Аналитический обзор методов обнаружения вредоносных программ в распределенных вычислительных системах | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 1 февраля, печатный экземпляр отправим 5 февраля.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №18 (256) май 2019 г.

Дата публикации: 02.05.2019

Статья просмотрена: 92 раза

Библиографическое описание:

Корнейченко А. В. Аналитический обзор методов обнаружения вредоносных программ в распределенных вычислительных системах // Молодой ученый. — 2019. — №18. — С. 90-93. — URL https://moluch.ru/archive/256/58564/ (дата обращения: 22.01.2020).



Цель данной работы: определить эффективность методов обнаружения вредоносных программ для РВС.

В статье были изучены продукционные / экспертные системы обнаружения атак, изучен метод обнаружения вторжений на основе графовых методов, произведен анализ перехода системы из состояния в состояние, исследован статический анализ последовательности системных вызовов. Исследованы методы конечных автоматов, методы анализа поведения системы, методы анализа интенсивности передачи сетевых пакетов.

Ключевые слова: вредоносное программное обеспечение, метод обнаружения, распределенная вычислительная сеть.

The purpose of this work: to determine the effectiveness of malware detection methods for PBC.

The article studied the production / expert attack detection systems, studied the method of intrusion detection based on graph methods, analyzed the transition of the system from state to state, investigated static analysis of the sequence of system calls. Methods of finite automata, methods of analyzing the behavior of the system, methods of analyzing the intensity of the transmission of network packets are investigated.

Key words: malware, detection method, distributed computing network.

В настоящее время важную роль играет проблема защиты корпоративных распределенных информационно-вычислительных сетей от вторжений вирусных программ. В 2018 году в первом квартале зафиксировано 796 806 112 вредоносных программ, это означает, что проблема обеспечения защиты информационных структур актуальна [7].

Актуальность исследуемой проблемы обусловлена увеличением количества вредоносных программ. В данной статье произведен обзор и анализ методов обнаружения вредоносных программ.

Основная задача при защите от вредоносного ПО — это изучение методов обнаружения вредоносных программ. В ходе исследований в области обнаружения вредоносного ПО можно выделить работы [4–6,8,9]. В отмеченных исследованиях описаны методы обнаружения вредоносных программ, также в работах описано каким образом производится выработка требований к системе защиты. В работах [2,3] рассматриваются модели обнаружения вредоносного ПО, учитывающие такой параметр, как скорость и время обнаружения. В данных работах не рассмотрен метод графовых моделей обнаружения вредоносного ПО, не выявлены все недостатки методов. В настоящее время существует необходимость в оценке методов обнаружения вредоносного программного обеспечения для выявления наиболее эффективного метода обнаружения вредоносных программ.

Цель данной работы: определить эффективность методов обнаружения вредоносных программ для РВС.

Существует большинство методов обнаружения вредоносных программных средств, для локальных вычислительных систем, но в большинстве случаев не учитываются особенности обнаружения ВПО для распределенных вычислительных систем.

Для защиты локальных сетей от ВПО необходимо:

 Своевременное выявление;

 Своевременное противодействие на ВПО;

 Своевременное обновление уязвимостей локальной вычислительной системы;

 Резервирование данных и программных средств вычислительной системы.

Для защиты распределённых сетей от ВПО необходимо дополнительно:

 Выявление источников и маршрутов.

В связи с этим существует необходимость исследования дополнительных методов обнаружения ВПО в РВС. Наиболее часто используемые методы, охватывающие большой спектр вредоносных программ это:

Сигнатурные методы анализа

Продукционные / экспертные системы обнаружения атак;

Обнаружение вторжений, основанное на модели;

Анализ перехода системыиз состояния в состояние.

Статистические методы анализа

Статический анализ последовательности системных вызовов;

Конечные автоматы.

Эвристические методы

Анализ поведения системы.

Мониторинг активности

Анализ интенсивности передачи сетевых пакетов.

Сигнатурные методы анализа [12] описывают каждую атаку индивидуальной моделью, или сигнатурой. Ею могут служить строка символов, семантическое выражение, формальная математическая модель и т. д. [5].

