ПРОГРАММНЫЙ КОМПЛЕКС ОЦЕНКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ БЕЗ ИСХОДНЫХ ТЕКСТОВ Текст научной статьи по специальности «Компьютерные и информационные науки»

Эок 10.36724/2409-5419-2021-13-2-25-34

ПРОГРАММНЫЙ КОМПЛЕКС ОЦЕНКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ БЕЗ ИСХОДНЫХ ТЕКСТОВ

САМАРИН

Николай Николаевич

Сведения об авторе:

начальник научно-исследовательского отделения № 6 Научно-исследовательского института «Квант», г. Москва, Россия, ватапп nik@mail.ru

АННОТАЦИЯ

Введение: цифровизация затрагивает все отрасли человеческой деятельности, вследствие чего создается разнообразное программное обеспечение, реализующее бизнес-логику и технические процессы в сложных системах. В таких условиях возрастает актуальность задачи распознавания вредоносного программного обеспечения. Решение данной задачи осложняется отсутствием исходных текстов программ и необходимостью оперативного принятия решения о наличии либо отсутствии вредоносного функционала. Цель исследования: целью исследования является создание подхода к оценке информационной безопасности программного обеспечения без исходных текстов. Предлагается в основу подхода положить использование гипервизора, обеспечивающего контроль за работой программного обеспечения с памятью как ключевой характеристики наличия/ отсутствия его вредоносного функционала. В качестве метрики безопасности предлагается вычислять оценку безопасности программного обеспечения. Методы: решение поставленной задачи основано на использовании механизма виртуализации, обеспечивающего контроль всех операций над памятью, реализуемых программным обеспечением, и на использовании методов теории вероятностей для получения комплексной оценки безопасности, учитывающей надежность функционирования программного обеспечения и его безопасность. Результаты: разработана методика получения комплексной оценки безопасности функционирования программного обеспечения, учитывающая надежность функционирования программного обеспечения; сетевую безопасность - выявленные в результате сканирования уязвимости и сетевые порты; потенциально небезопасные изменения в файловой системе и реестре, а также потенциально опасные операции, связанные с использованием памяти. Описана архитектура макета программного комплекса, реализующего предложенный подход, выполнена его экспериментальная апробация, в результате которой высокую оценку безопасности получили только образцы штатного программного обеспечения. Практическая значимость: разработанный макет может быть использован для автоматизированного анализа программного обеспечения, функционирующего в различных сложных системах. Важным достоинством макета является его масштабируемость и доверенность, обеспечиваемая за счет использования средств виртуализации, не позволяющих нанести вред работе вычислительной системы в случае обнаружения вредоносного программного обеспечения.

КЛЮЧЕВЫЕ СЛОВА: информационная безопасность; вредоносное программное обеспечение; гипервизор; модульная архитектура.

Для цитирования: Самарин Н.Н. Программный комплекс оценки информационной безопасности программного обеспечения без исходных текстов // Наукоемкие технологии в космических исследованиях Земли. 2021. Т. 13. № 2. С. 25-34. Doi: 10.36724/ 2409-5419-2021-13-2-25-34

Введение

Особую сложность представляет задача распознавания ВПО в случаях, когда исходные тексты ПО отсутствуют [1—4]. В таких случаях ручной анализ требует больших временных затрат, следовательно, становится малоэффективным при защите от кибератак. Статический анализ с использованием дизассемблера позволяет лишь приблизительно восстановить высокоуровневый код, а большинство вариантов применения динамического анализа требуют больших вычислительных затрат. Потребление вычислительных ресурсов требуется минимизировать, поскольку современные вычислительные системы, интегрированные с отраслями деятельности человека, включают большое число малоресурсных компонентов — датчики и контроллеры.

В таких условиях актуальной является задача создания программного решения, обеспечивающего автоматизированный анализ безопасности ПО без открытых текстов и являющегося расширяемым и доверенным, то есть, гарантирующим, что в случае обнаружения вредоносного ПО не будет нанесен вред работе целевой системы.

