п Ч
АСПЕКТЫ КАЧЕСТВА
ВВВ КАЧЕСТВО И БЕЗОПАСНОСТЬ
Результаты экспериментальных исследований прототипа системы оценки устойчивости антивирусных средств к ложным срабатываниям
В рамках данной статьи рассматривается структура прототипа и результаты экспериментальных исследований системы оценки устойчивости антивирусных средства к умышленным ложным срабатываниям. Несмотря на проработанность сигнатурного анализа, реализация в каждом из средств защиты информации индивидуальна, как индивидуальны и отдельные элементы алгоритмов, по которым они работают. Вследствие многих причин, среди которых и уникальность реализации алгоритмов сигнатурного метода, проблема ложных срабатываний актуальна для любого современного антивирусного средства. Ложные срабатывания как первого, так и второго типа характерны для антивирусных средств при использовании сигнатурного метода обнаружения вирусов. Ложные срабатывания в этом ключе могут использоваться разработчиками вирусов для достижения собственных деструктивных целей. Таким образом, разработка методов и средств оценки устойчивости антивирусных средств является актуальной научной и инженерной задачей.
Рассмотрим структуру прототипа системы оценки устойчивости антивирусных средств к ложным срабатываниям и проанализируем результаты ряда экспериментальных исследований с учетом потенциальной неустойчивости антивирусов к ложным срабатываниям [1].
д.с. сильное,
доцент Национального исследовательского ядерного университета МИФИ, к.т.н. (ds@sHnov.proj
О.В.ТАРАКАНОВ,
ассистент Национального исследовательского ядерного университета МИФИ (o-tar@yandex.ru)
Results of experimental research of a prototype of system of an assessment of resistance of antivirus against to false operations
Within this article the structure of a prototype and results of research of system of an assessment of stability antivirus against to false operations is considered.
Despite the level of scrutiny of the signature analysis, implementation in each antivirus software is individual, also separate elements of algorithms on which they work are individual. Owing to many reasons, among which are uniqueness of realization of algorithms of a signature method, a problem of false operations actual for any modern antivirus software. False operations, both the first, and the second sort are characteristic for antivirus means, when using a signature method of detection of viruses. False operations in this way can be used by developers of viruses for achievement of own, destructive purposes. Thus, development of methods and software of an assessment of stability of antivirus is an actual scientific and engineering task.
Прототип является фильтром файловой системы семейства Windows [2]. Это позволяет на уровне ядра получать информацию о всех запросах в файловую систему, совершаемых исполняемыми процессами, а также анализировать полученную от файловой системы информа-
н
22
222
ВЕ2Е2
22
2
Ключевые слова:
антивирус, ложноположительные, ложноотрицательные, вирусы.
2
22
222
222
22
2
Keywords:
antivirus, false positive, false negative, viruses.
КАЧЕСТВО И БЕЗОПАСНОСТЬ
п
GH □ СП HGH
АСПЕКТЫ КАЧЕСТВА
Система оценки устойчивости
Драйвер файловой системы
цию (содержимое файлов) по заданной логике (см. рисунок).
Результаты эксперимента «Тестовые воздействия»
Серия экспериментов №ТВ-NOD, антивирус Nod32
Вначале производится запуск прототипа системы оценки устойчивости, затем - запуск антивируса. В качестве антивирусного средства в данном эксперименте выбран ESET Nod32. Запускается проверка той области в файловой системе, где располагаются тестовые элементы - «C:\test_1\». Прототип настроен таким образом, чтобы для всех процессов ОС производить модификацию содержимого всех файлов в обозначенной директории. В начало файла помещается строка вида «X5O!P%@AP[4\ PZX54(P")7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*», что должно вызывать срабатывание антивируса, так как данная строка в начале файла является тестовой сигнатурой EICAR. Тестовыми элементами служат 400 файлов, сгенерированных с различным размером, содержанием и расширением.
В результате проверки все заранее сгенерированные файлы определены антивирусом как вредоносные и удалены. Результат одного из серии экспериментов представлен в табл. 1.
Серия экспериментов №ТВ-KIS, антивирус KIS
Количество сгенерированных файлов (уровень достоверности не ниже 0,95 [3]) - 400 файлов. Генерация производилась в соответствии с методикой проведения эксперимента: с различным содержимым, размером и расширением. Файлы были помещены в директорию «C:\test_1\».
После загрузки драйвера антивирус был запущен на проверку этой директории, в результате чего все 400 файлов были определены антивирусом как вредоносные и удалены (табл. 2).
Серия экспериментов №ТВ-BD, антивирус BitDefender
В прототипе производится настройка на изменение содержимого на строку вида «@echo off\ necho orgy > infect1.bat\necho if
Пол ьзо вате л ьск и й процесс
Процесс антивирусного средства
Уровень ядра
Драйвер файлового хранилища
Файловое хранилище
Структурные компоненты прототипа системы оценки устойчивости
[%%1]==[infect1.bat] goto DontBother > infect2.bat\necho if [%%1]==[infect2.bat] goto DontBother >> infect2.bat\ necho copy %%1 + infect1.bat %%1 >> infect2.bat\necho attrib +r %%1 >> infect2.bat\necho :DontBother >> infect2. bat\nattrib +r infect1.bat\nattrib +r infect2.bat\nfor %%f in (*.bat) do call infect2 %%f\nattrib -r infect1.bat\nattrib -r infect2.bat\ndel infect1.bat\ndel infect2.bat\n».
