Аналитический обзор методов обнаружения вредоносных программ в распределенных вычислительных системах | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 30 ноября, печатный экземпляр отправим 4 декабря.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №18 (256) май 2019 г.

Дата публикации: 02.05.2019

Статья просмотрена: 979 раз

Библиографическое описание:

Корнейченко, А. В. Аналитический обзор методов обнаружения вредоносных программ в распределенных вычислительных системах / А. В. Корнейченко. — Текст : непосредственный // Молодой ученый. — 2019. — № 18 (256). — С. 90-93. — URL: https://moluch.ru/archive/256/58564/ (дата обращения: 18.11.2024).



Цель данной работы: определить эффективность методов обнаружения вредоносных программ для РВС.

В статье были изучены продукционные / экспертные системы обнаружения атак, изучен метод обнаружения вторжений на основе графовых методов, произведен анализ перехода системы из состояния в состояние, исследован статический анализ последовательности системных вызовов. Исследованы методы конечных автоматов, методы анализа поведения системы, методы анализа интенсивности передачи сетевых пакетов.

Ключевые слова: вредоносное программное обеспечение, метод обнаружения, распределенная вычислительная сеть.

The purpose of this work: to determine the effectiveness of malware detection methods for PBC.

The article studied the production / expert attack detection systems, studied the method of intrusion detection based on graph methods, analyzed the transition of the system from state to state, investigated static analysis of the sequence of system calls. Methods of finite automata, methods of analyzing the behavior of the system, methods of analyzing the intensity of the transmission of network packets are investigated.

Key words: malware, detection method, distributed computing network.

В настоящее время важную роль играет проблема защиты корпоративных распределенных информационно-вычислительных сетей от вторжений вирусных программ. В 2018 году в первом квартале зафиксировано 796 806 112 вредоносных программ, это означает, что проблема обеспечения защиты информационных структур актуальна [7].

Актуальность исследуемой проблемы обусловлена увеличением количества вредоносных программ. В данной статье произведен обзор и анализ методов обнаружения вредоносных программ.

Основная задача при защите от вредоносного ПО — это изучение методов обнаружения вредоносных программ. В ходе исследований в области обнаружения вредоносного ПО можно выделить работы [4–6,8,9]. В отмеченных исследованиях описаны методы обнаружения вредоносных программ, также в работах описано каким образом производится выработка требований к системе защиты. В работах [2,3] рассматриваются модели обнаружения вредоносного ПО, учитывающие такой параметр, как скорость и время обнаружения. В данных работах не рассмотрен метод графовых моделей обнаружения вредоносного ПО, не выявлены все недостатки методов. В настоящее время существует необходимость в оценке методов обнаружения вредоносного программного обеспечения для выявления наиболее эффективного метода обнаружения вредоносных программ.

Цель данной работы: определить эффективность методов обнаружения вредоносных программ для РВС.

Существует большинство методов обнаружения вредоносных программных средств, для локальных вычислительных систем, но в большинстве случаев не учитываются особенности обнаружения ВПО для распределенных вычислительных систем.

Для защиты локальных сетей от ВПО необходимо:

 Своевременное выявление;

 Своевременное противодействие на ВПО;

 Своевременное обновление уязвимостей локальной вычислительной системы;

 Резервирование данных и программных средств вычислительной системы.

Для защиты распределённых сетей от ВПО необходимо дополнительно:

 Выявление источников и маршрутов.

В связи с этим существует необходимость исследования дополнительных методов обнаружения ВПО в РВС. Наиболее часто используемые методы, охватывающие большой спектр вредоносных программ это:

Сигнатурные методы анализа

Продукционные / экспертные системы обнаружения атак;

Обнаружение вторжений, основанное на модели;

Анализ перехода системыиз состояния в состояние.

Статистические методы анализа

Статический анализ последовательности системных вызовов;

Конечные автоматы.

Эвристические методы

Анализ поведения системы.

Мониторинг активности

Анализ интенсивности передачи сетевых пакетов.

Сигнатурные методы анализа [12] описывают каждую атаку индивидуальной моделью, или сигнатурой. Ею могут служить строка символов, семантическое выражение, формальная математическая модель и т. д. [5].

Продукционные / экспертные системы обнаружения вторжения кодируют данные об атаках и правила импликации «если... то», а также подтверждают их, обращаясь к контрольным записям событий. Ресурсоемкость метода средняя, время выявление ВПО высокое, эффективность выявления ВПО на ранней стадии низкая, эффективность выявления ВПО на поздней стадии высокая, ложные срабатывания максимальны.