1. Подход, составляющий основу программного

комплекса

В настоящее время не существует универсального и оптимального решения задачи обнаружения ВПО без исходных текстов, особенно если речь идет о потребности в минимизации используемых вычислительных ресурсов [5-8]. В основе предлагаемого к разработке программного комплекса автоматизированного анализа безопасности ПО без открытых текстов лежат следующие положения:

1. Для повышения эффективности обнаружения ВПО и обеспечения доверенной работы комплекса при анализе безопасности следует использовать механизмы виртуализации [9-13].

2. Анализ безопасности должен быть комплексным и включать как оценку надежности работы ПО, так и оценку того, насколько безопасно он функционирует [14].

3. Анализ безопасности должен основываться, в том числе, на оценке ресурсов, потребляемых при работе исследуемого образца ПО, и на контроле работы с памятью [15-17].

Процесс в виртуальной операционной среде с полным контролем действий ПО и отслеживанием алгоритма его работы осуществляется более эффективно. Поэтому целесообразно использовать такой механизм виртуализации как гипервизор. Под гипервизором принято понимать программное или микропрограммное обеспечение, позволяющее виртуализировать системные ресурсы вычислительных систем.

Оценка надежности ПО важна с точки зрения той системы, с которой данное ПО интегрируется. Все чаще появляются сложные системы, в которых программные механизмы управляют техническими и бизнес-процессами. Отказы надежности таких программных механизмов приведут к значительным финансовым потерям из-за простоя систем и необходимости наладки поврежденной инфраструктуры [18-23].

Вместе с тем, ориентироваться только на надежность нельзя, поскольку современное ВПО обладает широким функционалом по сетевому взаимодействию и также способно перехватывать контроль над управлением всей системы.

Рис. 1. Общая схема подхода к анализу безопасности ПО без исходных текстов

На (рис. 1) представлена общая схема подхода к анализу безопасности ПО без исходных текстов, на ней четко показаны объекты и параметры, которые необходимо контролировать для получения итоговой оценки безопасности.

Предложена оценка безопасности, включающая следующие частные оценки:

1. Оценку надежности функционирования ПО в терминах теории вероятностей. ПО тестируется п раз, число успешно пройденных испытаний обозначается как п+, а число отказов и случаев невыполнения/некорректного выполнения функций как п~. Получаем набор {п-,п-,...,п-}, разделив все случаи отказов/невыполнения/некорректного выполнения функций на к групп. Введем коэффициент 5;, ; = 1, k для каждой группы. Он характеризует вероятность устранения проблемы безопасности. Оценка надежности Я функционирования ПО вычисляется по формуле:

R =-

П +

Тк Sn

¿—¡1=1 1 1

2. Оценку безопасности на основе выявленных в результате сканирования уязвимостей и сетевых портов, а также выявленных потенциально небезопасных изменений в файловой системе и реестре. Введены два атрибута, характеризующие безопасное функционирование ПО: А1 характеризует сетевую безопасность, А2 характеризует безопасность работы системы. Для оценки атрибута А1 используем вероятностную метрику Р1: Р1 = Рт • Ри • L, где Рт — вероятность реализации угрозы безопасности, связанной с данным типом уязвимости; Рц — вероятность использования данной уязвимости; Ь — степень тяжести последствий от реализации угрозы безопасности, связанной с данным типом уязвимости (пятиуровневая шкала). Для оценки А2 используется формула

P = — • PR • L,

п

где — — отношение числа выявленных потенциально небезопасных изменений к общему числу изменений (операций), произошедших за время анализа в системе,

РЯ — вероятность возникновения угрозы безопасности в результате данного изменения.

3. Оценку безопасности на основе выявленных с использованием гипервизора потенциально опасных операций, связанных с памятью. При оценке используется два типа проблем безопасности: к1, приводящий к небезопасной работе с памятью, и к2, приводящий к замедлению работы системы из-за чрезмерной загрузки памяти процессами ВПО. С типом к1 будем связывать вероятность использования данной потенциально опасной операции при реализации кибератаки р , значение вероятности берется

с учетом вероятности реализации подобных инцидентов безопасности в рассматриваемой индустрии. С типом к2 — вероятность чрезмерной загрузки памяти к следующему моменту времени Рк . Общая оценка безопасности вычисляется по формуле

/ - г> \ , -АД

Ph =

1 -

k • pо

k2 • e

где п — общее число прогонов ПО;

1-1 — номер последнего на данный момент времени события типа к2;

Св — коэффициент пропорциональности, вычисляемый по формуле

Cn

•^к-1 1 ¿-и=1

П - i + 1

к-1 L=/i

(/. - временные отсчеты, в которые были зафиксированы события типа к2).

