Номер части:
Журнал

АНАЛИЗ АНОМАЛЬНОЙ АКТИВНОСТИ ПРОЦЕССОВ КАК ИНСТРУМЕНТ ОБНАРУЖЕНИЯ ЗЛОУМЫШЛЕННЫХ ВОЗДЕЙСТВИЙ В ИНФОРМАЦИОННОЙ СИСТЕМЕ



Науки и перечень статей вошедших в журнал:


DOI:
Дата публикации статьи в журнале:
Название журнала: Евразийский Союз Ученых, Выпуск: , Том: , Страницы в выпуске: -
Автор:
, ,
Автор:
, ,
Автор:
, ,
Анотация:
Ключевые слова:                     
Данные для цитирования: . АНАЛИЗ АНОМАЛЬНОЙ АКТИВНОСТИ ПРОЦЕССОВ КАК ИНСТРУМЕНТ ОБНАРУЖЕНИЯ ЗЛОУМЫШЛЕННЫХ ВОЗДЕЙСТВИЙ В ИНФОРМАЦИОННОЙ СИСТЕМЕ // Евразийский Союз Ученых. Технические науки. ; ():-.





По данным исследований проведенных компанией Symantec[1,2] на 2014 год количество направленных атак злоумышленников возросло на 91%,  а число обнаруженных уязвимостей на 62%. При этом наиболее атакуемыми элементами в информационной системе (ИС) являются: серверы и рабочие станции пользователей, маршрутизаторы, коммутаторы, сеть, а к наиболее распространенным атакам злоумышленника относят:

  • атаки с помощью вредоносного программного обеспечения (ПО);
  • атаки, осуществляемые через электронную почту;
  • DoSи DDoS-атаки;
  • прослушивание сети и снифинг;
  • несанкционированный доступ;
  • вызов исключительных ситуаций;
  • хищение оборудования и носителей.

В соответствии с [3] именно угрозы безопасности, связанные с действием вредоносного ПО: вирусов, троянов, червей, руткитов являются наиболее опасными и несут наибольший риск для пользователей ОС и информационных ресурсов ИС. Анализ данных статистики [4] показывает, что количество новых образцов вредоносных программ постоянно растет (40 млн. и 22 млн. на 3 квартал 2014 и 2013 года соответственно, см. рисунок 1) и на конец 2014 года число выявленных скрытых в операционной системе вредоносных компьютерных программ превысило 1700000 (см. рисунок 2).

Рисунок 1. Статистика новых образцов вредоносного ПО, данные Mc Afee Labs за 2014 год

Действие вредоносного ПО связано модификацией различных структур данных операционных систем (ОС):  таблиц импорта (Import Address Tables), таблиц описателей прерываний (Interrupt Descriptor Table), таблиц диспетчеризации сервисов (System Service Dispatch Table), пакетов запросов ввода-вывода (I/O Request Packets) для ОС семейства Windows или таблиц системных вызовов, таблиц описателей прерываний инструкции sysenter/syscall через специфичные для процессора регистры для ОС семейств Unix/Linux [4]. Перечисленные структуры обычно содержат множество адресов в памяти, которые указывают на различные системные функции, процедуры обработки и процессы, которые могут быть изменены и будут в этом случае указывать на функции и процедуры вредоносного ПО. Следовательно, актуальным является решение задач, связанных с обнаружением и анализом аномальной активности процессов и системных вызовов в ОС.

Рисунок 2. Число выявленных скрытых в ОС вредоносных программ

Для решения задач, связанных с выявлением злоумышленных воздействий, в частности деятельности вредоносного ПО, авторами предлагается подход, основанный на анализе вычислительных процессовв ОС и выявления аномалий в их поведении.

В основе данного подхода лежит нормальное поведение вычислительных процессов. Любое иное поведение, не подходящее под рамки нормального, считаетсяаномалией.

Так как поведение процессов необходимо оценивать по присущим им характеристиками, был проведён анализ вычислительных процессов в ОС и рычагов слежения за ними. По результатам анализа в качестве основных характеристик для наблюдения за процессами выбраны следующие характеристики:набор системных вызовов, совершаемых процессом, используемые процессом ресурсы и принадлежность процесса к данному пользователюлибо группе пользователей.

В первую очередь формируются нормальные для каждого процесса или группы процессов наборы характеристик.Далее, на этапе непосредственного функционирования текущие характеристики вычислительных процессов сравниваются с нормальными для них, в случае принадлежности текущих характеристик к нормальным для данного вычислительного процесса, его жизненный цикл не прекращается, иначе принимается решение о подавлении подозрительного вычислительного процесса.

Концептуально процедуру анализа процессов в ОС и выявления их аномальной активности можно представить в виде стадий обучения и непосредственного функционировния.

Формирование наборов нормальных характеристик для процессов осуществляется на стадии обучения в которой необходимо лишь искусственно обеспечить нормальное функционирование системы, что избавляет от ручной наработки базы данных нормальных характеристик и от специального генерирования аномального поведения. Точность результатов на этапе функционирования зависит от времени обучения и объёма обучающей выборки. На этапе непосредственного функционирования контролируются текущие характеристики процессов путём сравнения их с нормальными для данных процессов, таким образом производится классификация вычислительных процессов на нормальные и аномальные. При наличии аномалии в поведениирешается вопрос подавления процесса, в случае невмешательства в жизненный цикл процесса по результатам управляющего воздействия, ситуация помечается как нормальная.

