CC BY
82. Ю.Г. Фирсов. Основы гидроакустики и использования гидрографических сонаров: учебное пособие. СПб.: Нестор-История, 2010 г. - 350 с;
3. А.Л. Горелик, В.А. Скрипкин. Методы распознавания. 4-е изд. М.: Высшая школа, 1984, 2004. — 262 с.
4. Manual on Hydrography: publication C13. Monaco: International Hydrographic Bureau, 2011 - 501 p.
ИССЛЕДОВАНИЕ МЕТОДОВ ПРИМЕНЕНИЯ ИММУННОЙ ЗАЩИТЫ С ПРИМЕНЕНИЕМ
ТЕХНОЛОГИИ РУТКИТ-ВИРУСОВ
Раськевич Алексей Анатольевич
Студент, Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А.
Бонч-Бруевича, г. Санкт-Петербург
RESEARCH METHODS OF IMMUNE PROTECTION USING TECHNOLOGY ROOTKIT-VIRUSES
Raskevich Alexey Anatol'evich, student, St. Petersburg State University of Telecommunications., prof. MA Bonch-Bruevicha St. Petersburg
АННОТАЦИЯ
Данная статья освещает основные принципы функционирования иммунной защиты и их вычислительные аспекты на основе искусственного интеллекта. Дается обзор соответствующих вычислительных моделей/методов распознавания образов, диагностика и обнаружение вредоносного кода, компьютерной безопасности. ABSTRACT
This article covers the basic principles of the functioning of the immune defense and computational aspects, based on artificial intelligence. A review of relevant computational models/methods of pattern recognition, diagnosis and detection of malicious code, computer security.
Ключевые слова: протоколирование; руткиты; иммунная защита; система "свой-чужой". Keywords: logging; rootkits; immune defense; system "friend or foe".
Основная задача иммунной защиты заключается в распознавании участков кода, и классификация их как свой или чужой. Выявление вредоносного участка кода служит сигналом для активации защитного механизма «Soldier». [4]
Организация и обработка данных иммунной системы — это высокопараллельная структура, в которой осуществлены механизмы: обучения, памяти и ассоциативного поиска для решения задач распознавания и классификации. Из этого следует, что поведение иммунной системы определяется комплексом локальных сетевых взаимодействий.
Свойства иммунной защиты является примером локальных адаптивных процессов, осуществляющий эффективные глобальные реакции. Происходит расширение области использования новых методов на основе искусственного интеллекта. Происходит анализ механизмов иммунитета с точки зрения обработки информации и решения сложных задач.
Компонент типа'^оМег" складывается по следующим принципам:
• следит за каждым нажатием клавиш, при этом различает русские и английские вкладки;
• запоминает открытые и запущенные программы;
• делает снимки экрана;
• проводит полный мониторинг системы;
• отслеживает все соединения с интернетом;
• перехватывает любые посещаемые сайты;
• сохраняет информацию в специальном запаролен-ном лог-файле.
В настоящее время широкую популярность приобрели технологии, работающие по тем же самым принципам, что и организм человека: искусственный интеллект, основанный на нейронных сетях. На данный момент искусственные иммунные системы используются преимущественно как разновидность искусственного интеллекта, однако весьма перспективно видится использование систем защиты работающих по принципу иммунитета человека, для борьбы с компьютерными вирусами и обнаружения сетевых вторжений. [1]
В ходе создания механизмов «Soldier» была позаимствована технология руткит. Руткиты прячутся в системе и скрывают вредоносное программное обеспечение. Цель маскировки — захватить чужой компьютер. К примеру руткит Hacker Defender в обход брандмауэра открывает лазейки в Интернет, которые позволяют хакерам управлять зараженным компьютером. С помощью этих лазеек можно получать конфиденциальную информацию или внедрять в систему другие вредоносные программы.
Руткит может быть прикреплен в виде электронного документа или файла к письму, если вы кликните по нему вредитель активируется. Затем руткит забирается глубоко в операционную систему и изменяет один из *.dll файлов, изменяя при этом последовательность команд управления работой программ. Руткит остается не замеченным и спокойно загружает вредоносные файлы и маскирует их. Теперь компьютер может быть использован, например для рассылки спама. [2]
Антивирусное программное обеспечение распознают вредоносные файлы по сигнатурам — характерным цепочкам кода в теле вируса, приметы по которым можно
обнаружить вредителя и уничтожить. Производители антивирусов регулярно размещают в Интернете обновленные базы с сигнатурами. Также антивирусы узнают вредителей по особенностям их поведения — «эвристический анализ».
Чтобы обмануть антивирусное программное обеспечение, руткиты управляют процессами, с помощью которых компьютерные приложения обмениваются данными. Некоторые руткиты перехватывают данные, к примеру между Windows и антивирусном, и антивирус получает ложную информацию. Другие руткиты «руткитами режима ядра» могут взаимодействовать с компонентами Windows или с реестром, и оттуда посылать антивирусу ложную информацию. [2]
Однако, именно такой принцип вредоносности и может лечь в основу при создании иммунной системы. Для начала необходимо представить модель работы иммунной системы человека. Это сложный процесс состоящий из множества различных компонентов.
Главным принципом человеческой иммунной системы является сравнение определенных «шаблонов» (участки вредоносного кода сигнатур) с находящимися внутри организма телами и выявления таким образом инородных тел. В дополнение ко всему могут быть заложены именно принципы построения руткитов.
Выделим необходимые нам основные особенности иммунной защиты. Предлагается базово задать четыре секции искусственного интеллекта со сложной иерархической организацией. Каждый сегмент искусственного интеллекта будет дополняться и модифицироваться, каждый сегмент будет взаимосвязан и станет информационным «организмом». Данная система первоначально будет носить название - «Alvearium» («Улей» - с лат.). Искусственный интеллект — система, имеющая определенные признаки интеллекта, то есть способна:
• различать и понимать;
• принимать решения;
• учиться.