Итоговая вероятностная оценка Р вычисляется как среднее значение вероятностей:

р = R + р + Рн

,ес з

n +

+ii--

1 - к • Р ]+ к • e

-lA

2. Архитектура программного комплекса автоматизированного анализа безопасности ПО без открытых текстов

Архитектура программного комплекса может быть рассмотрена с двух сторон:

- с функциональной стороны;

- с аппаратно-технической стороны. Несомненно, оба эти взгляда будут соответствовать

друг другу, однако для лучшего понимания того, как должен работать программный комплекс, и какие для его реализации потребуются технические и программные средства, необходимо описать обе точки зрения.

Важно отметить, что выбрана модульная архитектура программного комплекса, поскольку она является расширяемой и тем самым обеспечивает широкие возможности по развитию ее функционала.

Начнем с функциональной архитектуры программного комплекса оценки информационной безопасности ПО без исходных текстов. Она представляет собой набор функциональных блоков системы, связанных между собой и направленных на решение поставленной задачи анализа безопасности ПО. Она включает следующие функциональные модули: 1. Виртуальный модуль — среда исследований образцов ПО на предмет безопасности. Модуль включает в себя

+

n

n

n

n

3

гипервизор, набор виртуальных машин, базу данных сценариев тестирования ПО.

2. Модуль мониторинга, обеспечивающий после запуска ПО:

- отслеживание изменений в файловой системе и реестре;

- мониторинг процессов вычислительной системы;

- анализ сетевой безопасности системы — сбор и анализ сетевого трафика в процессе функционирования ПО, сканирование сетевых портов и сканирование на предмет наличия уязвимостей.

3. Модуль анализа и контроля, обеспечивающий:

- декомпиляцию бинарного образца ПО и получение программного кода на языке высокого уровня, приближенного к реальному коду ПО;

- контроль обращений процессора к памяти при запуске ПО;

- контроль использований памяти при запуске ПО;

- формирование визуального представления такого использования памяти.

4. Модуль оценки безопасности функционирования ПО, реализующий оценку вероятности того, что исследуемый образец ПО реализует надежное и безопасное функционирование в вычислительной системе.

5. Модуль представления результатов, обеспечивающий представление проведенного анализа безопасности ПО в удобном для оператора/исследователя форме.

Также в рамках функциональной архитектуры присутствуют различные базы данных, в которых содержатся промежуточные результаты анализа, список исследуемых образцов ПО и результаты оценки безопасности.

Функциональная архитектура программного комплекса оценки информационной безопасности ПО без исходных текстов представлена на (рис. 2).

Рис. 2. Функциональная архитектура программного комплекса

Техническое представление архитектуры программного комплекса оценки информационной безопасности ПО без исходных текстов опирается преимущественно на аппаратные и программные средства, которые необходимо использовать для реализации и функционирования комплекса (рис. 3).

К необходимым средствам для реализации программного комплекса относятся:

1. Сервер, на котором будет выполняться анализ ПО, включающий следующие компоненты:

- установленная операционная система хоста;

- гипервизор;

- набор виртуальных машин, на каждой из которых установлена гостевая операционная система;

- системные файлы и библиотеки, необходимые для работы гостевой операционной системы;

- приложение или скрипт, реализующий автоматический запуск нескольких прогонов ПО в соответствии с заранее сформированными сценариями;

2. Сервер баз данных, на котором расположены:

- база данных, в которой хранятся сведения об исследуемых образцах ПО;

- база данных со сценариями тестирования образцов ПО;

- базы данных для хранения промежуточных и конечных результатов мониторинга;

- база данных для хранения декомпилированных образцов кода ПО;

Рис. 3. Графическое представление модели безопасного функционирования ПО

- базы данных для результатов работы алгоритмов контроля обращений процессора к памяти при запуске ПО, контроля использований памяти при запуске ПО и формирования визуального представления такого использования памяти.

