Цель данной работы: определить эффективность методов обнаружения вредоносных программ для РВС.
В статье были изучены продукционные / экспертные системы обнаружения атак, изучен метод обнаружения вторжений на основе графовых методов, произведен анализ перехода системы из состояния в состояние, исследован статический анализ последовательности системных вызовов. Исследованы методы конечных автоматов, методы анализа поведения системы, методы анализа интенсивности передачи сетевых пакетов.
Ключевые слова: вредоносное программное обеспечение, метод обнаружения, распределенная вычислительная сеть.
The purpose of this work: to determine the effectiveness of malware detection methods for PBC.
The article studied the production / expert attack detection systems, studied the method of intrusion detection based on graph methods, analyzed the transition of the system from state to state, investigated static analysis of the sequence of system calls. Methods of finite automata, methods of analyzing the behavior of the system, methods of analyzing the intensity of the transmission of network packets are investigated.
Key words: malware, detection method, distributed computing network.
В настоящее время важную роль играет проблема защиты корпоративных распределенных информационно-вычислительных сетей от вторжений вирусных программ. В 2018 году в первом квартале зафиксировано 796 806 112 вредоносных программ, это означает, что проблема обеспечения защиты информационных структур актуальна [7].
Актуальность исследуемой проблемы обусловлена увеличением количества вредоносных программ. В данной статье произведен обзор и анализ методов обнаружения вредоносных программ.
Основная задача при защите от вредоносного ПО — это изучение методов обнаружения вредоносных программ. В ходе исследований в области обнаружения вредоносного ПО можно выделить работы [4–6,8,9]. В отмеченных исследованиях описаны методы обнаружения вредоносных программ, также в работах описано каким образом производится выработка требований к системе защиты. В работах [2,3] рассматриваются модели обнаружения вредоносного ПО, учитывающие такой параметр, как скорость и время обнаружения. В данных работах не рассмотрен метод графовых моделей обнаружения вредоносного ПО, не выявлены все недостатки методов. В настоящее время существует необходимость в оценке методов обнаружения вредоносного программного обеспечения для выявления наиболее эффективного метода обнаружения вредоносных программ.
Цель данной работы: определить эффективность методов обнаружения вредоносных программ для РВС.
Существует большинство методов обнаружения вредоносных программных средств, для локальных вычислительных систем, но в большинстве случаев не учитываются особенности обнаружения ВПО для распределенных вычислительных систем.
Для защиты локальных сетей от ВПО необходимо:
Своевременное выявление;
Своевременное противодействие на ВПО;
Своевременное обновление уязвимостей локальной вычислительной системы;
Резервирование данных и программных средств вычислительной системы.
Для защиты распределённых сетей от ВПО необходимо дополнительно:
Выявление источников и маршрутов.
В связи с этим существует необходимость исследования дополнительных методов обнаружения ВПО в РВС. Наиболее часто используемые методы, охватывающие большой спектр вредоносных программ это:
Сигнатурные методы анализа
Продукционные / экспертные системы обнаружения атак;
Обнаружение вторжений, основанное на модели;
Анализ перехода системыиз состояния в состояние.
Статистические методы анализа
Статический анализ последовательности системных вызовов;
Конечные автоматы.
Эвристические методы
Анализ поведения системы.
Мониторинг активности
Анализ интенсивности передачи сетевых пакетов.
Сигнатурные методы анализа [12] описывают каждую атаку индивидуальной моделью, или сигнатурой. Ею могут служить строка символов, семантическое выражение, формальная математическая модель и т. д. [5].
Продукционные / экспертные системы обнаружения вторжения кодируют данные об атаках и правила импликации «если... то», а также подтверждают их, обращаясь к контрольным записям событий. Ресурсоемкость метода средняя, время выявление ВПО высокое, эффективность выявления ВПО на ранней стадии низкая, эффективность выявления ВПО на поздней стадии высокая, ложные срабатывания максимальны.
Обнаружение вторжений, основанное на модели, — один из вариантов, объединяющий модели вторжения и доказательств, поддерживающих вывод о вторжении. В системе обнаружения вторжений поддерживается база данных сценариев атак. Ресурсоемкость метода средняя, время выявление ВПО высокое, эффективность выявления ВПО на ранней стадии высокая, эффективность выявления ВПО на поздней стадии высокая, ложные срабатывания минимальны.
Анализ перехода системыиз состояния в состояние осуществлён в системах STAT и USTAT под ОС UNIX. В них обнаружения вторжений атаки представляются как последовательность переходов контролируемой системы из состояния в состояние. Ресурсоемкость метода высокая, время выявление ВПО высокое, эффективность выявления ВПО на ранней стадии низкая, эффективность выявления ВПО на поздней стадии высокая, ложные срабатывания средние.
Статистические методы анализа предназначены для выявления безопасности поведения программ и систем обнаружения нарушителя [5].
Статический анализ последовательности системных вызовов основывается на том, что каждое новое наблюдение переменной должно укладываться в некоторых границах. Если этого не происходит, то имеет место отклонение. Ресурсоемкость метода высокая, время выявление ВПО высокое, эффективность выявления ВПО на ранней стадии высокая, эффективность выявления ВПО на поздней стадии низкая, ложные срабатывания минимальны.
Метод конечных автоматов состоит в разработке конечного автомата для распознавания «языка» трассы программы. Для этого существует много методик, основанных на использовании как детерминированных, так и вероятностных автоматов. Ресурсоемкость метода низкая, время выявление ВПО низкое, эффективность выявления ВПО на ранней стадии высокая, эффективность выявления ВПО на поздней стадии низкая, ложные срабатывания максимальны.