На основе первично проведенного анализа можно выделить следующие. У нас складывается некая гибридная интеллектуальная система, состоящая на основе «муравьиных» иерархических структур.
Рассмотрим общий принцип работы системы защиты среды распределенных вычислений на основе искусственных иммунных систем. Каждый вычислительный узел распределенной сети содержит базу данных, хранящую «шаблоны» вредоносных объектов и «шаблоны» вероятных чужеродных объектов. Эта база является распределенной, на каждом узле хранится только часть «шаблонов» вероятных чужеродных объектов, причем периодически производится обмен этими «шаблонами» между узлами. При обнаружении вредоносного программного обеспечения сработавший «шаблон» копируется в базы всех узлов. Принципиальная схема работы такой системы представлена на рисунке 1. [3]
При обнаружении какого-либо инородного тела оно изолируется в среде, где происходит его изучение. На примере вирусов - это модификация одного и того же вируса. Этот процесс позволяет понять принципы защиты не только от найденного объекта, но и от его производных. После этого производится отрицательный отбор, в про-
цессе которого отсеиваются неподходящие образцы антител. Отрицательный отбор необходим для того, чтобы система защиты не реагировала на защищаемую систему как на вредоносный объект (аутоиммунная реакция).
Далее новые антитела осуществляют поиск вредоносных объектов в системе. В случае обнаружения происходит процесс клональной селекции и запись полученных данных в базу.
Преимущества и недостатки систем защиты на основе искусственной иммунной системы. Преимущества:
• Наличие большого числа детекторов приводит к отказоустойчивости и надежности системы. Отсутствует единая точка отказа.
• При увеличении количества узлов среды распределенных вычислений в предложенной системе повышается уровень защищенности.
• Все столкновения детекторов с вредоносными объектами заносятся в память. Это позволяет проводить обучение детекторов.
Недостатки:
• Возможна аутоиммунная реакция.
• Возможен иммунодефицит, особенно при малом количестве узлов среды распределенных вычислений.
В отличие от многих применяемых на данный момент систем защиты, предложенная выше не имеет центральной подсистемы управления, является децентрализованной высокопараллельной распределенной системой обработки и анализа информации, что делает ее особенно удобной для защиты сред распределенных вычислений. На данный момент ведутся работы на базе кафедры ЗСС (защищенных систем связи) в СПБ ГУТ над прототипом системы защиты, построенной по предложенной схеме.
Литература
1. «Искусственные иммунные системы и их применение». // Под ред. Д. Дасгупты. Пер. с англ. под ред. А.А. Романюхи. — М.: ФИЗМАЛИТ, 2006. — 344с. — ISBN 5-9221-0706-2 [19- 37]
2. Хоглунд Г., Батлер Дж. «Руткиты: внедрение в ядро Windows». //СПб.:Питер, 2007.—295с.:ил. ISBN 9785-469-01409-6 [19-34]
3. С. В. Гаврилюк, Б. Н. Оныкий, А. А. Станкевичус «Применение иммунных систем для защиты средств распределительных вычислений от вредоносного програмного обеспечения» // Изложенные результаты получены в рамках реализации ФЦП «Научные и научно-педагогические кадры инновационной России» на 2009-2013 годы. Режим доступа к статье: http://pvti.ru/data/file /bit /bit_3_2010_6.pdf
4. Штеренберг С.И., Андрианов В.И., Липатников В.А., Костарев С.В.. // Свидетельство о государственной регистрации программы для ЭВМ №2015611539. RPA (rationable progressimo aggredi) (лат.). Правообладатель: ФГОБУ ВПО «Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А.Бонч-Бруевича». Дата поступления 02 декабря 2014 г. Зарегистрирована в Реестре программ для ЭВМ 30 января 2015 г. Режим доступа к свиделельству: http://zss.sut.ru/useruploads /files/ /IMG_20150210_0001_NEW.pdf
Рисунок 1. Принципиальная схема работы.
ОЦЕНКА СТОИМОСТИ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ
Рудикова Мария Николаевна, Зубарева Елена Валерьевна Васенёва Валерия Андреевна, Николаенко Виктория Григорьевна
Студенты, Волгоградский Государственный Университет, г. Волгоград
INFORMATION ASSESSMENT IN THE ENTERPRISE Rudikova Maria, Student, Volgograd State University, Volgograd Zubareva Elena, Student, Volgograd State University, Volgograd Vasenyova Valeria, Student, Volgograd State University, Volgograd Nikolaenko Victoria, Student, Volgograd State University, Volgograd
АННОТАЦИЯ
В статье рассмотрена проблема оценки стоимости информации на предприятии. Проанализированы существующие подходы к оценке стоимости информации. Предложен подход для оценки стоимости информации на предприятии с учетом ее специфики в информационной безопасности.
Ключевые слова: стоимость информации, информационный актив, оценка
ABSTRACT
The article considers the problem of assessment the value of information in the enterprise. Existing approaches to assessing the value of information are analyzed. An approach to valuation information in the company, taking into account its specificity in information security is proposed.
Keywords: information cost, information asset, assessment
При построении системы защиты информации возникает вопрос - какую информацию необходимо защищать, а какая не представляет ценности для организации? Даже простая качественная оценка информации, т.е. ее категоризация или классификация, позволяют минимизировать количество конфиденциальной информации, тем
самым упростив использование не конфиденциальной информации, и, следовательно, снизить стоимость построения системы защиты информации на предприятии. Количественный же подход, т.е. представление информации в денежном выражении, используется при расчете