3. Утилиты мониторинга процессов, отслеживания изменений в файловой системе и реестре.

4. Программное обеспечение для сбора сетевого трафика.

5. Сканер сетевой безопасности, обеспечивающий поиск открытых портов и сканирование на предмет наличия уязвимостей.

6. Дизассемблер и прочие инструменты статического анализа.

7. Отладчик, с возможностью получения динамических параметров исполнения ПО.

2. Реализация макета программного комплекса

Реализация макета программного комплекса также предполагает выбор необходимого инструментария. В качестве среды исследования выбрана операционная система DOS, поскольку при ее хорошей изученности, ее процессы также могут быть интерпретированы на более сложные системы семейства Windows.

Для мониторинга изменений в тестируемой системе с установленным исследуемым ПО используются свободно распространяемые утилиты от разработчиков Microsoft:

- Process Hacker — исследования и мониторинга процессов;

- FileMon — отслеживания изменений в файловой системе;

- RegMons — отслеживания изменений в реестре.

Сканирование портов реализуется утилитой nmap,

в автоматизированном режиме—с помощью python скрипта, использующего библиотеку python-3 nmap. Сканирование на уязвимости реализуется с помощью OpenVas.

В качестве механизма виртуализации выбран гипер-визор Bochs. Bochs — это бесплатный эмулятор, на основе которого можно воссоздать на своем устройстве операционную систему OS, VM, VSE. Данный программный продукт включает в себя эмуляцию процессоров архитектуры х86, различных видеоадаптеров и версий прошивки BIOS. Bochs может эмулировать такие процессоры, как AMD64, Pentium, Pentium Pro, 386, 486 и другие. Также поддерживает MMX, SSE3, SSE4, 3DNow, SSE, SSE2. Поскольку Bochs эмулирует множество операционных систем, его используют для отладки новинок и запуска старых игр и приложений.

К основным возможностям эмулятора Bochs можно отнести следующее:

- эмуляция операционных систем Windows, Linux,

DOS;

- проверка состояния памяти и регистров процессора;

- поиск ошибок в программах и приложениях с помощью графического отладчика;

- эмуляция процессоров 386, 486, Pentium всех поколений или x86-64, включая опциональные инструкции MMX, SSEx i 3DNow;

- поддержка вычисления типов памяти;

- поддержка Broadwell ULT в CPUDB;

- проверка и отладка VGA;

- сохранение и восстановления расширенных настроек интерфейса операционной систем;

- поддержка образов Oracle VM VirtualBox;

- поддержка MIDI UART.

При стендовых имитационных испытаниях анализ трафика осуществляется с использованием Wireshark (tshark с автоматизацией на базе pyshark), имитация внешней сети, включая параметры ntp, производится с использованием пакета inetsim. Для автоматизации испытаний запуск и установка параметров осуществляется с помощью управляющего скрипта netmanager.

Для проверки теоретических положений, изложенных в данной главе, на конкретных программных продуктах, предложена следующая структурная схема макета (рис. 4).

Рис. 4. Структурная схема макета программного комплекса

Рабочий образ представляет собой операционную систему MSDOS6.22 и исследуемый образец ПО. Указанный образ формируется исследователем перед проведением работ.

Важно отметить, что за счет использования гиперви-зора в составе программного комплекса (заявленного еще на этапе разработки модели) в случае внештатной ситуации можно «откатить» систему в последнее работоспособное состояние и продолжить работу.

На части программного комплекса получены свидетельства о государственной регистрации программы для ЭВМ.

3. Экспериментальная апробация макета

программного комплекса

При проведении экспериментальных исследований использовались 10 образцов ВПО и 2 штатные программы, функционирующие корректно. Частные оценки надежности и безопасности получились следующими (табл. 1-3).

Из табл. 1 видно, что в основном исследуемое ПО функционировало корректно, и отказы ПО были чрезвычайно редкими. Очевидно, что одной оценки надежности функционирования ПО недостаточно для того, чтобы сделать выводы о том, является ли ПО вредоносным или нет,

поскольку оценка надежности штатных программ незначительно отличается от надежности ВПО.