Продукционные / экспертные системы обнаружения вторжения кодируют данные об атаках и правила импликации «если... то», а также подтверждают их, обращаясь к контрольным записям событий. Ресурсоемкость метода средняя, время выявление ВПО высокое, эффективность выявления ВПО на ранней стадии низкая, эффективность выявления ВПО на поздней стадии высокая, ложные срабатывания максимальны.

Обнаружение вторжений, основанное на модели, — один из вариантов, объединяющий модели вторжения и доказательств, поддерживающих вывод о вторжении. В системе обнаружения вторжений поддерживается база данных сценариев атак. Ресурсоемкость метода средняя, время выявление ВПО высокое, эффективность выявления ВПО на ранней стадии высокая, эффективность выявления ВПО на поздней стадии высокая, ложные срабатывания минимальны.

Анализ перехода системыиз состояния в состояние осуществлён в системах STAT и USTAT под ОС UNIX. В них обнаружения вторжений атаки представляются как последовательность переходов контролируемой системы из состояния в состояние. Ресурсоемкость метода высокая, время выявление ВПО высокое, эффективность выявления ВПО на ранней стадии низкая, эффективность выявления ВПО на поздней стадии высокая, ложные срабатывания средние.

Статистические методы анализа предназначены для выявления безопасности поведения программ и систем обнаружения нарушителя [5].

Статический анализ последовательности системных вызовов основывается на том, что каждое новое наблюдение переменной должно укладываться в некоторых границах. Если этого не происходит, то имеет место отклонение. Ресурсоемкость метода высокая, время выявление ВПО высокое, эффективность выявления ВПО на ранней стадии высокая, эффективность выявления ВПО на поздней стадии низкая, ложные срабатывания минимальны.

Метод конечных автоматов состоит в разработке конечного автомата для распознавания «языка» трассы программы. Для этого существует много методик, основанных на использовании как детерминированных, так и вероятностных автоматов. Ресурсоемкость метода низкая, время выявление ВПО низкое, эффективность выявления ВПО на ранней стадии высокая, эффективность выявления ВПО на поздней стадии низкая, ложные срабатывания максимальны.

Эвристические методы. Программу, которая анализирует код проверяемого объекта и по косвенным признакам определяет, является ли объект вредоносным, называют эвристический анализатор (эвристик) [3]. Ресурсоемкость метода высокая, время выявление ВПО высокое, эффективность выявления ВПО на ранней стадии средняя, эффективность выявления ВПО на поздней стадии высокая, ложные срабатывания минимальны.

Метод мониторинга характеристик передачи сетевого трафика. Перспективен способ обнаружения быстро распространяющихся вирусов и червей, основанный на постоянном мониторинге сетевого трафика. Ресурсоемкость метода высокая, время выявление ВПО высокое, эффективность выявления ВПО на ранней стадии высокая, эффективность выявления ВПО на поздней стадии высокая, ложные срабатывания максимальны. При отслеживании параметров передачи сетевого трафика система анализирует количество пакетов данных, пересылаемых между различными сетями, и в случае обнаружения аномального всплеска активности подаёт сигнал тревоги. Это позволяет идентифицировать вирусную эпидемию в течение долей секунды после её начала [12].

Затронутые выше методы систематизированы в таблице, где символом «3» отмечены методы с наилучшими характеристиками по данному параметру, символом «1» — методы с наихудшими, «2» — с средними. Сравнение взято из литературы.

В таблице 1 приведена характеристика методов обнаружения вредоносных ПО.

Таблица 1

Сравнительная характеристика методов обнаружения вредоносных программ

Классы методов анализа

Методы анализа

Параметры

Ресурсоёмкость

Время выявления

Эффективность на ранней стадии

Эффективность на поздней стадии

Ложные срабатывания

Необходимость обучения системы

Сумма

Сигнатурный

Продукционные / экспертные системы обнаружения атак

2

3

1

3

3

3

16

Обнаружение вторжений на основе графовых методов

3

3

3

3

2

3

19

Анализ перехода системы из состояния в состояние

3

3

1

3

2

3

17

Статический

Статический анализ последовательности системных вызовов

3

3

3

1

1

1

15

Конечные автоматы

1

1

3

1

1

1

11

Эвристический

Анализ поведения системы

3

3

2

3

1

3

18

Мониторинг активности

Анализ интенсивности передачи сетевых пакетов

3

3

3

3

1

3

18

Из таблицы видно, что метод обнаружения вторжений отличается высокой эффективностью в отличии от других методов обнаружения ВПО.