Обнаружение вторжений, основанное на модели, — один из вариантов, объединяющий модели вторжения и доказательств, поддерживающих вывод о вторжении. В системе обнаружения вторжений поддерживается база данных сценариев атак. Ресурсоемкость метода средняя, время выявление ВПО высокое, эффективность выявления ВПО на ранней стадии высокая, эффективность выявления ВПО на поздней стадии высокая, ложные срабатывания минимальны.

Анализ перехода системыиз состояния в состояние осуществлён в системах STAT и USTAT под ОС UNIX. В них обнаружения вторжений атаки представляются как последовательность переходов контролируемой системы из состояния в состояние. Ресурсоемкость метода высокая, время выявление ВПО высокое, эффективность выявления ВПО на ранней стадии низкая, эффективность выявления ВПО на поздней стадии высокая, ложные срабатывания средние.

Статистические методы анализа предназначены для выявления безопасности поведения программ и систем обнаружения нарушителя [5].

Статический анализ последовательности системных вызовов основывается на том, что каждое новое наблюдение переменной должно укладываться в некоторых границах. Если этого не происходит, то имеет место отклонение. Ресурсоемкость метода высокая, время выявление ВПО высокое, эффективность выявления ВПО на ранней стадии высокая, эффективность выявления ВПО на поздней стадии низкая, ложные срабатывания минимальны.

Метод конечных автоматов состоит в разработке конечного автомата для распознавания «языка» трассы программы. Для этого существует много методик, основанных на использовании как детерминированных, так и вероятностных автоматов. Ресурсоемкость метода низкая, время выявление ВПО низкое, эффективность выявления ВПО на ранней стадии высокая, эффективность выявления ВПО на поздней стадии низкая, ложные срабатывания максимальны.

Эвристические методы. Программу, которая анализирует код проверяемого объекта и по косвенным признакам определяет, является ли объект вредоносным, называют эвристический анализатор (эвристик) [3]. Ресурсоемкость метода высокая, время выявление ВПО высокое, эффективность выявления ВПО на ранней стадии средняя, эффективность выявления ВПО на поздней стадии высокая, ложные срабатывания минимальны.

Метод мониторинга характеристик передачи сетевого трафика. Перспективен способ обнаружения быстро распространяющихся вирусов и червей, основанный на постоянном мониторинге сетевого трафика. Ресурсоемкость метода высокая, время выявление ВПО высокое, эффективность выявления ВПО на ранней стадии высокая, эффективность выявления ВПО на поздней стадии высокая, ложные срабатывания максимальны. При отслеживании параметров передачи сетевого трафика система анализирует количество пакетов данных, пересылаемых между различными сетями, и в случае обнаружения аномального всплеска активности подаёт сигнал тревоги. Это позволяет идентифицировать вирусную эпидемию в течение долей секунды после её начала [12].

Затронутые выше методы систематизированы в таблице, где символом «3» отмечены методы с наилучшими характеристиками по данному параметру, символом «1» — методы с наихудшими, «2» — с средними. Сравнение взято из литературы.

В таблице 1 приведена характеристика методов обнаружения вредоносных ПО.

Таблица 1

Сравнительная характеристика методов обнаружения вредоносных программ

Классы методов анализа

Методы анализа

Параметры

Ресурсоёмкость

Время выявления

Эффективность на ранней стадии

Эффективность на поздней стадии

Ложные срабатывания

Необходимость обучения системы

Сумма

Сигнатурный

Продукционные / экспертные системы обнаружения атак

2

3

1

3

3

3

16

Обнаружение вторжений на основе графовых методов

3

3

3

3

2

3

19

Анализ перехода системы из состояния в состояние

3

3

1

3

2

3

17

Статический

Статический анализ последовательности системных вызовов

3

3

3

1

1

1

15

Конечные автоматы

1

1

3

1

1

1

11

Эвристический

Анализ поведения системы

3

3

2

3

1

3

18

Мониторинг активности

Анализ интенсивности передачи сетевых пакетов

3

3

3

3

1

3

18

Из таблицы видно, что метод обнаружения вторжений отличается высокой эффективностью в отличии от других методов обнаружения ВПО.