Оценка безопасности по итогам сетевого сканирования и мониторинга изменений в файловой системе и реестре является неоднозначной. Для ряда образцов ВПО она действительно оказалась весьма низкой (Ukraine, Omsk622, Yosha, Ah), однако для некоторых вредоносных программ оценка безопасности довольно высока (Abbas, Bomzh, Green), также она высока и для штатных программ, функционирующих корректно.

Из табл. 3 видно, что те образцы ВПО, которые на втором этапе оценки характеризовались довольно высокой вероятностью, на третьем этапе оценки проявили себя как однозначно вредоносные: их оценка безопасности низкая. При этом, для штатных программ она высокая, что позволяет четко выделить два класса образцов — класс легитимного ПО и класс вредоносного ПО.

Из табл. 4 видно, что высокую оценку получили только штатные программы, что подтверждает успешность апробации разработанного программного комплекса. При этом, задействование вычислительных ресурсов виртуальной машины при анализе безопасности было незначительным, что говорит о высокой производительности комплекса.

Таблица 1

Результаты оценки надежности

AVV Abbas Adi Ah Bomzh Green Omsk622 Ukraine Yosha Keyrus ШП №1 ШП №2

0,75 0,62 0,74 0,76 0,72 0,84 0,82 0,84 0,85 0,81 0,94 0,96

Таблица 2

Результаты оценки безопасности по итогам сетевого сканирования и мониторинга изменений в файловой системе и реестре

AVV Abbas Adi Ah Bomzh Green Omsk622 Ukraine Yosha Keyrus ШП №1 ШП №2

0,12 0,48 0,26 0,11 0,48 0,41 0,09 0,05 0,14 0,04 0,87 0,96

Таблица 3 Результаты оценки безопасности по итогам контроля работы с памятью

AVV Abbas Adi Ah Bomzh Green Omsk622 Ukraine Yosha Keyrus ШП №1 ШП №2

0,09 0,03 0,11 0,09 0,09 0,08 0,07 0,15 0,18 0,14 0,97 0,99

Таблица 4 Итоговая оценка безопасности

AVV Abbas Adi Ah Bomzh Green Omsk622 Ukraine Yosha Keyrus ШП №1 ШП №2

0,32 0,38 0,37 0,32 0,43 0,44 0,33 0,35 0,39 0,33 0,93 0,97

Заключение

В статье описан подход, лежащий в основе программного комплекса оценки информационной безопасности ПО без исходных текстов. Описаны этапы анализа безопасности и предложена комплексная вероятностная оценка безопасности ПО, учитывающая и надежность его функционирования, и возможные проблемы безопасности — что полностью соответствует новым условиям, возникшим в результате цифровизации и разработки ПО.

Описана архитектура программного комплекса, как с точки зрения его функциональных возможностей, так и с точки зрения необходимого программно-технического состава. Реализован макет программного комплекса, выполнена его оценка эффективности, подтвержденная результатами экспериментальных исследований.

Разработанный макет позволяет выполнить автоматизированный анализ безопасности ПО без исходных текстов, с учетом следующих аспектов:

- контроль областей памяти системы, с которыми взаимодействует исследуемый образец ПО;

- мониторинг процессов и изменений, происходящих в системе с момента запуска сценариев тестирования ПО;

- анализ сетевой безопасности при запуске исследуемого ПО;

- контроль использования памяти и вычислительных ресурсов системы, что особенно важно в условиях ограниченных вычислительных мощностей;

- проведение исследований в реальном масштабе времени с возможностью записи результатов для повторного анализа.

Наряду с этим, программный комплекс оценки информационной безопасности ПО без исходных текстов является масштабируемым за счет модульной архитектуры и доверенным за счет использования средств виртуализации, не позволяющих нанести вред работе вычислительной системы в случае обнаружения вредоносного поведения, исследуемого ПО.

Литература

1. Самарин Н. Н. Виды потенциально-опасных возможностей, реализуемых вредоносным кодом // Успехи современной науки и образования (Международный научно-исследовательский журнал). 2016. Т. 4. № 9. C.199-202.