Обнаружение вторжений на основе графовых методов служит дополнением к другим методам выявления потенциально опасной активности в РИВС. Для повышения надежности детектирования вредоносной активности и сведения риска ложного срабатывания к минимуму в данном случае требуется составление сигнатур распространения неизвестных червей.

Литература:

  1. Брэгг, Р. Н. Безопасность сетей: полное руководство / Р. Н. Брэгг. — М.: ЭКОМ, 2006. — 912 c.
  2. Вредоносные программы: классификация, методы предупреждения внедрения, обнаружения и удаления вредоносных программ // Молодой ученый URL: https://studopedia.ru/4_29888_vredonosnie-programmi-klassifikatsiya-metodi-preduprezhdeniya-vnedreniya-obnaruzheniya-i-udaleniya-vredonosnih-programm.html
  3. Гудилин О. Проактивность как средство борьбы с вирусами [Электронный ресурс]. -Режим доступа: http://www.viruslist.com/ru/analysis?pubid= 189544544.
  4. Комашинский Д. В. Методики выявления потенциально вредоносных файловых объектов на основе интеллектуального анализа данных: — СПб, 2014. — 21 с.
  5. Корт C. C. Методы обнаружения нарушителя [Электронный ресурс]. — Режим доступа: http://www.ssl.stu.neva.ru/sam/
  6. Лысенко А. В., Кожевникова И. С., Ананьин Е. В., Никишова А. В. Анализ методов обнаружения вредоносных программ // Молодой Ученый. — 2016. — № 21. — С. 758–761.
  7. Матиас Р. Анализ поведения и эвристические методы выявления вирусов [Электронный ресурс]. — Режим доступа: http://www.osp.ru/lan/2006/10/3474604/
  8. Методы обнаружения вредоносных программ // Молодой ученый URL: https://zdamsam.ru/a31449.html.
  9. Монахов Ю. М., Груздева Л. М. Теоретическое и экспериментальное исследование распределенных телекоммуникационных систем в условиях воздействия вредоносных программ: автореф. дис.... Канд. техн. наук — Владимир, 2013. — 132 с.
  10. Развитие информационных угроз в первом квартале 2018 года. Статистика [Электронный ресурс] / Сайт «securelist» — Режим доступа https://securelist.ru/it-threat-evolution-q1–2018-statistics/89767/
  11. Разработка методов и средств анализа информационной безопасности и обнаружения воздействий в распределенных вычислительных системах // Молодой ученый URL: http://tekhnosfera.com/razrabotka-metodov-i-sredstv-analiza-informatsionnoy-bezopasnosti-i-obnaruzheniya-vozdeystviy-v-raspredelennyh-vychislite
  12. Сердюк В. Вы атакованы — защищайтесь! [Электронный ресурс]. — Режим доступа: http://www.by temag.ru/articles/detail.php?ID=9036.
Основные термины (генерируются автоматически): эффективность выявления, поздняя стадия, ранняя стадия, ресурсоемкость метода, статический анализ последовательности, обнаружение вторжений, программа, сетевой трафик, экспертная система обнаружения атак, метод обнаружения.


Похожие статьи

Анализ систем обнаружения вторжений на основе...

Системы обнаружения вторжений (СОВ) — это программные, аппаратные или программно-аппаратные средства и комплексы, предназначенные для выявления интернет-атак на сетевые ресурсы и попыток неправомерного доступа в компьютерную систему или сеть.

Анализ методов обнаружения аномалий для обнаружения...

Не существует отдельного класса методов по обнаружению сканирования портов, обычно данная функция включена в системы обнаружения атак [3]. На рис. 2 представлена схема обнаружения сетевых аномалий [4] на основе показателей сетевого трафика.

Разработка методики выявления сетевых атак с помощью Data...

