CC BY
90
Актуальные проблемы авиации и космонавтики. Информационные технологии
приходит ещё и юникод кодировка, которая предполагает много вариантов идентичных символов (а, а, а, а).
Список «неправильных» слов подвергается обработке. Слова приводятся к «правильному» виду. Символы-заменители удаляются, и взамен них вставляются буквы из алфавита языка написания слова. Данная задача решается в 2 этапа. Сначала выполняется юникод нормализация. Различные варианты идентичных символов приводятся к базовой форме (а, а, а - а). Затем обрабатываются символы, похожие по начертанию на буквы, которые данные символы заменяют (например А - @, Б - Ь, 6).
Последним этапом предобработки является лем-матизация - процесс приведения словоформы к лемме (нормальная форма). В русском языке нормальными формами являются: для существительных - именительный падеж единственного числа, для прилагательных - именительный падеж единственного числа мужского рода, для глаголов, причастий и деепричастий - глагол в инфинитиве. Операция усложняется в случае морфологической омонимии, когда разные слова совпадают по написанию в одной или нескольких формах (омоформы). Примеры: три, трем - формы числительного и глагола, стекло, стих, стали -существительного и глагола и т. п. В таких случаях применяется дополнительно поверхностный синтаксический анализ. В результате синтаксического анализа определяется роль омоформа в предложении и на основании полученной информации определяется корректная нормальная форма. Приведение к нормальной форме позволяет значительно сократить размер базы данных сигнатур, так как в базе будут хранится только нормальные формы.
Эффективность описанной процедуры предобработки данных была проверена на обычном байесов-
ском фильтре. Фильтр был обучен на выборке из 1500 спам писем и 1500 легитимных писем. Применение операции лемматизации позволило сократить размер базы данных сигнатур фильтра с 67638 записей до 42376. Тестовая выборка состояла из 100 спам писем и 100 легитимных писем. Фильтр запускался 2 раза. В первом случае операция предобработки производилась не полностью (выполнялась только токенизация тела письма), во втором случае операция предобработки была выполнена в полном объёме. Результаты представлены в таблице.
Результаты проверки фильтра
Коэффициент обнаружения, % Коэффициент ложных положительных оценок, %
1-й запуск фильтра 88 8,1
2-ой запуск фильтра 91 7,7
Как видно из результатов, качественно выполненный этап предобработки данных позволяет повысить эффективность работы фильтров нежелательной электронной корреспонденции. Дальнейшим направлением работы является совершенствование алгоритма токенизации.
Библиографические ссылки
1. RFC 2822 Internet Message Format // faqs.org: Internet FAQ Archives - Online Education. URL: http://www.faqs.org/rfcs/rfc2822.html (Дата обращения: 05.04.2011).
© Хеирхабаров Т. С., Жуков В. Г., 2011
УДК 004.056
А. С. Хохоля Научный руководитель - В. В. Золотарев Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск
МЕТОДИКА ПОДБОРА КОМПЛЕКСА СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
Изложена проблема подбора систем защиты информации под заданные требования. Предложена методика для осуществления автоматизированного выбора комплекса средств защиты информации, состоящая из способа описания средств защиты информации, алгоритмов подбора в зависимости от задаваемых требований. Описаны способы коммерческого использования данной методики.
Сегодня на рынке средств защиты информации представлено большое количество продуктов. Существуют аналогичные продукты разных фирм производителей, многофункциональные решения, продукты разных ценовых групп. Средства защиты сложно классифицировать, так как рынок товаров данного вида динамично развивается, появляются новые технологии, существует проблема совместимости средств защиты между собой и с автоматизированной системой предприятия.
В итоге конечному потребителю очень сложно подобрать оптимальное средство защиты. Как правило,
при выборе ориентируются на собственные предпочтения, так как анализ всех аналогичных средств защиты затруднен. Сложнее обстоит дело при необходимости подбора комплекса средств защиты, необходимо учитывать их совместимость друг с другом, охват необходимых функций для защиты информации, избегать дублирования функций разными средствами защиты.