2. Родионов А. В. Исследование способов распространения вредоносного программного обеспечения // Фундаментальные проблемы системной безопасности: Материалы школы-семинара молодых ученых, посвященной 60-летию запуска первого в мире искусственного спутника Земли. 2017. С. 249-253.

3. Тоторкулов М. З.С. Защита от вредоносных программных обеспечений // Традиции и инновации в системе образования. 2017. С. 213-216.

4. Родионов А. В. Сравнительный анализ методов распространения вредоносного программного обеспечения // Системы управления, технические системы: устойчивость, стабилизация, пути и методы исследования: Материалы молодежной секции в рамках IV Международной научно-практической конференции. 2018. С. 189-193.

5. Затульветер В. О., Фролов А. Е. Исследование средств автоматизации анализа вредоносного программного обеспечения // Ломоносовские чтения на Алтае: фундаментальные проблемы науки и техники. Сборник научных статей международной конференции: электронный ресурс. Ответственный редактор: Родионов Е. Д., 2018. С. 790-796.

6. Переберина А. А., Костюшко А. В. Проектирование программно-аппаратного комплекса для запуска вредоносного программного обеспечения // Труды Московского физико-технического института (национального исследовательского университета). 2018. Т. 10. № 2 (38). С. 114-130.

7. ПереберинаА.А., КостюшкоА.В. Разработка инструментария для динамического анализа вредоносного программного обеспечения // Труды Московского физико-технического института (национального исследовательского университета). 2018. Т. 10. № 3 (39). С. 24-44.

8. МаршевИ. И., ЖуковскийЕ. В., АлександроваЕ. Б. Использование ассемблерного кода программ для защиты средств обнаружения вредоносных программного обеспечения от состязательных атак // Методы и технические средства обеспечения безопасности информации. 2020. № 29. С. 85-86.

9. Стасьев Д. О. Контроль целостности компонентов виртуальных машин, созданных на базе гипервизора KVM // Безопасность информационных технологий. 2020. Т. 27. № 2. С. 118-131.

10. Осипов А.В. Метод решения задачи поиска оптимального распределения вычислительных ресурсов при применении механизмов виртуализации // Радиоэлектроника, электротехника и энергетика: Тезисы докладов. 2018. С. 269.

11. Бутин А. А. Технология защиты программного обеспечения // Информационные технологии и математическое моделирование в управлении сложными системами. 2019. № 2 (3). С. 53-63.

12. Лапшин Д. В., Кабанцов Ю.Е., Баулин А. В., Лету-нова Ю. О., Тарасов В. С., Каленик Д. С. Анализ защищенности систем виртуализации // Colloquium-journal. 2020. № 10-2 (62). С. 63-66.

13. Мустафин Т.Р., Алехин А.И., Кравцунов Е.М., Ма-каев Б. О. Безопасная среда исполнения критических приложений во встраиваемых системах на базе вычислительных средств семейства «Эльбрус» // Радиопромышленность. 2019. № 1. С. 16-22.

14. АхтямовД. Р., Зегжда Д. П. Обнаружение скомпрометированных мониторов виртуальных машин методами искусственного интеллекта // Методы и технические средства обеспечения безопасности информации. 2020. № 29. С. 28.

15. ГордеевА.В., ГореликД.В. Сравнительное тестирование контейнерной и гипервизорной виртуализации // Информационно-управляющие системы. 2018. № 2 (93). С. 60-66.

16. Колясников П. В., Силаков И.Н., Ильин Д.Ю., Гусев А. А., Никульчев Е. В. Повышение эффективности виртуального рабо-

чего окружения распределенной разработки программ // Современные информационные технологии и ИТ-образование. 2019. Т. 15. № 1. С. 72-80.

17. Томаев М.Х. Средства автомитизации оптимизаци-онныз преобразований исходных кодов программных систем // Программные продукты, системы и алгоритмы. 2018. № 3. С. 3.

18. Мусин С.М., Дорохов Д. Г., Сутормин Д.А. Надежность программного обеспечения авиационного оборудования летательных аппаратов государственной авиации // Научные чтения по авиации, посвященные памяти Н. Е. Жуковского. 2018. № 6. С. 413-422.

