Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Андреев Никита Олегович
Сегодня как никогда остро стоят проблемы информационной безопасности в корпоративных сетях. Одной из наиболее существенных здесь видится угроза компьютерных вирусов и прочих вредоносных программ. В статье приводятся некоторые оценки относительно дальнейшего развития ситуации.
i Надоели баннеры? Вы всегда можете отключить рекламу.
Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Андреев Никита Олегович
Разработка методики сравнительного тестирования антивирусных продуктов
Универсальный распаковщик для анализа вредоносных программ
Проблемы ложных срабатываний антивирусных средств
Проблемы антивирусной индустрии, методы борьбы с компьютерными угрозами и ближайшие перспективы развития
Алгоритм обнаружения и обхода антиотладочных и антиэмуляционных приемов
i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.
Antivirus software prospects1«Allegro-Com Company»
Methods forming the basis of contemporary antivirus software packages as well as its’advantages and disadvantages are examined. The comparative analysis of «open source» and «closed source» operational systems regarding security tools efficiency has been carried out. The directions of antivirus software development are highlighted and considered.
Вирусы и антивирусные программы, ч.1
Текст научной работы на тему «Перспективы развития антивирусных продуктов»
№ 1(19)2009 Н. О. Андреев
Перспективы развития антивирусных продуктов
Сегодня как никогда остро стоят проблемы информационной безопасности в корпоративных сетях. Одной из наиболее существенных здесь видится угроза компьютерных вирусов и прочих вредоносных программ. В статье приводятся некоторые оценки относительно дальнейшего развития ситуации.
Производители антивирусного программного обеспечения не стараются делать принципы функционирования своих продуктов прозрачными, и на то есть серьезные причины. Во-первых, раскрытие механизмов работы влечет за собой появление новых разновидностей вредоносных программ, содержащих средства обхода этих механизмов. Во-вторых, маркетинговая политика требует придания антивирусному продукту имиджа, как можно менее открытого, но при этом выполняющего свои функции эффективнее аналогичных продуктов. Постулат, положенный в основу закрытого программного кода «как именно работает программа — пользователя волновать не должно», наиболее полно раскрывается как раз в антивирусной индустрии. Приведем основные принципы, заложенные в организацию работы этих продуктов:
• эмуляция выполнения кода;
• постоянный мониторинг операций.
Сигнатурный анализ. Самый примитивный
вид поиска вируса по известным последовательностям кодов — сигнатурам. Используется с самого появления антивирусных программ. На сегодняшний день его эффективность под сомнением.
Как делают вирусы?
Эвристический анализ является продолжением сигнатурного, но работает в тех случаях, когда по последовательности кодов нельзя точно определить наличие вируса в файле, когда данные признаки присущи, в том числе, и обычным программам. В связи с этим анализируются подозрительные участки, их порядок и количество. Зачастую эвристический анализ используют в комбинации с сигнатурным, ко-
гда база сигнатур достаточно велика, и недосуг перебирать весь файл в поисках одной из них. В этом случае на совпадение с базой сигнатур проверяются только участки кода, специально подобранные модулем-эвристиком.
Эмуляция выполнения кода. Довольно прогрессивный метод. Здесь подозрительный код запускается в рамках виртуальной машины, в так называемой песочнице. После этого виртуальная машина останавливается для анализа состояния на предмет признаков заражения.
Довольно прогрессивный метод, однако существуют антиотладочные приемы (они же используются при разработке систем защиты программного обеспечения), которые определяют истинную среду выполнения и блокируют выполнение вредоносного кода на виртуальных машинах. Кроме того, логика вредоносного программного кода может предполагать условное его выполнение, например, первого числа каждого месяца, либо выбором — по генератору случайных чисел. В этом случае эмуляция бессмысленна, т. к. анализатор не знает всех условий и особенностей работы вируса.
Постоянный мониторинг операций. Наиболее прогрессивный метод, который теоретически позволяет избежать большинства угроз, исходящих от компьютерных вирусов. На практике реализуется следующим образом. Например, некоторая программа пытается установить соединение по сетевому протоколу. Пользователю на экран выдается сообщение об этом, после чего он может либо разрешить данное действие, либо запретить и отослать данную программу в антивирусную лабораторию. То же самое относится и к операциям с системными файлами, а также специфическими ключами
реестра windows / конфигурационными файлами unix.