В статье изложен опыт применения инструментов Data Mining при разработке методики обнаружения атак типа «отказ в обслуживании». Ключевые слова: обнаружение вторжений, Data Mining, дерево решений, аномальная активность, DoS-атака.

Анализ моделей и алгоритмов обнаружения компьютерных атак...

Системы обнаружения сетевых вторжений и выявления признаков атак на информационные системы уже давно применяются как один из необходимых рубежей обороны информационных систем.

Применение машинного обучения для обнаружения сетевых...

Обнаружение вторжений изучается в течение последних 20 лет. Вторжение — это деятельность, которая нарушает политику безопасности информационной системы [1]. Обнаружение вторжений основано на предположении...

Классификация методов обнаружения неизвестного...

Методику обнаружения неизвестного ВПО можно описать с помощью следующих параметров: данные, получаемые об исследуемом ПО, способы получения этих данных, математические методы, применяемые для анализа данных, и выявляемые признаки вредоносности [].

Исследование нейросетевых технологий для выявления...

Введение. Системы обнаружения сетевых вторжений (СОВ) и выявления признаков компьютерных атак на информационные системы уже давно применяются как один из необходимых рубежей обороны информационных систем.

Контролируемые методы машинного обучения как средство...

Обнаружение аномалий является ключевым вопросом при обнаружении вторжений, в котором отклонение от нормального поведения указывает на наличие преднамеренных или непреднамеренных атак, ошибок, дефектов и др. В данной статье представлен обзор научных...

Системы обнаружения сетевых вторжений и выявления...

Эффективность системы обнаружения атак во многом зависит от методов анализа информации. В самых первых системах, разработанных в начале 80-х, использовались статистические методы обнаружения атак. С тех пор появилось и множество новых методик...

Похожие статьи

Анализ систем обнаружения вторжений на основе...

Системы обнаружения вторжений (СОВ) — это программные, аппаратные или программно-аппаратные средства и комплексы, предназначенные для выявления интернет-атак на сетевые ресурсы и попыток неправомерного доступа в компьютерную систему или сеть.

Анализ методов обнаружения аномалий для обнаружения...

Не существует отдельного класса методов по обнаружению сканирования портов, обычно данная функция включена в системы обнаружения атак [3]. На рис. 2 представлена схема обнаружения сетевых аномалий [4] на основе показателей сетевого трафика.

Разработка методики выявления сетевых атак с помощью Data...

В статье изложен опыт применения инструментов Data Mining при разработке методики обнаружения атак типа «отказ в обслуживании». Ключевые слова: обнаружение вторжений, Data Mining, дерево решений, аномальная активность, DoS-атака.

Анализ моделей и алгоритмов обнаружения компьютерных атак...

Системы обнаружения сетевых вторжений и выявления признаков атак на информационные системы уже давно применяются как один из необходимых рубежей обороны информационных систем.

Применение машинного обучения для обнаружения сетевых...

Обнаружение вторжений изучается в течение последних 20 лет. Вторжение — это деятельность, которая нарушает политику безопасности информационной системы [1]. Обнаружение вторжений основано на предположении...

Классификация методов обнаружения неизвестного...

Методику обнаружения неизвестного ВПО можно описать с помощью следующих параметров: данные, получаемые об исследуемом ПО, способы получения этих данных, математические методы, применяемые для анализа данных, и выявляемые признаки вредоносности [].

Исследование нейросетевых технологий для выявления...

Введение. Системы обнаружения сетевых вторжений (СОВ) и выявления признаков компьютерных атак на информационные системы уже давно применяются как один из необходимых рубежей обороны информационных систем.

Контролируемые методы машинного обучения как средство...

Обнаружение аномалий является ключевым вопросом при обнаружении вторжений, в котором отклонение от нормального поведения указывает на наличие преднамеренных или непреднамеренных атак, ошибок, дефектов и др. В данной статье представлен обзор научных...

Системы обнаружения сетевых вторжений и выявления...

Эффективность системы обнаружения атак во многом зависит от методов анализа информации. В самых первых системах, разработанных в начале 80-х, использовались статистические методы обнаружения атак. С тех пор появилось и множество новых методик...

Задать вопрос