Для подбора оптимальных решений по защите информации была разработана следующая методика. Так как средства защиты практически невозможно строго классифицировать и определять характеристи-
Секция «Методы и средства зашиты информации»
ки для классов средств защиты, было принято решение подходить к каждому средству защиты индивидуально, определяя важные характеристики для каждого средства защиты информации. К таким характеристикам относятся технические характеристики, параметры совместимости, реализованные функции, экспертные оценки качества продукта.
Заказчик задает исходные данные для подбора решения: особенности автоматизированной системы предприятия, технические характеристики, установленное программное обеспечение и реализованные средства защиты на предприятии, а также заказчик задает необходимые параметры для подбора средств защиты. Так для подбора комплексного решения по защите, заказчик может задать бюджет, выделенный на средства защиты, функции, которые необходимо реализовать.
Для осуществления подбора составляется база данных средств защиты, где каждое средство защиты описывается набором характеристик. К даным характеристикам относится описание не только выполняемых функций средства защиты, но и его технические требования, совместимость с другими средствами защиты, характеристики продукта как программного или технического средства, экономические и эргономические характеристики. Все те показатели, которые могут быть важны для заказчика при выборе средства защиты информации.
Подбор реализуется посредством использования одного из двух методов: метод последовательных уступок и генетический алгоритм.
Если заказчик имеет определенную иерархию требований к средству защиты, то используется метод последовательных уступок. Заказчик последовательно задает требования, начиная с самого важного, с каждым новым требованием уменьшается количество
подходящих вариантов средств защиты, пока их не останется достаточное для выбора количество.
Но возможен другой вариант, когда к однотипным средствам защиты выдвигается большое количество требований, равнозначных по важности с точки зрения заказчика. В данном случае целесообразно использование генетического алгоритма для поиска оптимальных решений. В случае использования генетического алгоритма для оценки эффективности каждого средства, используются подходы квалиметрии, расчитывается количество требований, для которых выбранное средство защиты имеет оптимальные показатели.
Метод, с помощью которого производить подбор выбирает заказчик, так как использование того или иного метода зависит от требований, которые заказчик выдвигает к средствам защиты, и от возможности ранжирования данных требований по степени важности.
Также возможно создание шаблонов для типовых заданий заказчиков, где заказчику не придется определять требуемые функции от средств защиты. Такие шаблоны возможно создать, например для требований нормативных документов к системе защиты информации, или для решения конкретных задач, таких как организация защищенного канала связи между сервером базы данных и клиентами.
Предполагается написать программный комплекс, осуществляющий подбор средств защиты по базе, составление перечня требований к средствам защиты, создание шаблонов. С помощью данного программного комплекса будет возможно оказывать консультационные услуги или применять его на предприятиях.
© Хохоля А. С., Золотарев В. В., 2011
УДК 004.056
М. О. Шудрак Научный руководитель - Л. А. Лубкин Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск
АНАЛИЗ ВРЕДОНОСНЫХ ОБЪЕКТОВ МЕТОДОМ ДЕКОМПИЛЯЦИИ
ПРОГРАММНОГО КОДА
Речь идет о возможности анализа бинарного кода вредоносного объекта путём восстановления его алгоритма. Такое восстановление возможно, если добиться соответствующего уровня абстракции от бинарного кода. Результаты данной работы позволят повысить эффективность методов обнаружения и анализа современных вредоносных объектов.
На сегодняшний день, существует и развивается широкий спектр методов обнаружения и анализа вредоносного кода, но наряду с этим развитием, совершенствуются методы защиты от исследования и детектирования вирусной активности. Чаще всего виру-сописатели для реализации защиты от исследования своих разработок применяют технологии полиморфизма, «обфускации» (запутывающие преобразования) и шифрования бинарного кода [1].
Цель данной работы состоит в повышении эффективности анализа запутывающих преобразований в бинарном коде вредоносных объектов.
Наиболее эффективным средством обнаружения полиморфных вирусов, на сегодняшний день, является эвристический анализ программного кода, который нередко используется совместно с сигнатурным сканированием для поиска сложных полиморфных вирусов. Такая методика позволяет обнаруживать ранее неизвестные штаммы компьютерных вирусов [2].
