В.Б. Щербаков

Н.Н. Толстых

Г.А. Остапенко

Обнаружение вторжений на основе анализа фрагментов унитарного кода

Учебное пособие

Воронеж 2007

ГОУВПО

«Воронежский государственный технический

университет»

В.Б. Щербаков

Н.Н. Толстых

Г.А. Остапенко

ОБНАРУЖЕНИЕ ВТОРЖЕНИЙ

НА ОСНОВЕ АНАЛИЗА

ФРАГМЕНТОВ УНИТАРНОГО КОДА

Утверждено Редакционно-издательским советом

университета в качестве учебного пособия

В оронеж 2007

УДК 002.001;002:001.8

Щербаков В.Б. Обнаружение вторжений на основе анализа фрагментов унитарного кода: учеб. пособие / В.Б. Щербаков, Н.Н. Толстых, Г.А. Остапенко. - Воронеж: ГОУВПО «Воронежский государственный технический университет», 2007. – 85 с.

Учебное пособие посвящено исследованию обнаружения вторжений, реализуемых в компьютерных системах, на основе анализа фрагментов унитарного кода. В издании разработана структурно-функциональная схема программно-аппаратного комплекса анализа проходящего потока унитарного кода в телекоммуникационной системе. На основе анализа функционирования телекоммуникационной системы в режиме информационного конфликта определены основные этапы и способы проведения анализа потоков унитарного кода. Также разработан алгоритм оценки показателей опасности исследуемого унитарного кода, отличающийся последовательным анализом на структурном, сигнатурном и системном уровнях.

Издание соответствует требованиям Государственного образовательного стандарта высшего профессионального образования по направлению 090100 «Информационная безопасность», специальностям 090102 «Компьютерная безопасность», 090106 «Информационная безопасность телекоммуникационных систем», дисциплине «Компьютерные преступления».

Издание предназначено студентам и аспирантам.

Учебное пособие подготовлено в электронном виде в текстовом редакторе MS WORD и содержится в файле кафедра СИБ4.document.

Табл. 6. Ил. 10. Библиогр.: 61 назв.

Научный редактор д-р техн. наук, проф. А.Г. Остапенко

Рецензенты: кафедра информационной безопасности Воронежского института МВД России (зав. кафедрой, канд. техн. наук, доц. О.С. Овсентьев);

д-р техн. наук, проф. Г.С. Остапенко

© Щербаков В.Б., Толстых Н.Н.,

Остапенко Г.А., 2007

© Оформление. ГОУВПО "Воронежский государственный технический университет", 2007

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ 6

1. МЕТОДЫ ОБНАРУЖЕНИЯ ВРЕДОНОСНЫХ ФРАГМЕНТОВ УНИТАРНОГО КОДА В ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ 8

1.1. Методы и средства сигнатурного обнаружения потенциально опасных фрагментов унитарного кода 9

1.1.1. Логическое моделирование цифровых схем с помощью ЭВМ 10

1.1.2. Моделирование неисправностей цифровых схем 11

1.1.3. Моделирование процесса тестовой диагностики цифровых схем 11

1.1.4. Сигнатурный анализ цифровых схем 12

1.1.5. Одноканальный сигнатурный анализатор 14

1.1.6. Методы, использующие сигнатуры вторжений 17

1.2. Методы и средства структурного обнаружения потенциально опасных фрагментов унитарного кода 21

1.2.1. Метод неинтеллектуального дизассемблирования 22

1.2.2. Метод интеллектуального дизассемблирования от точки входа 24

1.2.3. Метод потокового анализа 26

1.2.4. Метод разметки (предиката) 28

1.2.5. Дизассемблер автоматизированного анализа 29

1.3. Методы и средства системного обнаружения потенциально опасных фрагментов унитарного кода 31

1.3.1. Метод статистического анализа 31

1.3.2. Метод эвристического анализа 33

1.4. Этапы проведения анализа потоков унитарного кода 35

2. ПРОГРАММНО-АППАРАТНЫЙ КОМПЛЕКС ОБНАРУЖЕНИЯ ВРЕДОНОСНЫХ ФРАГМЕНТОВ УНИТАРНОГО КОДА В ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ 38

2.1. Методика оценки потенциальной опасности фрагментов унитарного кода 38

2.2. Алгоритм оценки потенциальной опасности фрагментов унитарного кода 58

2.3. Структурно-функциональная схема программно-аппаратного комплекса анализа фрагментов унитарного кода 69

2.4. Риск-анализ использования технологий обнаружения информационных воздействий 74

ВОПРОСЫ ДЛЯ САМОКОНТРОЛЯ 81

ЗАКЛЮЧЕНИЕ 83

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 84

ВВЕДЕНИЕ

Сегодня многие средства обнаружения и нейтрализации информационных воздействий основаны на методах сигнатурного (фагового) или эвристического анализа.

Однако фаговые методы эффективно работают только при известных типах воздействий, в то время как почти ежедневно появляются новые виды атак, сигнатура которых на данный момент не известна. В этих случаях используются методы эвристического анализа.

Эвристический анализ позволяет обнаружить вредоносные программы или их фрагменты, при котором программное средство защиты информации контролирует все действия, выполняемые проверяемой программой. В ходе эвристического анализа отслеживаются потенциально опасные действия, характерные для вирусов и вредоносных программ других типов. Контролируя действия проверяемых программ, эвристический анализатор способен обнаружить новые, неизвестные вирусы еще до того, как эти вирусы начали действовать. Тем не менее, эвристический анализ не дает полной гарантии обнаружения любых новых вирусов и начинает работу, когда потенциально опасный фрагмент кода уже размещен в операционной среде. Кроме того, эвристический анализатор может отнести «безобидную» программу к классу потенциально опасных. Это происходит в тех случаях, когда программа выполняет какие-либо действия, характерные для вирусов или вредоносных программ другого типа.

Суть функционирования эвристического анализатора заключается в следующем. Анализируемые файлы раскрываются и на эмуляторе процессорного блока, с учетом особенностей операционной платформы, проводится их трассировка. При этом определяется состояние основных элементов системы, которое будет реализовано при выполнении исследуемого пакета унитарного кода. Если определенное таким образом состояние не относится к разрешенным, то происходит дополнительный разбор, в процессе которого исследуются дополнительные возможные пути развития процесса обработки исследуемого пакета.

На сегодняшний день почти все антивирусные программы, имеют собственный алгоритм эвристического анализа. В подавляющем большинстве случаев они надежны: корректно определяют вирусы и не трогают остальные программы. Хотя иногда возникают случаи, когда эвристический анализ не может дать однозначный ответ. В этом случае сканеры выдают пользователю сообщение о том, что данный файл находится на подозрении. При этом администратору предоставляется право решать, что же с ним делать: удалить или оставить все как есть.

С учетом этих недостатков известных средств обнаружения вредоносных программных продуктов можно считать целесообразным поиск новых методов обнаружения новых видов и типов информационных воздействий, причем до момента их размещения в операционной среде конкретной информационно-телекоммуникационной системы.

Настоящая работа посвящена анализу методов и разработке структурно-функциональной схемы программно-аппаратного комплекса анализа проходящего потока унитарного кода в информационно-телекоммуникационной системе.