Адаптивна інформаційна технологія діагностування комп'ютерних систем на наявність троянських програм

Размещено на http://www.allbest.ru/

ТЕРНОПІЛЬСЬКИЙ НАЦІОНАЛЬНИЙ ЕКОНОМІЧНИЙ УНІВЕРСИТЕТ

УДК 004.491.42

АДАПТИВНА ІНФОРМАЦІЙНА ТЕХНОЛОГІЯ ДІАГНОСТУВАННЯ КОМП'ЮТЕРНИХ СИСТЕМ НА НАЯВНІСТЬ ТРОЯНСЬКИХ ПРОГРАМ

05.13.06 - інформаційні технології

Автореферат дисертації на здобуття наукового ступеня

кандидата технічних наук

ЛИСЕНКО СЕРГІЙ МИКОЛАЙОВИЧ

Тернопіль 2010

Дисертацією є рукопис.

Робота виконана у Хмельницькому національному університеті Міністерства освіти і науки України.

Науковий керівник: кандидат технічних наук, доцент Савенко Олег Станіславович, Хмельницький національний університет, декан факультету комп'ютерних систем та програмування.

Офіційні опоненти: доктор технічних наук, професор Дичка Іван Андрійович, Національний технічний університет України «Київський політехнічний інститут», декан факультету прикладної математики, завідувач кафедри програмного забезпечення комп'ютерних систем;

доктор технічних наук, доцент Теслюк Василь Миколайович, Національний університет «Львівська політехніка», декан повної вищої освіти інституту комп'ютерних наук та інформаційних технологій.

Захист відбудеться «12» ____січня____2011 р. о 14-00 годині на засіданні спеціалізованої вченої ради К58.082.02 у Тернопільському національному економічному університеті за адресою: 46004, м. Тернопіль, вул. Львівська, 11.

З дисертацією можна ознайомитись у бібліотеці Тернопільського національного економічного університету за адресою: 46004, м. Тернопіль, вул. Львівська, 11.

Автореферат розісланий «_11_» __грудня___ 2010 р.

Вчений секретар

спеціалізованої вченої ради

к. т. н., доцент ____________________________ Яцків В.В.

ЗАГАЛЬНА ХАРАКТЕРИСТИКА РОБОТИ

Актуальність теми. Об'єднання комп'ютерних систем (КС) в локальні мережі та їх підключення до глобальної мережі Internet створює проблеми, пов'язані з їх функціонуванням та використанням. Серед них вагоме місце займає шкідливе програмне забезпечення (ШПЗ), яке призводить до неправильного функціонування програмного та апаратного забезпечення. Аналіз ситуації щодо ШПЗ показує інтенсивне зростання чисельності троянських програм (ТП), здатних виконувати в КС деструктивні або шкідливі дії. Розробники ТП знаходять нові способи їх потрапляння в КС, застосовують маскування від антивірусного ПЗ, вдосконалюють код ТП. В свою чергу розробники антивірусного ПЗ постійно вдосконалюють інформаційні технології (ІТ) діагностування КС, оновлюють антивірусні бази, застосовують сучасні механізми виявлення ШПЗ. Проте наявні факти викрадення конфіденційної інформації та здійснення деструктивних дій в КС, в якому встановлене антивірусне ПЗ, свідчать про недоліки відомих технологій діагностування КС на наявність троянських програм, які орієнтовані на виявлення відомих ТП, та не повністю адаптовані до розпізнавання нових троянських програм.

Аналіз найпоширеніших інформаційних технологій антивірусного діагностування КС, якими є сигнатурний аналіз, метод контрольних сум і евристичний аналіз, виявив, що вони нездатні виявляти нові ТП, що суттєво знижує достовірність та ефективність діагностування, де під достовірністю розуміється ймовірність виявлення ТП, а ефективністю - багатопараметричне поняття, яке включає в себе достовірність і тривалість діагностування, а також об'єми даних, що проходять в процесі діагностування. Інформаційні технології, які ґрунтуються на евристичному аналізі, мають високу ймовірність хибних спрацювань.

Новітніми підходами до діагностування КС на наявність нових ТП є залучення компонентів штучного інтелекту (ШІ), які дозволяють спростити обчислювальну складність процесу діагностування та надати властивості адаптивності інформаційній технології, яка здійснює антивірусне діагностування КС. Встановлено, що для розробки антивірусного монітора, який аналізуватиме поведінку програмних об'єктів і робитиме висновок про небезпеку інфікування КС троянськими програмами, доцільним є залучення апарату нечіткої логіки. Для розробки антивірусного сканера, який дозволить виконувати сканування КС на предмет підміни системних файлів та інших файлів троянськими версіями і здійснювати перевірку цілісності даних КС, доцільно використати алгоритми штучних імунних систем, що дозволить надати адаптивної характеристики процесу діагностування КС.

Фахівцями з України та близького зарубіжжя, які ведуть активну наукову роботу в сфері антивірусного діагностування комп'ютерних систем, є Касперський Є.В., Собейкіс В.Г., Касперські К., Білоусов А.К., Широчин В.П., Гошко С.В., Зайцев О.В., Гульєв И.А., Скриль С.В та ін. Серед закордонних науковців, які активно займаються антивірусним діагностуванням комп'ютерних систем, є Бішоп М., Дод М., Ербшло М., Зорд П., Айкок Дж., Вільямсон М. та ін.

