Вы находитесь на странице: 1из 4

22 Актуальные вопросы технических наук

(датчика), например в результате образования ложного ставить алгоритм для автоматического детектирования
спая (неравенство может нарушаться как в одну, так и в неисправности датчиков, а также наличия сбоев в канале
другую сторону). передачи данных. Алгоритм может быть реализован про-
Дисперсии первой и второй производных тоже удов- граммно (реализован в компьютерной программе) или
летворяют аналогичным условиям (14), (15). Исполь- программно-аппаратно (реализован в микроконтрол-
зование производных более точно позволяет идентифи- лере или программируемой логической интегральной
цировать нештатные отклонения значений измеряемых схеме). Суть алгоритма сводится к вычислению значений
параметров. вышеуказанных характеристик параметра и сравнению
их с граничными значениями, заданными на основе ста-
(14) тистики предыдущих измерений аналогичного пара-
метра. По итогам сравнений программа может сделать
вывод о корректности значений параметра (или некор-
(15) ректности с указанием временных интервалов со сбой-
ными значениями параметра). При этом отсутствует не-
Таким образом, оценка попадания дисперсии измеря- обходимость оператору самостоятельно анализировать
емого параметра и дисперсии его производных, а также значения параметров (или графики значений параме-
математических ожиданий параметров и их производных тров) на предмет выявления неисправностей датчиков и
(в качестве дополнительных критериев) позволяет со- их цепей.

Литература:

1. Г. Корн, Т. Корн Справочник по математике для научных работников и инженеров. М., 1973 г., 832 стр. с илл.
2. Бронштейн И.Н., Семендяев К.А. Справочник по математике для инженеров и учащихся втузов. – 13-е изд.,
исправленное. – М.: Наука, Гл. ред. Физ.-мат. лит., 1986. – 544 с.

Классификация методов обнаружения неизвестного вредоносного программного


обеспечения
Подпружников Юрий Валерьевич, ассистент
Брянский государственный технический университет

О дной из важнейших задач компьютерной безопасности


является борьба с вредоносным программным обеспе-
чением (ВПО) и в частности подзадача его обнаружения.
Комбинация этих параметров определяет основные ха-
рактеристики методики: уровень ошибок первого и вто-
рого рода, ресурсоемкость, вычислительную сложность,
Все методики обнаружения можно разделить на 2 типа: алгоритмическую сложность (трудоемкость реализации)
методики обнаружения известного ВПО и методики об- и др. Поэтому построенная классификация рассматривает
наружения неизвестного ВПО [1]. В свете текущих тен- методики в контексте каждого из этих параметров.
денций развития вредоносных программ, все более ак- Классификация по характеру получаемых данных.
туальными становится задача создания эффективного По характеру получаемых данных методики принято раз-
средства обнаружения неизвестного ВПО. делять на структурный анализ и поведенческий анализ [3].
Автором ведется работа по созданию подобного сред- Структурный анализ [4] учитывает тот факт, что не-
ства. Целью разработки является повышение эффектив- которые виды ВПО (например, вирусы) имеют отличи-
ности обнаружения за счет совершенствования существу- тельные особенности в структуре: расположение точки
ющих методик. Был проведен анализ имеющихся методик входа, специфичные последовательности команд, а также
c целью выявления их характеристик. В результате этого многие признаки, обнаруживаемые при так называемом
исследования была сформирована классификация ме- эвристическом анализе. Данный вид анализа выявляет в
тодик, которая будет представлена в данной работе (см. основном косвенные признаки вредоносности, которые
рис. 1). напрямую не указывают на вредоносность ПО, но крайне
Методику обнаружения неизвестного ВПО можно редко наблюдаются в полезном ПО.
описать с помощью следующих параметров: данные, по- Структурный анализ в большинстве случаев имеет вы-
лучаемые об исследуемом ПО, способы получения этих сокую скорость работы (по причине небольшой вычисли-
данных, математические методы, применяемые для ана- тельной сложности). Главным минусом данного подхода
лиза данных, и выявляемые признаки вредоносности [2]. является то, что не все типы ВПО имеют структурные от-
1. Информатика и кибернетика 23

По характеру получаемых данных


• Структурный анализ
• Поведенческий анализ

По методам анализа данных Методики По признакам вредоносности


обнаружения
• Экспертные методы • Обнаружение злоупотреблений
неизвестного
• Методы машинного обучения • Обнаружение аномалий
ВПО

По способу получения данных


• Не выполняющие код ПО
• Выполняющие код ПО
• На реальной системе
• На эмуляторе
• Смешанные