В данном подходе исключена необходимость анализа исходного либо нативного кода программиз-за отсутствия необходимости в ней. Предусмотрена способность к автоматическому пополнению базы данных нормальных характеристик, в случае если администратор признает подозреваемый в аномальности процесс нормальным. В предложенном методе не имеет значение степень упорядоченности входных данных, так как решение принимается в данный момент времени для данного события и связи между событиями не определяется. Так же минимизируется возможность возникновения ошибок типа false negatives, так как любая характеристика процесса в момент времени, не принадлежащая набору нормальных характеристик, принимается как аномальная. Что допускает в первое время функционирования заметное количество ошибок первого рода, но минимизирует ошибки второго рода.

Данный подход был реализован в виде программного комплекса под ОС на базе ядра Linux. Архитектура разработанного программного комплекса имеет следующий вид (см. рисунок 3)

Рисунок 3. Архитектура программного комплекса контроля процессов в Linux

Активная на этапе обучения часть программного комплекса отмечена жирным пунктиром. На данном этапе происходит формирование базы данных нормальных характеристик пользователей и вычислительных процессов.На этапе функционирования комплекса модули получения данных о процессах и пользователях принимают данные от операционной системы и передают их в обработчики данных. Обработчики данных, в свою очередь, разбирают данные, согласно определённым в математической модели правилам и переводят их во внутренние структуры, после чего подают их на вход решателям. Модули принятия решения принимают решения исходя из определённых ранее правил относительно соответствующих данных. Если принято решение подавить процесс, то отдаётся команда прекращения процесса в модуль подавления процессов и произошедшая ситуация заносится в журнал событий (диалогового контакта с администратором не происходит). Иначе вмешательства в выполнение процесса не имеет места. В случае, если для принятия решения необходим контакт с администратором, данные модули устанавливают соответствующий диалог, после чего получают решение администратора. Если решение администратора является положительным касательно прерывания жизненного цикла процесса, то передаётся соответствующий сигнал в блок прекращения вычислительного процесса. Иначе вмешательство в выполнение процесса не происходит и параметры данной ситуации заносится в базу данных как нормальные, дабы предотвратить впредь ложные срабатывания по этому случаю. Таким образом, возможно дообучение системы в процессе функционирования.

Для проверки адекватности работы программного комплекса был проведён ряд экспериментов, которые подтвердили, что разработанный комплекс реагирует на происходящие в ходе выполнения процессов события и адекватнодетектирует аномалии в поведении вычислительных процессов. Пример одного из экспериментов приведён на рисунке 4. Попытка запустить пользователем, принадлежащим группе с идентификатором 171, процесс, являющийся для него нехарактерным:

Рисунок 4. Сообщение о критичном событии

В данном эксперименте эксплуатируется уязвимый RPC-сервер в начальной конфигурации. При эксплуатации производится попытка получить удалённый bash, но программа детектирует аномалию, так как данный процесс не занесён в базу, как нормальный для данного процесса. Как видно на рисунке 4, при детектировании аномалии в поведении вычислитльного процесса выводится сообщение администратору сервера с выбором прервать жизненный цикл процесса, либо продолжить.

Экспериментальные исследования показали, что разработанный программный косплекс работоспособен и может применяться на практике,  в реальных условиях на серверах реальных информационных систем в качестве средства активного мониторинга и аудита состояния процессов в серверной операционной системе, позволяющего выявлять аномальную активность процессов, которая может указывать на деятельность злоумышленника в информационной системе.

Список литературы:

  1. Отчет об угрозах безопасности в Интернете за 2014 год, том 19//Публикации службы Security Response. Symantec. URL: https://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_ven-us.pdf (дата обращения 01.03.2015)
  2. Symantec Intelligent report. July 2014//Публикациислужбы Security Response. Symantec. URL: https://www.symantec.com/content/en/us/enterprise/other_resources/b-intelligence_report_07-2014.en-us.pdf(дата обращения 01.03.2015)
  3. Барабанов А.В. Гришин М.И. Кубарев А.В. Моделирование угроз безопасности информации, связанных с функционированием скрытых во вредоносных компьютерных программах// Вопросы кибербезопасности.- 2014. — №4(7). – с. 41 – 48.
  4. Отчет McAfeeLabsоб угрозах//Лаборатория McAfee. URL: (дата обращения 10.03.2015)[schema type=»book» name=»АНАЛИЗ АНОМАЛЬНОЙ АКТИВНОСТИ ПРОЦЕССОВ КАК ИНСТРУМЕНТ ОБНАРУЖЕНИЯ ЗЛОУМЫШЛЕННЫХ ВОЗДЕЙСТВИЙ В ИНФОРМАЦИОННОЙ СИСТЕМЕ» author=»Оладько Владлена Сергеевна, Садовник Евгений Александрович, Ермакова Анастасия Юрьевна» publisher=»БАСАРАНОВИЧ ЕКАТЕРИНА» pubdate=»2017-04-21″ edition=»ЕВРАЗИЙСКИЙ СОЮЗ УЧЕНЫХ_ 28.03.2015_03(12)» ebook=»yes» ]
Список литературы:


Записи созданы 6776

Похожие записи

Начните вводить, то что вы ищите выше и нажмите кнопку Enter для поиска. Нажмите кнопку ESC для отмены.

Вернуться наверх