А.А. МАТРОСОВ, Ф.Ю. КУЛИШОВ Научный руководитель – Т.М. ПЕТРОВА, к.т.н.

А.А. МАТРОСОВ, Ф.Ю. КУЛИШОВ
Научный руководитель – Т.М. ПЕТРОВА, к.т.н.
Московский инженерно-физический институт (государственный университет)
НОВЫЕ ПОДХОДЫ К ОБНАРУЖЕНИЮ ВРЕДОНОСНЫХ
ДАННЫХ В ИНФОРМАЦИОННОМ ПОТОКЕ
Целью данной работы является рассмотрение проблемы обнаружения
вредоносных данных в информационной среде, по которой осуществляется их
доставка. В данной работе предлагаются инновационные подходы для решения
этой проблемы - подход с нечеткой сигнатурой и использование аппарата
математической статистики для обнаружения вредоносных данных. Такой
подход к обнаружению вредоносных данных позволяет значительно повысить
скорость обнаружения и предупреждать атаки такого рода, так как механизмы
обнаружения работают на уровне передающей информационной среды еще до
момента доставки вредоносных данных получателю.
На сегодняшний день наиболее остро ощутима проблема, связанная с
атаками c использованием вредоносных данных; в роли вредоносных
данных выступают различные компьютерные вирусы и программы,
нацеленные на удаленные атаки при помощи
уязвимостей в
программном обеспечении. Существующие на данный момент средства
не готовы обеспечивать необходимой степени реакции на
высокопроизводительных каналах связи. Существующие средства
обнаружения можно разделить на два класса:

Антивирусные прокси-сервера;