Рис. 1. Классификация методик обнаружения неизвестного ВПО

личия от полезного ПО. Таким образом, не все виды ВПО при определенных условиях, например в конкретную дату.
можно обнаруживать данным методом. Таким образом, при невыполнении данного условия пове-
Также к этой категории можно отнести методики, ко- денческий анализатор не сможет обнаружить такое ВПО,
торые анализируют бинарное подобие исследуемого ПО и оно будет беспрепятственно себя распространять.
и известных вредоносных программ [5]. Но на практике Некоторые виды поведенческого анализа накладывают
данные методики не дают приемлемых результатов. свои требования к методам анализа. Так для исследования
Поведенческий анализ [6] исследует действия, выпол- потока исполнения (например, анализ системных вызовов
няемые ПО, и их последствия. Такие методики опреде- на компьютере конечного пользователя) необходимы ме-
ляют вредоносность программ по тем же признакам, что тоды, которые будут его анализировать по мере посту-
и человек – по их поведению. В идеальном исполнении пления данных за гарантированный промежуток времени.
система, реализующая данный подход, способна защитить В противном случае антивирус будет замедлять работу си-
от любого ВПО, но на практике создать такую систему стемы тем самым мешать пользователю.
невозможно. С одной стороны слежение за всеми дейст- Классификация по способу получения данных. Су-
виями ПО – алгоритмически сложная, ресурсоемкая и в ществующие методики обнаружения неизвестного ВПО
некоторых случаях невыполнимая задача. С другой сто- по способу получения данных об исследуемом ПО можно
роны, невозможно полностью формализовать понятие разделить на две категории: методики исполняющие и не
«вредоносное поведение». На практике такие методики исполняющие код программы.
следят за ограниченным набором действий, выполняемых Методики, не исполняющие программный код, в
ПО, и пытаются выявить в них ограниченный набор при- основном применяются в структурном анализе, поэ-
знаков вредоносности. тому их основные достоинства и недостатки совпадают.
Таким образом, к плюсам поведенческого анализа Главный недостаток состоит в невозможности обнару-
можно отнести теоретическую возможность обнару- жения ВПО, особенности которого проявляются только
жения любого типа ВПО, а также и возможность обнару- при исполнении кода. Главными преимуществами дан-
жения ВПО в момент совершения вредоносного действия, ного подхода являются высокая скорость, низкая ресур-
а к минусам – практическую невозможность полного соемкость и безопасность использования. Помимо того,
контроля системы, ресурсоемкость (чем больше контроль, что данные способы позволяют относительно быстро об-
тем сильнее замедляется работа всей системы). наруживать некоторые виды ВПО, они позволяют уско-
Среди часто обсуждаемых проблематик поведенческого рить работу других способов. Так методика определения
анализа можно указать вопрос полноты информации по- измененных файлов по контрольным суммам, также отно-
лучаемой о ПО, а так же задачу анализа потока инфор- сящаяся к данному виду, позволяет ускорить анализ ПО
мации с различными требованиями. Вопрос полноты по- с помощью других методов, например, не анализировать
лученной информации в основном возникает при попытке файл повторно, если он не был изменен.
выяснения всех возможных действий, которые может вы- Методики, исполняющие программный код, применя-
полнять программа. Данный вопрос особо остро проявля- ются в основном в поведенческом анализе. К таким мето-
ется при обнаружении так называемых «временных бомб». дикам относятся сбор данных при исполнении ПО на ре-
Этот вид ВПО выполняет вредоносные действия только альной системе (например, компьютер пользователя или
24 Актуальные вопросы технических наук