Кроме того, обработчики-ловушки ставятся и на разнообразные действия высокого уровня, когда, например, при отсылке почты, сервисом предварительно проверяется каждое письмо. Минусом данного подхода является существенное замедление работы при мониторинге файловой системы в реальном времени, а если ресурсы компьютера на 70% используются системой безопасности, это может вызвать недовольство пользователей. К тому же пользователи могут не обладать достаточной квалификацией для самостоятельной оценки степени опасности и разрешать любые действия, сводя на нет все усилия антивирусного продукта [1].
Обратимся к истории развития вредоносных программ. На начальном этапе развития основным инструментом для их создания являлся язык ассемблера, который непосредственно компилируется в машинные коды. Понятно, что любая программа, запущенная на рабочей станции, может быть остановлена в отладчике и исследована при помощи дизассемблера. Таким образом, разработчику антивируса нужно было только найти вредоносный код, скопировать его в базу сигнатур, и на этом жизненный цикл вируса можно было считать законченным.
Однако авторы вирусов, дабы осложнить жизнь своим оппонентам (рис. 1), стали выпускать конструкторы вирусов, с помощью которых любой желающий мог создать вирус, не содержащийся пока в сигнатурной базе какого-g либо антивируса. Принцип действия таких кон-§ структоров заключается в перестановке незначимых участков, а также разбавлении его все- ассемблер, но здесь риск ошибки возрастает | в разы по сравнению с прикладными языками.
Что касается способностей вирусов, троя-| нов, руткитов (root kit — средство скрытого § управления) осуществлять вредоносныедейст-| вия, оставаясь незамеченными, и сохранять § неуязвимость от антивирусного программного g обеспечения, то здесь причина — в недоку-^ ментированных функциях операционных сис-а тем, а также ошибках в них. Недокументиро-
ванные функции, как правило, позволяют вирусу скрытно стартовать при запуске сеанса, а ошибки помогают повысить привилегии среды окружения, или же дают возможность удаленно заразить другую машину (без непосредственного запуска пользователем зараженных исполняемых файлов, писем, документов). Зачастую одна такая ошибка в несколько секунд поражает целый сегмент ЛВС, и сетевые экраны, к сожалению, малополезны в таких случаях, т. к. защищают от угрозы извне, а внутри сегмента сервисы должны быть доступны.
Администратору остается только оперативно ставить патчи, обновлять антивирусные базы и надеяться, что эксклюзив, еще не попавший в базы,обойдет его сеть стороной.
Если нет надежды на соблюдение разработчиками ПО-требований к безопасности кода, антивирусные базы растут в размерах, производительность, соответственно, падает (к тому же в них самих полно уязвимостей), то какже быть администраторам? Ведь на них возложена ответственность за сохранность данных в корпоративной сети, и в случае чего возможна потеря профессиональной репутации. Как можно уберечься от внезапного заражения сети и потери ею работоспособности, если производители озабочены лишь получением прибыли, исходный код закрыт и лицензия пользователя не дает никаких гарантий?
Может быть, обратиться к системам на основе открытого исходного кода (рис. 2), набирающего сейчас популярность? Например, по данным CNews.ru2, Linux в рамках пилотного проекта внедрен уже в 1092 школах Российской Федерации. Какже с безопасностью там, насколько подвержены эпидемиям эти ОС?
В Unix-системах с заражением вредоносным ПО все несколько сложнее — слишком много дистрибутивов с различными реализациями компиляторов, на которых переполнения, к примеру, происходят по-разному, а также слишком много версий демонов (аналог понятия сервис в Windows). Зачастую администраторы меняют баннер, идентифицирующий демон. Это затрудняет подбор эксплойта и фак-
1 См., например, www.securitylab.ru (прим. ред.).
2 http://www.cnews.ru/news/top/index.shtml?2008/09/04/316 080
Рис. 2. Методы усиления защиты в Open Source
тически делает невозможным создание многоплатформенного универсального червя.
И это еще не все. Наряду с антивирусным ПО, под Unix распространяются специальные утилиты и патчи (Stack Guard, ProPolice, CCured), системно решающие проблемы безопасности и перекрывающие путь сразу целым классам угроз.
Stack Guard использует чувствительные индикаторы, которые находятся рядом с адресом возврата из функции (и неизбежно затираются при переполнении), что позволяет перед выходом из функции определить попытку взлома и завершить работу программы, если таковая имела место. ProPolice является продолжением идеи Stack Guard, переопределяет локальные переменные и опять-таки добавляет проверок при выполнении программ. Обе программы оформлены как заплатка к компилятору GCC.
