку полученным сигнатурам.

СПИСОК ЛИТЕРАТУРЫ:

1. Касперски К., Рокко Е. Искусство дизассемблирования. СПб.: БХВ-Петербург, 2008. – 891 с.

2. Cohen F. Computer viruses // Computers & Security. 1987. № 6. P. 22–35.



Pages:     | 1 |   ...   | 20 | 21 ||