«honeypot»), сбор данных при исполнении ПО на эмуля- Классификация методов анализа. Данная классифи-
торах, а также смешанные способы. Каждый из указанных кация основана на способах накопления знаний, которые
подвидов имеет свои достоинства, недостатки и области используют методы анализа, и выделяет две группы ме-
применения. тодов: методы, основанные на экспертных знаниях, и раз-
При исследовании работы ПО в реальной системе об- личные методы машинного обучения;
ычно контролируют ряд действий во время выполнения Методы, основанные на экспертных знаниях, исполь-
ПО (системные вызовы, обращение к файлам) и изме- зуются для формализации понятия «вредоносности» и
нения в системе после выполнения ПО (изменения в фай- знаний экспертов в области исследования вредоносных
ловой системе). Реализация данного подхода на компью- программ. Знания могут быть связаны, например, с тем,
терах конечных пользователей следит за действиями какие действия являются вредоносными (поведенческий
программ и с одной стороны позволяет обнаружить ВПО анализ), или какие особенности структуры могут говорить
в момент исполнения вредоносного действия, а с другой о вредоносности (структурный анализ). В дальнейшем эти
стороны замедляет работу системы. формализованные знания применяются для обнаружения
Достоинствами данного подхода по сравнению с созда- вредоносности в анализируемых данных. Представите-
нием полноценных эмуляторов являются возможность ис- лями данной группы методом являются.
следования ПО в «естественных условиях», высокая ско- • Метод продукционных правил [7]. Это один из самых
рость сбора данных и относительная простота реализации. простых в реализации, но довольно эффективный метод.
Недостатки обусловлены следующими обстоятельствами. В его основу положена модель представления знаний в
• Существует поведение, данные о котором невоз- виде конструкций «ЕСЛИ-ТО». С помощью таких правил
можно собирать напрямую – возможно только косвенное можно указать одиночные признаки вредоносности.
их получение. В первую очередь, это относится к работе • Поиск поведенческих сигнатур [6]. Данный метод
на уровне ядра системы. разработан для поведенческого анализа. За основу взят
• Некоторые виды ВПО используют stealth-техно- метод продукционных правил, который был адаптирован
логии, препятствующие контролю за действиями про- для обнаружения вредоносных последовательностей дей-
граммы, или не выполняют вредоносных действий при об- ствий (т.е. определения перехода системы в «зараженное»
наружении контроля за собой. состояние).
• Для данного подхода к исследованию ПО не найдено • Метод, основанный на нейро-нечетких сетях [8].
приемлемое решение задачи исследования всего функци- В основе данного метода также лежат правила, задава-
онала ПО. емые экспертом. Используемый в нем нечеткий логиче-
• Если ПО исполняется на компьютере пользователя, ский вывод позволяет определять комплексные признаки,
существует вероятность, что к моменту обнаружения оно а элементы искусственных нейронных сетей позволяют
уже нанесет ущерб пользователю. подстраивать правила на основе известных ВПО.
Исследование работы ПО с помощью эмуляторов Все методы данной группы довольно качественно опре-
основано на эмуляции поведения системы: центрального деляют признаки, заданные экспертами, и для них харак-
процессора, операционной системы и пр. Фактически ис- терен высокий процент обнаружения вредоносных про-
следуемая программа выполняется не на реальной си- грамм, обладающих данными признаками. Тем не менее,
стеме, а на специальном интерпретаторе. К достоинствам более сложные признаки и новые техники, используемые
такого подхода относятся безопасность его использо- ВПО, эти методы не определяют.
вания, теоретическая возможность полного контроля над Методы машинного обучения используются для «из-
действиями программы, а также возможность исследо- влечения» знаний (признаков вредоносности) на основе
вания всего функционала ПО. Недостатками являются анализа известных ВПО. Развитию данных методов спо-
крайне высокая алгоритмическая сложность данного под- собствует наличие большого количества известных ВПО
хода и низкая скорость работы. и тот факт, что основная масса нового ВПО использует
Смешанные способы в основном предполагают выпол- сходные технологии, а иногда являются модификацией из-
нение программы на реальном процессоре, но в изолиро- вестного ВПО.
ванной среде. Таким образом, они сочетают достоинства и Основная задача методов машинного обучения со-
недостатки обоих рассмотренных выше подходов. К сме- стоит в определении зависимости между исследуемыми
шанным способам относят. данными и выявляемыми признаками вредоносности. Ис-
• Использование виртуальных машин. Этот довольно следования показали, что эффективность этих методов
ресурсоемкий подход, который полностью изолирует ис- зависит от характера обнаруживаемых признаков, под-
следуемую программу от реальной системы, но в ряде бора входных данных и качества обучения, следовательно,
задач он оказывается быстрее эмулятора. в общем случае точность этих методов сравнить затруд-
• Использование «песочниц» («sandbox»). Данный нительно. Однако можно выбрать наиболее подходящий
подход является менее ресурсоемким и более прост в ре- метод для обнаружения конкретного признака при на-
ализации, чем предыдущий, но он не гарантирует полную личии конкретного набора данных и обучающей выборки.
изоляцию ПО от реальной системы. К методам машинного обучения относятся:
1. Информатика и кибернетика 25