Эвристические методы. Программу, которая анализирует код проверяемого объекта и по косвенным признакам определяет, является ли объект вредоносным, называют эвристический анализатор (эвристик) [3]. Ресурсоемкость метода высокая, время выявление ВПО высокое, эффективность выявления ВПО на ранней стадии средняя, эффективность выявления ВПО на поздней стадии высокая, ложные срабатывания минимальны.
Метод мониторинга характеристик передачи сетевого трафика. Перспективен способ обнаружения быстро распространяющихся вирусов и червей, основанный на постоянном мониторинге сетевого трафика. Ресурсоемкость метода высокая, время выявление ВПО высокое, эффективность выявления ВПО на ранней стадии высокая, эффективность выявления ВПО на поздней стадии высокая, ложные срабатывания максимальны. При отслеживании параметров передачи сетевого трафика система анализирует количество пакетов данных, пересылаемых между различными сетями, и в случае обнаружения аномального всплеска активности подаёт сигнал тревоги. Это позволяет идентифицировать вирусную эпидемию в течение долей секунды после её начала [12].
Затронутые выше методы систематизированы в таблице, где символом «3» отмечены методы с наилучшими характеристиками по данному параметру, символом «1» — методы с наихудшими, «2» — с средними. Сравнение взято из литературы.
В таблице 1 приведена характеристика методов обнаружения вредоносных ПО.
Таблица 1
Сравнительная характеристика методов обнаружения вредоносных программ
|
Классы методов анализа |
Методы анализа |
Параметры |
||||||
|
Ресурсоёмкость |
Время выявления |
Эффективность на ранней стадии |
Эффективность на поздней стадии |
Ложные срабатывания |
Необходимость обучения системы |
Сумма |
||
|
Сигнатурный |
Продукционные / экспертные системы обнаружения атак |
2 |
3 |
1 |
3 |
3 |
3 |
16 |
|
Обнаружение вторжений на основе графовых методов |
3 |
3 |
3 |
3 |
2 |
3 |
19 |
|
|
Анализ перехода системы из состояния в состояние |
3 |
3 |
1 |
3 |
2 |
3 |
17 |
|
|
Статический |
Статический анализ последовательности системных вызовов |
3 |
3 |
3 |
1 |
1 |
1 |
15 |
|
Конечные автоматы |
1 |
1 |
3 |
1 |
1 |
1 |
11 |
|
|
Эвристический |
Анализ поведения системы |
3 |
3 |
2 |
3 |
1 |
3 |
18 |
|
Мониторинг активности |
Анализ интенсивности передачи сетевых пакетов |
3 |
3 |
3 |
3 |
1 |
3 |
18 |
Из таблицы видно, что метод обнаружения вторжений отличается высокой эффективностью в отличии от других методов обнаружения ВПО.
Обнаружение вторжений на основе графовых методов служит дополнением к другим методам выявления потенциально опасной активности в РИВС. Для повышения надежности детектирования вредоносной активности и сведения риска ложного срабатывания к минимуму в данном случае требуется составление сигнатур распространения неизвестных червей.
Литература:
- Брэгг, Р. Н. Безопасность сетей: полное руководство / Р. Н. Брэгг. — М.: ЭКОМ, 2006. — 912 c.
- Вредоносные программы: классификация, методы предупреждения внедрения, обнаружения и удаления вредоносных программ // Молодой ученый URL: https://studopedia.ru/4_29888_vredonosnie-programmi-klassifikatsiya-metodi-preduprezhdeniya-vnedreniya-obnaruzheniya-i-udaleniya-vredonosnih-programm.html
- Гудилин О. Проактивность как средство борьбы с вирусами [Электронный ресурс]. -Режим доступа: http://www.viruslist.com/ru/analysis?pubid= 189544544.
- Комашинский Д. В. Методики выявления потенциально вредоносных файловых объектов на основе интеллектуального анализа данных: — СПб, 2014. — 21 с.
- Корт C. C. Методы обнаружения нарушителя [Электронный ресурс]. — Режим доступа: http://www.ssl.stu.neva.ru/sam/
- Лысенко А. В., Кожевникова И. С., Ананьин Е. В., Никишова А. В. Анализ методов обнаружения вредоносных программ // Молодой Ученый. — 2016. — № 21. — С. 758–761.
- Матиас Р. Анализ поведения и эвристические методы выявления вирусов [Электронный ресурс]. — Режим доступа: http://www.osp.ru/lan/2006/10/3474604/
- Методы обнаружения вредоносных программ // Молодой ученый URL: https://zdamsam.ru/a31449.html.
- Монахов Ю. М., Груздева Л. М. Теоретическое и экспериментальное исследование распределенных телекоммуникационных систем в условиях воздействия вредоносных программ: автореф. дис.... Канд. техн. наук — Владимир, 2013. — 132 с.
- Развитие информационных угроз в первом квартале 2018 года. Статистика [Электронный ресурс] / Сайт «securelist» — Режим доступа https://securelist.ru/it-threat-evolution-q1–2018-statistics/89767/
- Разработка методов и средств анализа информационной безопасности и обнаружения воздействий в распределенных вычислительных системах // Молодой ученый URL: http://tekhnosfera.com/razrabotka-metodov-i-sredstv-analiza-informatsionnoy-bezopasnosti-i-obnaruzheniya-vozdeystviy-v-raspredelennyh-vychislite
- Сердюк В. Вы атакованы — защищайтесь! [Электронный ресурс]. — Режим доступа: http://www.by temag.ru/articles/detail.php?ID=9036.
