Методы обнаружения компьютерных вирусов и сетевых червей Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.056.57

Н.Г. Булахоа

Методы обнаружения компьютерных вирусов и сетевых червей

Представлена и описана статистическая модель цифровой информационной сети, применимая для обнаружения факта распространения вредоносного сетевого программного обеспечения.

По сведениям аналитиков американской компании PC Tools, Россия сейчас является лидером в распространении компьютерных вирусов, вредоносного и шпионского программного обеспечения [1]. Поэтому актуальная задача сегодня — анализ методов обнаружения компьютерных вирусов и червей с целью разработки новых альтернатив. Рассмотрим три основных класса методов: сигнатурный, статистический и эвристический. В отдельный класс следует выделить новый метод, основанный на анализе характеристик (а не содержимого) передаваемого по сети трафика, который практически одновременно предложен в работе [2] и автором [3].

Сигнатурные методы анализа [4] описывают каждую атаку индивидуальной моделью, или сигнатурой. Ею могут служить строка символов, семантическое выражение, формальная математическая модель и т. д. [5].

Продукционные / экспертные системы обнаружения вторжения кодируют данные об атаках и правила импликации «если ... то», а также подтверждают их, обращаясь к контрольным записям событий.

Обнаружение вторжений, основанное на модели, — один из вариантов, объединяющий модели вторжения и доказательств, поддерживающих вывод о вторжении. В системе обнаружения вторжений поддерживается база данных сценариев атак.

Анализ перехода системы из состояния в состояние осуществлён в системах STAT и USTAT под ОС UNIX. В них обнаружения вторжений атаки представляются как последовательность переходов контролируемой системы из состояния в состояние.

Изменение состояний и сети Петри для обнаружения вторжений развивают метод анализа изменений состояний. Хотя данный метод позволяет получить более точные результаты в области обнаружения вторжений, он требует значительных вычислений.

Статистические методы анализа предназначены для выявления безопасности поведения программ и систем обнаружения нарушителя [5].

Операционная модель основывается на том, что каждое новое наблюдение переменной должно укладываться в некоторых границах. Если этого не происходит, то имеет место отклонение.

Модель среднего значения ц и среднеквадратичного отклонения а базируется ыа том, что всё знание о предыдущих наблюдениях некоторой величины есть величины ц и о. Тогда новое наблюдение является аномальным, если оно не укладывается в границах доверительного интервала ji -f d о, где d — априори устанавливаемая величина.

Многовариационная модель аналогична модели среднего значения и среднеквадратичного отклонения, но учитывает корреляцию между двумя или большим количеством метрик (использование центрального процессорного устройства и количество операций ввода-вывода, количество выполненных процедур входа в систему и время сессии).

Модель марковского процесса [5, 7] применима только к счётчикам событий, если рассматривать каждый тип событий как переменную состояния и использовать матрицу переходов для характеристики частот переходов между состояниями. Результат наблюдения является аномальным, когда вероятность перехода, определённая предыдущим состоянием и матрицей перехода, очень мала.

Модель временных серий использует временные периоды вместе со счётчиками событий и измерениями ресурса, учитывая как значения наблюдений, так и временные интервалы между ними. Новое наблюдение считается аномальным, если вероятность его появления (с учётом длительности наблюдения) низка.

Метод информационного анализа [5, 7] выделяет особенности больших наборов данных. Здесь применялась система RIPPER (Repeated Incremental Pruning to Produce Error

Reduction), построенная на основании обучающих правил и используемая для решения задач классификации.

Метод конечных автоматов состоит в разработке конечного автомата для распознавания «языка» трассы программы. Для этого существует много методик, основанных на использовании как детерминированных, так и вероятностных автоматов.

Эвристические методы. Программу, которая анализирует код проверяемого объекта и по косвенным признакам определяет, является ли объект вредоносным, называют эвристический анализатор (эвристик) [8].

Метод «песочниц» таков: подозрительный файл помещают в область, изолированную от остальной системы, проверяя его поведение. При этом каждый исполняемый файл запускается в виртуальной среде, которую стандартный программный интерфейс приложений Windows (Application Programming Interface) организует в так называемой тюрьме (jail) [6].

Метод блокировки поведения комбинирует оба упомянутых подхода. Благодаря иерархической обработке трафика данных, высокая потребность «песочницы» в ресурсах сводится к минимуму и уменьшается вероятность ложных срабатываний эвристических методов [6].

Метод мониторинга характеристик передачи сетевого трафика. Перспективен способ обнаружения быстро распространяющихся вирусов и червей, основанный на постоянном мониторинге сетевого трафика. Подобную технологию реализуют исследователи из Пенсильванского университета [2]. При отслеживании параметров передачи сетевого трафика система анализирует количество пакетов данных, пересылаемых между различными сетями, и в случае обнаружения аномального всплеска активности подаёт сигнал тревоги. Это позволяет идентифицировать вирусную эпидемию в течение долей секунды после её начала.