19. Расулов М.М. Оценка надежности программного обеспечения // Актуальные научные исследования в современном мире. 2020. № 6-2 (62). С. 112-116.

20. Чепцов М.Н., Сребная И.Г. Метод повышения надежности программного обеспечения в системах управления движением поездов // Сборник научных трудов Донецкого института железнодорожного транспорта. 2019. № 52. С. 27-31.

21. Пошивалов В. П., Даниев Ю. Ф. О моделях надежности программного обеспечения эргатических систем // Техническая механика. 2017. № 4. С. 89-95.

22. Гусеница Я.Н. Имитационно-аналитическая модель надежности программного обеспечения // Информационные системы и технологии. 2019. № 5 (115). С. 10-17.

23. Левина Т.М., Фомина В. В., Переверзева А.И., Полянская В. И. Оценка надежности при написании программного обеспечения применяемого в нефтяной отрасти // Нефтегазовое дело. 2018. Т. 16. № 6. С. 107-114.

SOLUTION FOR A SOURCE CODE-LESS SOFTWARE INFORMATION SECURITY ASSESSMENT

NIKOLAY N. SAMARIN

Moscow, Russia, samarin_nik@mail.ru

ABSTRACT

Introduction: Digitalisation affects all sectors of human activity, resulting in the creation of a variety of software that implements business logic and technical processes in complex systems. Under these conditions, the issue of identifying malware becomes even more important. The solution to this problem is complicated by the lack of source code and the need to quickly make a decision on the presence or absence of malicious functionality. Research Aim: The aim of the research is to create an approach to assess the information security of software without source code. It is proposed that the approach is based on the use of a hypervisor that provides control over the operation of software with memory as a key characteristic of the presence/absence of its malicious functionality. It is proposed to calculate a software security score as a security metric. Methods: the solution of the set issue is based on the use of virtualization mechanism providing control over all operations over the memory realized by the software and on the use of probability theory methods to get a complex security estimate which takes into account the reliability of the software functioning and its security. Results: the methodology of getting a complex estimation of software functioning security is developed which takes into account the security of software functioning; network security - vulnerabilities

KEYWORDS: information security; malware; hypervisor; modular architecture.

and network ports detected by scanning; potentially insecure changes in file system and register and also potentially dangerous operations connected with the use of memory. The architecture of the software prototype that implements the proposed approach is described and its experimental testing is carried out, as a result of which only regular software samples received high security assessment. Practical significance: the developed system can be used for automated analysis of software operating in various complex systems. An important advantage of the software prototype is its scalability and trustworthiness ensured through the use of virtualization tools that do not allow damaging the work of a computer system in case of detection of malicious software.

REFERENCES

1. Samarin, N. N. Types of potentially dangerous opportunities implemented by malicious code. Uspekhi sovremennoy nauki i obra-zovaniya (International Scientific Research Journal). 2016. Vol. 4. No. 9. Pp. 199-202. (In Rus)

2. Rodionov A. V. Research of methods of distribution of malicious software. In the collection: Fundamental problems of system security.

Materials of the school-seminar of young scientists dedicated to the 60th anniversary of the launch of the world's first artificial Earth satellite. 2017. Pp. 249-253. (In Rus)

3. Totorkulov M. Z. S. Protection from malicious software. In the collection: Traditions and innovations in the education system. 2017. Pp. 213-216. (In Rus)

4. Rodionov A. V. Comparative analysis of methods of distribution of malicious software. In the collection: Control systems, technical systems: stability, stabilization, ways and methods of research. Materials of the youth section within the IV International Scientific and Practical Conference. 2018. Pp. 189-193. (In Rus)

5. Zatulveter V. O., Frolov A. E. Research of automation tools for the analysis of malicious software. In the collection: Lomonosov Readings in the Altai: fundamental problems of science and technology. Collection of scientific articles of the international conference: electronic resource. 2018. Pp. 790-796. (In Rus)

6. Pereberina A. A., Kosciusko A. V. Design of a software and hardware complex for launching malicious software. Proceedings of the Moscow Institute of Physics and Technology (National Research University). 2018. Vol. 10. No. 2 (38). Pp. 114-130. (In Rus)