Специально написанной программой были сгенерированы 400 файлов с различным содержанием, размером и расширением. Данные файлы были помещены в директорию «C:\test_1\». Драйвер замены был сконфигурирован таким образом, что в директории «C:\test_1\» осуществлялась подмена, затем компилировались исходные коды и готовый драйвер загружался в операционной системе. Затем антивирус был запущен на скани-
Таблица 1. Протокол проведения эксперимента серии № TB-NOD 1
Время запуска процедуры сканирования антивирусным средством ^ 2:42:58
Время запуска системы оценки устойчивости 2:42:00
Время окончания работы антивирусного средства 2:43:05
Количество сгенерированных тестовых воздействий 400
Общее количество проверенных объектов в рамках текущего сканирования 400
Количество проверенных тестовых воздействий антивирусным средством, N 400
Количество ошибок первого рода N 400
Вероятность ошибки первого рода а 1
Таблица 2. Протокол проведения эксперимента серии №TB-KIS '
Время запуска процедуры сканирования антивирусным средством ?! 3:18:38
Время запуска системы оценки устойчивости 3:18:02
Время окончания работы антивирусного средства 3:19:04
Количество сгенерированных тестовых воздействий 400
Общее количество проверенных объектов в рамках текущего сканирования 401
Количество проверенных тестовых воздействий антивирусным средством, N 400
Количество ошибок первого рода ^ 400
Вероятность ошибки первого рода а 1
№2 • 2015 BGIC КАЧЕСТВА
АСПЕКТЫ КАЧЕСТВА
п ч нн ппэ □ □2
ПП ..*
н
КАЧЕСТВО И БЕЗОПАСНОСТЬ
Таблица 3. Протокол проведения эксперимента серии № TB-BD 1
Время запуска процедуры сканирования антивирусным средством ^ 3:12:14
Время запуска системы оценки устойчивости t2 3:12:00
Время окончания работы антивирусного средства 3:29:30
Количество сгенерированных тестовых воздействий 400
Общее количество проверенных объектов в рамках текущего сканирования 421
Количество проверенных тестовых воздействий антивирусным средством, N 400
Количество ошибок первого рода Nа 400
Вероятность ошибки первого рода а 1
В рамках предложенной методики оценки устойчивости антивирусных средств к ложным срабатываниям, рассматривается важная задача повышения защищенности антивирусных средств посредством оценки их устойчивости к направленным атакам, нацеленным на повышение вероятности ложных срабатываний.
рование данной директории, вследствие чего все 400 файлов (табл. 3) были определены как вредоносные и удалены антивирусом.
В результате проведения серии экспериментов «Тестовые воздействия» было установлено, что разработанный прототип вызывает ложные срабатывания у всех выбранных антивирусных средств. Ложные срабатывания выявлены в полном объеме и согласуются с теоретической оценкой.
Литература
1. Сильнов Д.С. Проблемы ложных срабатываний антивирусных средств // Прикладная информатика. 2012. № 4(40). С. 63-66.
2. Russinovich M., Solomon D. Windows® Internals: Including Windows Server 2008 and Windows Vista, Fifth Edition. Microsoft Press, 2010.
3. Гнеденко В.Е. Теория вероятностей и математическая статистика: Учеб. пособие для вузов / Изд. 4-е, доп. М.: ВШ, 1972.
Компания J'son & Partners Consulting представила краткие результаты исследования российского рынка информационной безопасности по итогам 2014 года и прогноз его развития до 2018 года.
По оценкам экспертов, в 2014 г. объем российского рынка средств и услуг в сфере информационной безопасности (ИБ) вырос в номинальном рублевом выражении на 13% до 51 млрд. руб., что несколько выше общих номинальных темпов роста ИТ-рынка в России, которые, по данным Росстата, составили около 10%. Таким образом, в общем объеме российского ИТ-рынка, рынок средств и услуг информационной безопасности занимает около 7%.
Как и для ИТ-рынка в целом, позитивная динамика российского рынка ИБ в 2014 г. в значительной степени определялась девальвацией рубля и вызванным ей ростом цен на импортные средства ИБ, который стал особенно заметен в 4 квартале. Такая ситуация наблюдается впервые с 2009 г. В сопоставимых рублевых ценах рынок ИБ в России показал близкий к нулевому рост, при этом основной эффект от вызванного девальвацией национальной валюты удорожания импортных продуктов ИБ будет заметен в 2015 г., что вызовет падение российского рынка ИБ в сопоставимых ценах.
Так или иначе, но на фоне стагнации развития рынка ИБ, отмечается значительное нарастание угроз ИБ с их переходом на качественно иной уровень, что подтверждается данными ключевых рыночных игроков. «Мы отме-
w Будущее российского рынка информационной безопасности
чаем переход киберпреступности на качественно новый уровень, заключающийся в превращении теневого рынка киберкриминала в хорошо отлаженную индустрию, которая полностью повторяет законы мира обычного. Своя разработка, своя поддержка, возврат средств в случае недовольства купленным товаром, сдача в аренду технологий и оборудования, услуги посредников, неотслеживае-мые платежные системы расчетов, партнерские программы, обналичивание денежных средств и многое другое. Не случайно появляется термин Crime-as-a-Service, означающий превращение рынка киберпреступности в хорошо налаженную машину, работающую со знаком минус», - отмечает эксперт Cisco по вопросам информационной безопасности Алексей Лукацкий.
Структура рынка ИБ в 2014 г. не претерпела значительных изменений. Как и ранее, основными сегментами российского рынка информационной безопасности стали сегменты средств сетевой безопасности и средств антивирусной защиты, вместе занимающие более 70% рынка. Однако, несмотря на отсутствие кардинальных изменений как в динамике, так и в структуре российского рынка ИБ, вероятность таковых в период до 2018 г. оценивается как высокая. При этом прогнозируемый стабильно негативный ма-