Затронутые выше методы систематизированы в таблице, где символом «+» отмечены мбтоды с наилучшими характеристиками по данному параметру, символом «-» — методы с наихудшими, «*» — со средними. Сравнение взято из литературы.

Классификация методов анализа по параметрам, критичным к обнаружению атак вредоносных программ

Параметры

Классы методов анализа Методы анализа Ресурсов мкость Время выявления Эффективность на ранней стадии Эффективность на поздней стадии Ложные срабатывания Универсальность Наличие обновляемых баз Простота критериев оценки Самостоятельность метода Необходимость обучения системы

Продукционные / экспертные системы обнаружения атак * + - + + - - - + +

Сигнатурный Обнаружение вторжений, основанное на модели * + _ + + _ _ _ _ +

Анализ перехода системы из состояния в состояние + + + + + +

Изменение состояний и сети Петри _ _ _ + _ _ + + +

Статистический Статистический анализ последовательности системных вызовов + + + - - + + - + -

Конечные автоматы - _ + - - + + - + -

Эвристически й Анализ поведения системы + + * + * - + - + +

Мониторинг активности Анализ интенсивности передачи сетевых пакетов + + + + - + + + + +

Из таблицы правомерно заключить, что предлагаемый нами метод мониторинга отличается высокой конкурентоспособностью.

Для анализа данных мониторинга сетевого трафика необходимо исследовать поведение вредоносных программ в цифровых информационных сетях (ЦИС). Для описания функционирования ЦИС традиционно применяют эпидемиологические модели [9, 10]. Но они позволяют лишь наблюдать динамику роста числа заражённых машин и не отображают важных сетевых параметров: способность сети передавать пользовательскую и служебную информацию и т.д. Поэтому актуальна разработка модели, учитывающей пиковые нагрузки в ЦИС при передаче пакетов информации и использующей статистическое описание этих процессов.

Мы предлагаем модель, основу которой составляет устройство пересылки пакетных данных, имеющее N входов и N выходов (рис. 1). Входы и выходы не равноправны между собой, что позволяет отразить наличие в реальной сети магистральных каналов и присоединение оконечных станций. Для учёта различия между ними каждому каналу присваивается свой весовой коэффициент УУ = WO■¥WV, который показывает, насколько вероятнее появление пакета на данном входе относительно всех остальных. Вес №0 соответствует нагрузке канала за счёт полезных пакетов, вес — за счёт саморазмножающихся пакетов. Входящие пакеты имеют адрес назначения, указывающий выходной порт. Каждый выходной порт рассчитан на очередь длиной М пакетов. Индекс шах обозначает максимальный вес.

\

-* -► ЛГУ

-* -► -» N -► -» М - -► -»1

1 2 -+ 3 4

Рис. 1. Модель передачи данных в ЦИС с блоками распределения пакетов на входе (1) и перераспределения пакетов по выходам (2), очередей (3), обработки информации о выходных пакетах (4)

В заданный такт времени условие того, что на входе п есть пакет, определяется формулой (где символ гпс1 — случайная величина из [0; 1])

WOi + ШУ, 1,гп<1 <-!-1-

0,гпй >

ИЮ + 1УУ '-'тек Т ктах

\уо1 +

г' 1 * тт

(1)

Если на входе п имеется пакет, то условие того, что он саморазмножающийся либо полезный, есть

А(п) «

1,™а <

2,гп<1 >

\уо1 + ЦгУ1'

(2)

у/О; + т:

В зависимости от порта назначения к каждый пакет помещается в выходную очередь согласно условию

к ( N \ к+1

^(№0; + < та £+ иаг1) < £ + туу,). (З)

•=1 и=1 ) 1=1

А если число пакетов в очереди достигает М, то (М+1)-й отбрасывается.

Между входом и выходом устройства есть положительная обратная связь. Тогда при увеличении числа заражённых пакетов на выходе увеличивается вероятность появления заражённого пакета на входе. Согласно модели подсчитываете я число пакетов каждого типа (N0, и Л?У,} на выходе. Коррекция весового коэффициента соответствующего входу ¿, в такт

времени t выполняется согласно соотношению

Щ+1

Щ-1 +1

Постулируем линейную связь между количеством заражённых червями компьютеров и порождаемым ими трафиком. Сравнивая результаты моделирования на базе эпидемиологической модели и её модификаций [9], а также статистические данные об атаке сетевого червя Code Red [9] с результатами моделирования на основе предложенной модели [11] (рис. 2), можно сделать вывод об её адекватности.

Масштаб соотнесения 200 тактов в час. Предполагается, что один заражённый компьютер генерирует 440 вредоносных пакетов в такт.