Потоковые антивирусные технологии;
К первому классу относят распространенный способ обнаружения через промежуточный прокси-сервер, обрабатывающий все протоколы,
имеющие возможность передачи данных, то есть собираются
информационные сеансы, инициированные при помощи этих
протоколов, и после этого осуществляется антивирусная проверка
полученного объекта. У такого подхода есть ряд существенных
недостатков: во-первых, работа осуществляется не с передающим
потоком, а с полученным из него объектом, что существенно снижает
производительность работы такой системы в целом. Во-вторых,
аппаратная реализация такого подхода практически невозможна, что
пагубно сказывается на производительности при установке такого
программного обеспечения на граничные сетевые устройства,
отвечающие за безопасность сетевого периметра.
Ко второму классу относятся антивирусные технологии, которые
позволяют работать не с объектами, а непосредственно с потоком
передающей среды. Это позволяет существенно ускорить обработку
передающего потока. К преимуществам потоковых технологий следует
отнести их нацеленность на аппаратную реализацию, в отличии
предыдущего класса. Данный подход еще не получил широкого
распространения, но ряд крупных антивирусных компаний уже имеет
готовые для внедрения потоковые технологии. К недостаткам этого
подхода можно отнести невозможность обнаружения полиморфных
данных ввиду алгоритмической базы, заложенной в самой технологии
работы с потоком. Также к недостаткам относится нацеленность данной
технологии на сигнатурную обработку, что существенно снижает
область покрытия вредоносных объектов, так как объем сигнатурной
базы непосредственно влияет на скорость обработки.
В ходе проведенного исследования была предложена альтернативная
потоковая технология, ориентированная на обнаружение вредоносных
данных, в том числе и полиморфных. В ходе работы была пересмотрена
сигнатурная модель, используемая на данный момент во всех известных
потоковых антивирусах, и предложена технология обобщенной
сигнатуры. Суть обобщенной сигнатуры заключается в том, что она
описывает не конкретный вредоносный объект, а свойства и
характеристики, присущие целому классу вредоносных объектов.
Предложенный подход позволяет эффективно обнаруживать не только
известные вредоносные данные, но и обнаруживать новые еще
неизвестные объекты, обладающие характеристиками уже известных
вредоносных объектов. Такой подход позволяет обнаруживать
полиморфные объекты, так как после каждой мутации объект всё равно
обладает характеристиками, позволяющими идентифицировать для
конкретного класса вредоносных объектов. В ходе разработки была с
самого начала предусмотрена аппаратная реализация разработанных
алгоритмов, что позволяет эффективно реализовать предложенный
подход на встраиваемых платформах.
Обнаружение защищенных от исследования вредоносных объектов
представляет собой особый интерес. Для решения этой задачи были
предложены и другие подходы, основанные на теории вероятности и
математической статистике. Подобные технологии уже положительно
зарекомендовали себя в задачах борьбы с нежелательной электронной
почтой; по своей сути эти задачи близки задачам обнаружения
вредоносных данных.
В первом из них используется анализ секций исполняемого файла на
предмет импортируемых системных функций, которые не всегда
скрываются даже после применения средств защиты кода от
исследования (протекторов). Для оценки поведения программы
применяются байесовские условные вероятности. Вредоносность
программы определяется исходя из того, сколько она импортирует
функций, относительно часто встречающиеся среди вредоносной
обучающей выборки программ; таким же образом происходит
вычисление ее легитимности, после чего по соотношению
«вредоносность/легитимность» делается предположение о ее поведении.
Такой способ анализа может обнаруживать ранее неизвестные
вредоносные образцы и обладает высоким быстродействием,
достаточным для применения его в режиме реального времени. Но для
этого требуется сборка объекта в промежуточном буфере на
антивирусном прокси-сервере, что сильно затрудняет аппаратную
реализацию. Кроме того, такой способ не всегда применим на реальных
данных и является склонным к частым ложным тревогам, что делает
необходимым использование его только в составе комплекса
обнаружения.
Дальнейшее развитие этого метода состоит в привлечении большего
количества признаков для анализа новых образцов, таких как размер
файла, размер секций исполняемого кода, размер сжатых/шифрованных
секций, аномалии при описании секций. По этим данным можно
построить кластеры в многомерном пространстве признаков и
производить кластерный анализ принадлежности новых образцов
какому-либо из заранее определенных классов. Эти алгоритмы в данный
момент находятся в стадии реализации.
Другой способ основывается на поисках сходства между файлами
путем совместного сжатия. Новый образец сжимается определенным
алгоритмом, после чего он объединяется с каждым из образцов
обучающей выборки и производится сжатие таких пар файлов как
одного. По длинам образцов до и после сжатия вычисляется мера
расстояния, чем она меньше, тем более похожими признаются эти два
файла.
Отличительной чертой этого метода является универсальность – он
способен классифицировать не только ПО; кроме того, он может
обнаруживать сходный по структуре код в сравниваемых образцах.
Недостатками являются низкое быстродействие и заметное количество
ложных срабатываний, сильно зависящее от свойств обучающей
выборки.
Для улучшения этих качеств был применен отбор только
исполняемого кода вместо анализа файла целиком и предварительная
кластеризация обучающих выборок. Данный модуль подходит для задач
отложенного (фонового) анализа или для использования на
низкоскоростных линиях связи.
Задачами ближайшего времени являются интеграция описанных
модулей в единую систему и оценка ее качеств – производительности,
эффективности и стоимости реализации.
Список литературы
1. А.А Матросов. Проектирование системы обнаружения вторжений на основе
структурного анализа типовых нарушений безопасности в сети // В сб. Технологии
Microsoft в теории и практике программирования: труды Всероссийской конференции
студентов, аспирантов и молодых учёных. М.: МГТУ им. Н. Э. Баумана, 2006. -с.86.
2. А.А Матросов. Формат сигнатуры для выявления сетевых вторжений и корректной
реакции на них // В сб. Проблемы информационной безопасности в системе высшей
школы. – М.: МИФИ, 2006. -с.131-133.
3. А.А Матросов. Разработка многоуровневой системы обнаружения сетевых атак //
В сб. Технологии Microsoft в теории и практике программирования: труды Всеросс. конф.
студентов, аспирантов и молодых учёных. М.: МГТУ им. Н. Э. Баумана, 2006. -с.86-87.
4. А.А Матросов. Обнаружение вредоносных данных в информационном потоке //В
сб. Проблемы информационной безопасности в системе высшей школы. М.: МИФИ, 2007.
5. Матросов
А.А
«Обнаружение
вредоносных
данных
в
передающей
информационной среде» ¬ http://ruscrypto.ru/conference/
6. А.А Матросов. Архитектура систем обнаружения сетевых вторжений. //
Безопасность информационных технологий. 2005. №4. с.47-50.
7. Г. Хогланд, Г. Мак-Гроу «Взлом программного обеспечения: анализ и
использование кода» М.: Издательский дом «Вильямс», 2005
8. Д. Хопкрофт, Р. Матвани, Д. Ульман «Введение в теорию автоматов, языков и
вычислений – 2-е изд. » М.: Издательский дом «Вильямс», 2002
9. Кулишов Ф.Ю. Выявление вредоносного ПО в трафике методами математической
статистики (рукопись). М.: МИФИ, 2007
10. Кулишов Ф.Ю. «Вероятностное обнаружение новых образцов вредоносного ПО»
(рукопись). М.: МИФИ, 2007
11. Robinson
G.A
Statistical
Approach
to
the
Spam
Problem.
http://www.linuxjournal.com/article/6467, 2003
12. Документация проекта SpamBayes. —http://spambayes.sourceforge.net
13. Cilibrasi R,, Vitanyj P. Clustering by Compression. IEEE Trans. Infomat. Th.,
Submitted, http://arxiv.org/abs/cs.CV/0312044, 2004
14. Wehner S. Analyzing Worms and Network Traffic using Compression. — Amsterdam:
Centrum voor Wiskunde en Informatica, 2006
15. Ким Дж.-О., Мьюллер Ч. У., Клекка У. Р., и др. Факторный, дискриминантный и
кластерный анализ.:Пер. с англ. М.:Финансы и статистика, 1989
16. Ватолин Д., А. Ратушняк А., Смирнов М., В. Юкин В. Методы сжатия данных.
Устройство архиваторов, сжатие изображений и видео. М.: Диалог-МИФИ, 2003