Обнаружение вторжений на основе графовых методов служит дополнением к другим методам выявления потенциально опасной активности в РИВС. Для повышения надежности детектирования вредоносной активности и сведения риска ложного срабатывания к минимуму в данном случае требуется составление сигнатур распространения неизвестных червей.

Литература:

  1. Брэгг, Р. Н. Безопасность сетей: полное руководство / Р. Н. Брэгг. — М.: ЭКОМ, 2006. — 912 c.
  2. Вредоносные программы: классификация, методы предупреждения внедрения, обнаружения и удаления вредоносных программ // Молодой ученый URL: https://studopedia.ru/4_29888_vredonosnie-programmi-klassifikatsiya-metodi-preduprezhdeniya-vnedreniya-obnaruzheniya-i-udaleniya-vredonosnih-programm.html
  3. Гудилин О. Проактивность как средство борьбы с вирусами [Электронный ресурс]. -Режим доступа: http://www.viruslist.com/ru/analysis?pubid= 189544544.
  4. Комашинский Д. В. Методики выявления потенциально вредоносных файловых объектов на основе интеллектуального анализа данных: — СПб, 2014. — 21 с.
  5. Корт C. C. Методы обнаружения нарушителя [Электронный ресурс]. — Режим доступа: http://www.ssl.stu.neva.ru/sam/
  6. Лысенко А. В., Кожевникова И. С., Ананьин Е. В., Никишова А. В. Анализ методов обнаружения вредоносных программ // Молодой Ученый. — 2016. — № 21. — С. 758–761.
  7. Матиас Р. Анализ поведения и эвристические методы выявления вирусов [Электронный ресурс]. — Режим доступа: http://www.osp.ru/lan/2006/10/3474604/
  8. Методы обнаружения вредоносных программ // Молодой ученый URL: https://zdamsam.ru/a31449.html.
  9. Монахов Ю. М., Груздева Л. М. Теоретическое и экспериментальное исследование распределенных телекоммуникационных систем в условиях воздействия вредоносных программ: автореф. дис.... Канд. техн. наук — Владимир, 2013. — 132 с.
  10. Развитие информационных угроз в первом квартале 2018 года. Статистика [Электронный ресурс] / Сайт «securelist» — Режим доступа https://securelist.ru/it-threat-evolution-q1–2018-statistics/89767/
  11. Разработка методов и средств анализа информационной безопасности и обнаружения воздействий в распределенных вычислительных системах // Молодой ученый URL: http://tekhnosfera.com/razrabotka-metodov-i-sredstv-analiza-informatsionnoy-bezopasnosti-i-obnaruzheniya-vozdeystviy-v-raspredelennyh-vychislite
  12. Сердюк В. Вы атакованы — защищайтесь! [Электронный ресурс]. — Режим доступа: http://www.by temag.ru/articles/detail.php?ID=9036.
Основные термины (генерируются автоматически): эффективность выявления, поздняя стадия, ранняя стадия, ресурсоемкость метода, обнаружение вторжений, программа, статический анализ последовательности, метод обнаружения, сетевой трафик, экспертная система обнаружения атак.


Ключевые слова

метод обнаружения, вредоносное программное обеспечение, распределенная вычислительная сеть

Похожие статьи

Интеллектуализация системы обнаружения и предотвращения сбоев в сети

В статье обсуждены вопросы разработки программного приложения по обнаружению, предотвращению и предсказанию наблюдающихся сбоев в составе локальной сети. Целью создания программного приложения является интеллектуализация его алгоритмов, где на основе...

Совершенствование системы обеспечения информационной безопасности кредитной организации с помощью экономико-математических методов

Рассматриваются системы защиты информации ограниченного доступа банковских систем. Рассматривается задача модификации и улучшения средств и мер защиты для повышения общего уровня защищенности. Предложено решение задачи путем применения экономико-мате...

Идентификация и аутентификация пользователей для автоматизированных систем высших учебных заведений

Статья посвящена организации идентификации и аутентификации пользователей в автоматизированной системе вуза. Показано, что результаты, достигнутые на текущий момент в решении задач интеллектуального анализа данных идентификации и аутентификации польз...

Программный модуль моделирования атак в сегменте корпоративной сети с учетом оценки риска

Разработан программный модуль анализа атак в корпоративной сети на основе оценки рисков. В основу данного модуля положен новый метод на основе уязвимостей каждого элемента сети.

Методы верификации программного обеспечения

В статье идет речь об исследовании и классификации методов верификации программного обеспечения (ПО). Осуществлен обзор имеющихся статических методов верификации, исследованы характеристики методов и осуществлено исследование на обнаружение зависимос...