О 100 200 300 400 500 600 0 500 1000 1500 2000

Время, отн. ед. Время, такты

Рис. 2. Распространение червя: а — симуляция с помощью простой модели (1), с учётом замедления скорости заражения (2), с учётом предпринимаемых людьми контрмер (3), лгуу&актмшоЯ м опеля Г9Т14): б — симуляция работы ПИ С на основе предложенной модели: динамика общего количества переданных пакетов (1), пакетов с полезными сообщениями (2), вредоносных пакетов (3) и статистические данные о Codelied ¡9] (4)

Выводы. Для выявления потенциально опасной активности в ЦИС индикаторами служат: значения интенсивности пересылки отдельных пакетов, небольших очередей пакетов и попыток установить соединение отдельными хостами; распределение IP- и МАС-адресов источника и назначения в передаваемых пакетах; их размеры и тип. Но для повышения надёжности детектирования вредоносной активности и сведения риска ложного срабатывания к минимуму в данном случае часто требуется некоторая «калибровка», составление сигнатур распространения известных червей. А это делает сети уязвимыми для новых (не внесенных в базу) червей.

Предлагается исключить параметры, варьирующиеся для конкретных реализаций червя, и добавить характеристики пересылки информационных пакетов внутри маршрутизаторов и коммутаторов: количество отбрасываемых пакетов в единицу времени, заполненность буферов пересылки, нагрузку оборудования. Тем самым можно увеличить количество идентификаторов сетевой атаки. Предложенная статистическая модель ЦИС, учитывающая возможность пиковых нагрузок, адекватна. Об этом говорят представленные результаты верификации модели.

Литература

1. Russia supersedes US & China as largest malware producer [Электронный ресурс]. -Режим доступа: http://www.pctools.com/news/view/id/197.

ресурс}. - Режим доступа: http://live.psu.edu/story/22189.

S.И^л.а.хо'ь W.T. Мандата пакетов, иерен.аваемы*. в сет«.TÜtherneX,, м. ее описание как дагаа-тлической системы / 'Й.-Т . ьупахоъ, Ü.A. "^асашув, Ъ.'А. TYoiva-aep J j Т^ро&леъил инфър^лъодлл-й-ной беаопас.'в.гл.тл государства, общества, vi личности-, материалы. 1 -й "Всероссийской научно-практической конференции, г. Томск, 16-18 февраля 2005 г. - Томск -. ТЛОА СО РАН, 2005. - С. 79-81.

4. Сердюк В. Вы атакованы — защищайтесь! [Электронный ресурс]. - Режим доступа: http://www .by temag.ru/articles/detail.php?ID=9036.

5. Корт C.C. Методы обнаружения нарушителя [Электронный ресурс]. - Режим доступа: http://www.ssl.stu.neva.ru/sam/

Лаклады. ТУСУРа. М 1(17). июнь 2008

6. Матиас Р. Анализ поведения и эвристические методы выявления вирусов [Электронный ресурс]. - Режим доступа: http://www.osp.ru/lan/2006/10/3474604/

7. Chen W.H. Application of SVM and ANN for intrusion detection / W.H. Chen, Sh.H. Hsu, H.P. Shen [Электронный ресурс]. — Режим доступа: http://dx.doi.org/10.1016/ j.cor. 2004.03.019.

8. Гудилин О. Проактивность как средство борьбы с вирусами [Электронный ресурс]. -Режим доступа: http://www.viruslist.com/ru/analysis?pubid= 189544544.

9. Zou C.C. Code Red Worm Propagation Modeling and Analysis / C.C. Zou, W. Gong, D. Towsley [Электронный ресурс]. - Режим доступа: http://tennis.ecs.umass.edu/-czou/research/ codered.pdf

10. Kim J. Measurement and Analysis of Worm Propagation on Internet Network Topology / J. Kim, S. Radhakrishnan, S.K. Dhall [Электронный ресурс]. - Режим доступа: http:// ieeexplore.ieee.org/iel5/9617/30391/01401716.pdf

11. Статистическая модель ЦИС, учитывающая возможность пиковых нагрузок / Н.Г. Булахов, Б.Н. Пойзнер, A.JI. Турицин, В.Я. Хасанов // Материалы международной научной конференции «Статистические методы в естественных, гуманитарных и технических науках», Таганрог, апрель 2006 г. - Ч. 3. - Таганрог : Антон, ТРТУ, 2006. - С. 7-11.

Булахов Николай Георгиевич

Аспирант кафедры квантовой электроники и фотоники Радиофизического факультета

Томского государственного университета

Тел.: (3822) 41 38 25

Эл. почта> nbooiahov@yandex.ru

N.G. Bulakhov

COMPUTER VIRUSES AND NETWORK WORMS PROPAGATION DETECTION METHODS

Paper introduce statistical model of digital information network applicable for detection of harmful network software propagation