Утилита Memwatch, замещающая стандартные библиотеки работы с памятью, также основывается на принципе облачения функций распределения памяти в своеобразную скорлупу, также содержит разнообразные проверки.
CCured по принципу действия напоминает предыдущие разработки, однако работает с исходными кодами, оставляя возможность редактирования их пользователем после добавления собственных проверок. Зачастую это просто необходимо, т. к. после прохода CCured в автоматическом режиме закономерно наступает серьезное падение производительности.
Таким образом, «либо безопасность, либо быстродействие».
Non-executable Stack Patch делает невозможным исполнение кода в сегменте стека (что понятно из названия), опять-таки не спасая от переполнения как такового, что означает отказ в обслуживании, однако получить контроль над машиной уже не удастся. Это патч к ядру Linux.
ITS4 Software Security Tool и Flawfinder являются анализаторами исходных текстов. Они осуществляют поиск ошибок, и дают некие рекомендации на предмет усиления безопасности кода [4].
Можно сделать вывод, что использование подобных утилит и патчей при сборке и компиляции ядра ОС и прикладного ПО намного эффективнее самых дорогих и сложных эвристических анализаторов: вместо «лоскутного» определения тех или иных образцов вредоносных программ по сигнатуре или паттерну мы отсекаем целые классы угроз с потенциалом к заражению станции.
В заключение хотелось бы отметить, что, в отличие от функций антивирусных продуктов, такие методики защиты часто включаются в состав дистрибутивов (например, ProPolice по умолчанию включен в Trusted Debian и OpenBSD), избавляя от необходимости перекомпиляции ядра ОС, а также появляются в компиляторах в качестве режима (задействуются путем установки специальных флагов), что позволяет администратору самостоятельно находить компромиссы в дилемме «производительность — защищенность».
1. Прокди Р. Г., Алексеев П. П., Козлов Д. А. Антивирусы: Настраиваем защиту компьютеров от вирусов. М.: Наука и техника, 2008.
2. Кузнецов А. А. Защита деловой переписки: Секреты безопасности, защищенности. М.: Экзамен, 2008.
3. Ложников П. С, Михайлов ЕМ. Обеспечение безопасности сетевой инфраструктуры на основе операционной системы Microsoft. М.: Бином, 2008.
4. Манн С., Митчелл Э. Л., Митчелл К. Безопасность Linux. М.: Вильямс, 2003.
Источник: cyberleninka.ru
XIII Международная студенческая научная конференция Студенческий научный форум — 2021
Актуальность. В век современных технологий каждый пользователь компьютеров и ПК при первом же запуске сталкивается с одним из самых важных и сложных вопросов: как уберечь свой компьютер от угрозы, которая исходит извне? С каждым годом просторы интернета развиваются так же, как и угрозы, которые приходя оттуда. Появляются каждый день всё новые и новые вирусы и вредоносные программы, которые угрожают безопасности компьютеров. Черви, вирусы, трояны, дозвонщики, фишинговые атаки, программы-шпионы — это далеко не полный перечень неприятных сюрпризов, с которыми рано или поздно сталкивается пользователь .
Естественно, специалисты IT-индустрии не могли оставить без внимания данную проблему. В настоящее время на рынке представлены десятки программ защиты для компьютеров, которые каждый раз усовершенствуются. Порой сделать выбор и остановиться на каком-то одном продукте очень сложно, так как необходимо владеть информацией о возможностях каждого продукта.
Цель. Проанализируем современные методы и средства антивирусной защиты, которые приобретают свою актуальность среди пользователей.
Вирусы созданы специально для поражения информации содержащейся на компьютерах. Они представляют собой программы, написанные на низшем компьютерном языке, которые автоматически распространяются на другой программный продукт через зараженные носители или при подключении к Интернет-ресурсам.
Вирусы бывают трех видов:
– файлово-загрузочные вирусы. Они получают управление компьютером при запуске зараженных файлов;
– черви. Распространяются через социальные сети, письма, направляемые по электронной почте;
– троянские программы. Они самые опасные, так как могут производить на чужом компьютере самостоятельные действия, которые несанкционированные владельцем, могут уничтожить и повредить файлы, а также воровать данные.
В любой части системы могут располагаться вирусы, которые ждут определённого действия или события, чтобы начать свою работу по нанесению вреда. Они могут быть неопасными, существовать на компьютере годами, не причиняя особого вреда, создавая лишь некоторые затруднения в работе определенных программ. Однако, таких – единицы, большая часть вирусов опасны.