Исследование нейросетевых технологий для выявления инцидентов информационной безопасности

На сегодня системы обнаружения вторжений (СОВ) обычно представляют собой программные или аппаратно-программные решения, которые автоматизируют процесс контроля событий, протекающих в компьютерной системе или сети. Поскольку количество различных источ...

Анализ систем обнаружения вторжений на основе интеллектуальных технологий

В статье рассматривается проблема актуальности применения интеллектуальных технологий в системах обнаружения вторжений, их потенциальные возможности, преимущества перед аналогами, использующими традиционные методы выявления угроз и недостатки данных ...

Защита корпоративных сетей от внутренних атак

В данной статье исследуется разработка корпоративной сети на базе технологии Multiprotocol Label Switching (MPLS) и стратегии защиты от атак типа Address Resolution Protocol (ARP) spoofing и троянских программ [1]. Основой стратегии безопасности служ...

Распределенные информационные системы: особенности применения и построения

Данная статья направлена на исследование вопроса построения распределенных информационных систем. Рассмотрены методы Grid и Cloud в качестве средства построения распределенных ИС, а также технологии построения распределенных баз данных.

Стратификации типов предприятий при построении модели угроз информационной безопасности для удаленного режима работы

Для построения эффективной системы противодействия угрозам, сопутствующим удаленному режиму работы в исследовании предложено разделение предприятий на три типа, с учетом их специфики и проанализирована полезность такой классификации.

Похожие статьи

Интеллектуализация системы обнаружения и предотвращения сбоев в сети

В статье обсуждены вопросы разработки программного приложения по обнаружению, предотвращению и предсказанию наблюдающихся сбоев в составе локальной сети. Целью создания программного приложения является интеллектуализация его алгоритмов, где на основе...

Совершенствование системы обеспечения информационной безопасности кредитной организации с помощью экономико-математических методов

Рассматриваются системы защиты информации ограниченного доступа банковских систем. Рассматривается задача модификации и улучшения средств и мер защиты для повышения общего уровня защищенности. Предложено решение задачи путем применения экономико-мате...

Идентификация и аутентификация пользователей для автоматизированных систем высших учебных заведений

Статья посвящена организации идентификации и аутентификации пользователей в автоматизированной системе вуза. Показано, что результаты, достигнутые на текущий момент в решении задач интеллектуального анализа данных идентификации и аутентификации польз...

Программный модуль моделирования атак в сегменте корпоративной сети с учетом оценки риска

Разработан программный модуль анализа атак в корпоративной сети на основе оценки рисков. В основу данного модуля положен новый метод на основе уязвимостей каждого элемента сети.

Методы верификации программного обеспечения

В статье идет речь об исследовании и классификации методов верификации программного обеспечения (ПО). Осуществлен обзор имеющихся статических методов верификации, исследованы характеристики методов и осуществлено исследование на обнаружение зависимос...

Исследование нейросетевых технологий для выявления инцидентов информационной безопасности

На сегодня системы обнаружения вторжений (СОВ) обычно представляют собой программные или аппаратно-программные решения, которые автоматизируют процесс контроля событий, протекающих в компьютерной системе или сети. Поскольку количество различных источ...

Анализ систем обнаружения вторжений на основе интеллектуальных технологий

В статье рассматривается проблема актуальности применения интеллектуальных технологий в системах обнаружения вторжений, их потенциальные возможности, преимущества перед аналогами, использующими традиционные методы выявления угроз и недостатки данных ...

Защита корпоративных сетей от внутренних атак

В данной статье исследуется разработка корпоративной сети на базе технологии Multiprotocol Label Switching (MPLS) и стратегии защиты от атак типа Address Resolution Protocol (ARP) spoofing и троянских программ [1]. Основой стратегии безопасности служ...

Распределенные информационные системы: особенности применения и построения

Данная статья направлена на исследование вопроса построения распределенных информационных систем. Рассмотрены методы Grid и Cloud в качестве средства построения распределенных ИС, а также технологии построения распределенных баз данных.

Стратификации типов предприятий при построении модели угроз информационной безопасности для удаленного режима работы

Для построения эффективной системы противодействия угрозам, сопутствующим удаленному режиму работы в исследовании предложено разделение предприятий на три типа, с учетом их специфики и проанализирована полезность такой классификации.

Задать вопрос