• методы, основанные на теореме Байеса [9, 3]; ресурсоемкий, чем обнаружение злоупотреблений, од-
• метод опорных векторов [9]; нако он позволяет обнаруживать не только известные, но
• деревья решений [9, 3]; также и неизвестные новые признаки и техники.
• искусственные нейронные сети [3]; Для пояснения данной классификации рассмотрим
• генетические алгоритмы [10] и др. также классификацию неизвестного ВПО относительно
Классификация по выявляемым признакам вредоно- конкретной методики, в соответствии с которой можно
сности. В соответствии с данной классификацией выде- выделить ВПО подобное тому, на котором обучалась ме-
ляют два типа методик: обнаружение аномалий и обнару- тодика и не являющееся таковым. Иными словами, такая
жение злоупотреблений. классификация представляет собой деление по степени
Методы обнаружения злоупотреблений основаны на подобия набора признаков вредоносности, которыми
описании вредоносных действий и попытке обнаружения обладает ВПО, и набора признаков, обнаруживаемых ме-
этих действий в исследуемом ВПО. Данный подход по- тодикой. Существующие методики балансируют между:
добен сигнатурному поиску, используемому для обнару- • эффективным обнаружением подобного ВПО (эф-
жения известного ВПО. Сигнатурный поиск используется фективность определяется вероятностью ошибки 1-го
для нахождения совпадений по коду программы, а методы рода) и низким обнаружением остальных его видов (ме-
обнаружения злоупотреблений – для поиска совпадений, тоды обнаружения злоупотреблений);
например, в поведении. Многие методики данной группы • менее эффективным обнаружением подобного
относительно легко реализуются и дают приемлемые ВПО, но более эффективным обнаружением остальных
уровни ошибок первого рода. Вместе с тем, данные ме- его видов (методы обнаружения аномалий).
тоды неспособны различать новые техники работы ВПО, Выводы. Таким образом, существует множество ме-
т.е. новые признаки вредоносности. В настоящее время тодик обнаружения неизвестного ВПО. Каждая из них
обнаружение злоупотреблений является наиболее распро- имеет свои преимущества, недостатки и особенности ис-
страненным подходом к обнаружению неизвестного ВПО. пользования. Но на данный момент не существует ме-
Методы обнаружения аномалий основаны на описании тодики, которая бы полностью решали задачу обнару-
нормальных (эталонных) особенностей программы (на- жения неизвестного ВПО с приемлемой эффективностью
пример, поведения) и попытке обнаружения отклонений для любых видов ВПО и при любых требованиях к си-
от этого эталона. Описание эталона затрудняется нали- стеме обнаружения ВПО. Теоретически объединение не-
чием очень сложных программ, а также описанной выше скольких методик может решить эту проблему. В качестве
проблемой полноты исследования программы. Данный направления для дальнейших исследований была выбрана
подход алгоритмически более сложный и зачастую более задача эффективного синтеза методик.

Литература:

1. Salomon D. Foundations of Computer Security // Springer-Verlag, 2006. – 369 p.


2. Зегжда Д.П. Общая архитектура систем обнаружения вторжений // Проблемы информационной безопасности.
Компьютерные системы. – 2001. – № 4. – С. 100–110.
3. Rabaiotti J. Counter Intrusion Software: Malware Detection using Process Behaviour Classification and Machine
Learning // URL: http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.102.2417&rep=rep1& type=pdf.
Дата обращения: 13.05.2009.
4. Макаров В.Ф. Основные методы исследования программных средств скрытого информационного воздействия
// Безопасность информационных технологий. – 2009. – № 4. – С. 11–17.
5. Kolter J. Learning to Detect Malicious Executables in the Wild // Proc. of the 10th ACM SIGKDD Intern. Conf. on
Knowledge Discovery and Data Mining. – 2004. – P. 470–478
6. Туманов Ю.М.. Обнаружение вредоносных сценариев javascript на основе поведенческих сигнатур // Безопа-
сность информационных технологий. – 2009. – № 4. – С. 63–65.
7. Ilgun K. State transition analysis: A rule-based intrusion detection approach // IEEE Transactions on Software
Engineering 21 (3). – 1995. – P. 181–199
8. Нестерук Г.Ф. О применении нейронечетких сетей в адаптивных системах информационной защиты // Ней-
роинформатика-2005: Материалы VII всероссийской научно-технической конференции. – М МИФИ (ТУ). –
2005. – С. 163–171.
9. Kotenko I. Intrusion detection in unlabeled data with one-class Support Vector Machines // Detection of Intrusions
and Malware & Vulnerability Assessment (DIMVA 2004), Lecture Notes in Informatics (LNI), No. 46, Dortmund,
Germany, July 2004. – P. 71–82.
10. Kim C. Effective detector set generation and evolution for artificial immune system // Proc. of International conference
on computational science (ICCS 2004) . – Springer-Verlag, 2004. – P. 491–498.