Современные вирусы очень разнообразные и могут выполнять разные функции. Существует определённое количество вирусов, которые поражают оперативную память, а потом и весь компьютер, а есть такие, которые существуют относительно недолго, совершают определенные действия и остаются ненайденными.
Антивирусные программы не стоят на месте и тоже совершенствуются. Следовательно, для того чтобы компьютер был в безопасности пользователь постоянно должен быть в поиске более эффективной системы защиты для своего ПК.
В целом, если обобщить, то антивирусные программы можно поделить на несколько основных типов, каждый их которых ориентирован на какую-то доминирующую функцию. Данный перечень программ выглядит так:
Эти компоненты могут пригодиться в организации системы защиты информации. Например, антивирусные программы – доктора, могут обнаружить заражение и вылечить систему. Это ценное свойство. Тело вируса в данном случае удаляется из пораженного файла. Последний же возвращается в исходное состояние.
Такие программы, которые называют фагами, ведут поиск вирусов. При обнаружении таких вирусов они их сначала уничтожают, а потом активируют процессы восстановления. Если компьютер часто подвергается влиянию большого количества угроз, нужно использовать полифаги.
Они предназначены специально для таких нагрузок. Если же речь идет о детекторах, то данный тип антивирусных программ применяется для быстрого поиска вирусов в различных носителях и оперативной памяти. Такие антивирусные системы и защиты информации не рассматриваются отдельно. Следует особое внимание обратить на программы-фильтры.
Они изготовлены специально для обнаружения в системе подозрительных процессов. Именно благодаря работе антивирусных программ такого типа пользователи часто видят на мониторе предупреждения, о подозрительных или некорректных действиях.
Из вышеуказанных достоинств устранения и поиска вирусных атак считается разработка современных методов обнаружения и поиска воздействия извне вирусных баз на ПЭВМ. Перспективным направлением является эвристический анализ.
Эвристический анализ так называемое обнаружение ранее неизвестных вирусов.
Метод эвристического анализа (heuristic-based detection) служит для обнаружения даже вирусов, для которых не существует образцов в базе антивирусной программы. Есть много разных способов эвристического анализа. Главный принцип – это идентифицировать программный код, который считается очень нежелательным для безопасных программных продуктов.
Однако метод немного неточен и способен вызвать много ложных тревог. Хороший эвристический анализ вызывает минимальное количество ложных тревог при большой доле обнаружения вредоносного ПО и отлично сбалансирован. Чувствительность эвристики настраивается.
Таким образом, каждый производитель антивирусной программы старается расписать её уникальные возможности и функции. Пользователю не легко делать выбор в пользу какого-либо программного продукта. Один из критериев, к которому стоит присмотреться при выборе программы- осуществление защиты от вирусов, которые «неизвестны» антивирусу.
Раньше данные программы могли лишь справится с теми вредоносными приложениями, сведения о которых находились в их вирусной базе. Но с выходом нового вируса разработчикам не всегда удавалось оперативно выпускать обновления. Поэтому наличие системы «умного сканирования»- главное преимущество для антивирусной программы.
Источник: scienceforum.ru
Публикация: Современные средства антивирусной защиты. Принципы работы антивирусных программ. Список актуальных антивирусов.
Запросить рецензирование можно только после оплаты предоставления печатных документов о публикации!
После оплаты Вам моментально предоставляется именное «Свидетельство о публикации» и «Справка о публикации материала в СМИ» В соответствии с пп. 36, 37 Приказа Минобрнауки РФ №276 «Об утверждении Порядка проведения аттестации педагогических работников» является подтверждением транслирования в педагогических коллективах опыта практических результатов своей профессиональной деятельности, в том числе экспериментальной и инновационной. установленного образца в печатном качестве, которые Вы можете приложить к портфолио и предъявить при прохождении аттестации. Без оплаты доступно скачивание изображения Свидетельства в качестве, достаточном для просмотра (формат JPG, разрешение 434х614 пикселей). После оплаты доступны к скачиванию документы в высоком качестве, в формате PDF, A4, 300 DPI.
Дополнительно печатный вариант документов защищается QR-кодом.
Даже без оплаты Вы можете разместить в социальных сетях изображение своего Свидетельства о публикации.
Поделитесь своими успехами с коллегами!
Источник: www.pedalmanac.ru