7. Pereberina A. A., Kosciusko A. V. Development of tools for dynamic analysis of malicious software. Proceedings of the Moscow Institute of Physics and Technology (National Research University). 2018. Vol. 10. No. 3 (39). Pp. 24-44. (In Rus)

8. Marshev I. I., Zhukovsky E. V., Alexandrova E. B. Using the assembler code of programs to protect the means of detecting malicious software from adversarial attacks. Methods and technical means of ensuring information security. 2020. No. 29. Pp. 85-86. (In Rus)

9. Stasyev D. O. Monitoring the integrity of components of virtual machines created on the basis of the KVM hypervisor. Information Technology security. 2020. Vol. 27. No. 2. Pp. 118-131. (In Rus)

10. Osipov A. V. A method for solving the problem of finding the optimal distribution of computing resources when using virtualization mechanisms. In the book: Radioelectronics, electrical engineering and power engineering. Abstracts of reports. 2018. P. 269. (In Rus)

11. Butin A. A. Technology of software protection. Information technologies and mathematical modeling in the management of com-plexsystems. 2019. No. 2 (3). Pp. 53-63. (In Rus)

12. Lapshin D. V., Kabantsov Yu. E., Baulin A. V., Letunova Yu.O., Taras-ov V. S., Kalenik D. S. Analysis of the security of virtualization systems.

Colloquium-journal. 2020. No. 10-2 (62). Pp. 63-66. (In Rus)

13. Mustafin T. R., Alyokhin A. I., Kravtsunov E. M., Makaev B. O. Safe execution environment for critical applications in embedded systems based on computing tools of the "Elbrus" family. Radio industry. 2019. No. 1. Pp. 16-22. (In Rus)

14. Akhtyamov D. R., Zegzhda D. P. Detection of compromised virtual machine monitors by artificial intelligence methods. Methods and technical means of ensuring information security. 2020. No. 29. P. 28.

15. Gordeev A. V., Gorelik D. V. Comparative testing of container and hypervisor virtualization. Information and control systems. 2018. No. 2 (93). Pp. 60-66. (In Rus)

16. Kolyasnikov P. V., Silakov I. N., Ilyin D. Yu., Gusev A. A., Nikul-chev E. V. Improving the efficiency of the virtual working environment of distributed software development. Modern information technologies and IT education. 2019. Vol. 15. No. 1. Pp. 72-80. (In Rus)

17. Tomaev M. H. Means of automitization of optimization transformations of source codes of software systems. Software products, systems and algorithms. 2018. No. 3. P. 3. (In Rus)

18. Musin S. M., Dorokhov D. G., Sutormin D. A. Reliability of software for aviation equipment of state aviation aircraft. Scientific readings on aviation, dedicated to the memory of N. E. Zhukovsky. 2018. No. 6. Pp. 413-422. (In Rus)

19. Rasulov M. M. Evaluation of software reliability. Actual scientific research in the modern world. 2020. No. 6-2 (62). Pp. 112-116. (In Rus)

20. Cheptsov M. N., Srebnaya I. G. Method of improving the reliability of software in train traffic control systems. Collection of scientific papers of the Donetsk Institute of Railway Transport. 2019. No. 52. Pp. 27-31. (In Rus)

21. Poshivalov V. P., Daniev Yu. F. On models of reliability of software for ergatic systems. Technical Mechanics. 2017. No. 4. Pp.89-95. (In Rus)

22. Caterpillar Ya. N. Simulation and analytical model of software reliability. Information systems and technologies. 2019. No. 5 (115). Pp. 10-17. (In Rus)

23. Levina T. M., Fomina V. V., Pereverzeva A. I., Polyanskaya V. I. Evaluation of reliability in writing software used in the oil industry. Oil and gas business. 2018. Vol. 16. No. 6. Pp. 107-114. (In Rus)

INFORMATION ABOUT AUTHOR:

Samarin N.N., Head of the Research Department No. 6, Federal State Unitary Enterprise "Kvant Research Institute".

For citation: Samarin N.N. Solution for a source code-less software information security assessment. H&ES Research. 2021. Vol. 13. No. 2. Pp. 25-34. Doi: 10.36724/2409-5419-2021-13-2-25-34 (In Rus)