Антивірусне діагностування, як правило, виконується в реальному часі і має високу обчислювальну складність. Тому розроблення нових інформаційних технологій антивірусного діагностування потребує дослідження їх алгоритмічної складності з метою доведення їх ефективності. Проблемам оцінки складності алгоритмів присвячені роботи таких вчених як: Кормен Т., Кнут Д., Гері М., Вірт Н., Черкаський М.В., Арсенюк І.Р., Бардачов Ю.М. та ін.

Зв'язок роботи з науковими програмами, планами, темами. Представлені в дисертації дослідження проводились в рамках держбюджетної НДР Хмельницького національного університету №2Б-2008 «Теорія діагностування відмовостійких комп'ютерних систем з програмованою логікою» (номер державної реєстрації - № 0108U001276).

Мета і задачі дослідження. Метою дисертаційної роботи є створення нової адаптивної інформаційної технології діагностування комп'ютерних систем на наявність троянських програм на базі нечіткої логіки та штучних імунних систем, яка б підвищила достовірність та ефективність процесу діагностування.

Для досягнення поставленої мети необхідно розв'язати такі завдання:

1) дослідити особливості функціонування троянських програм в комп'ютерних системах та здійснити їх класифікацію; провести аналіз сучасних інформаційних технологій діагностування комп'ютерних систем на наявність троянських програм, виявити недоліки їх роботи, проаналізувати їх ефективність та достовірність роботи; виявити шляхи підвищення достовірності та ефективності процесу діагностування КС на наявність троянських програм, зокрема з використанням компонентів штучного інтелекту;

2) розробити поведінкові моделі троянських програм шляхом урахування їх функціонального навантаження; розробити модель процесу діагностування комп'ютерних систем на наявність троянських програм;

3) розробити метод діагностування комп'ютерних систем на наявність троянських програм в режимі монітора, який дає можливість визначити ступінь небезпеки інфікування комп'ютерної системи троянськими програмами;

4) розробити метод діагностування комп'ютерних систем на наявність троянських програм, який дає можливість визначити факт підміни файлів троянськими версіями;

5) розробити адаптивну інформаційну технологію діагностування комп'ютерних систем на наявність троянських програм та дослідити її достовірність і ефективність, розробити алгоритми діагностування комп'ютерних систем на наявність троянських програм та дослідити їх складність;

6) реалізувати адаптивну інформаційну технологію діагностування комп'ютерних систем на наявність троянських програм у вигляді програмного забезпечення та впровадити їх у виробництво з метою підвищення достовірності та ефективності антивірусного діагностування комп'ютерних систем.

Об'єкт дослідження - процес діагностування комп'ютерних систем на наявність троянських програм.

Предмет дослідження - адаптивна інформаційна технологія діагностування комп'ютерних систем на наявність троянських програм.

Методи дослідження. Для розв'язання поставлених завдань використовуються основні положення системного аналізу,теорії діагностування, нечіткої логіки та теорії штучних імунних систем. Адаптивна інформаційна технологія діагностування комп'ютерних систем базується на теорії штучного інтелекту, теорії множин і теорії графів.

Наукова новизна одержаних результатів. У результаті дисертаційного дослідження розв'язано актуальну наукову задачу створення адаптивної інформаційної технології діагностування комп'ютерних систем на наявність троянських програм. При цьому одержано такі наукові результати.

Вперше:

1) розроблено поведінкові моделі троянських програм і класів троянських програм шляхом врахування особливостей їх функціонування протягом життєвого циклу та деструктивного характеру дій в комп'ютерних системах, що уможливлює підвищити достовірність їх виявлення;

2) розроблено метод діагностування комп'ютерних систем на наявність троянських програм в режимі монітора на основі нечіткого логічного висновку з оцінками значень лінгвістичної змінної, отриманих на базі попарного порівняння експертом ознак деструктивних дій троянських програм, що дало можливість визначити ступінь небезпеки інфікування комп'ютерної системи троянськими програмами в умовах апріорної невизначеності;

3) розроблено метод побудови захищених послідовностей та генерації детекторів на основі штучних імунних систем, що дає змогу визначити факт підміни файлів троянськими версіями в процесі діагностування комп'ютерних систем в режимі сканера.

Дістала подальшого розвитку адаптивна інформаційна технологія діагностування комп'ютерних систем на наявність троянських програм, суть якої полягає у аналізі поведінки програмного об'єкту в комп'ютерних системах та виявленні факту підміни системних файлів троянськими версіями, і в якій на відміну від відомих параметри діагностування автоматично налаштовуються в залежності від особливостей комп'ютерних систем, що дає можливість виявляти нові троянські програми та підвищити достовірність та ефективність процесу діагностування.

Обґрунтованість і достовірність наукових положень, висновків і рекомендацій. Наукові положення висновки і рекомендації дисертації обґрунтовані коректним використанням математичного апарату, успішною програмною реалізацією розробленої адаптивної інформаційної технології діагностування комп'ютерних систем, алгоритмів здійснення діагностування в режимах антивірусного моніторингу та сканування, ефективним практичним впровадженням результатів дисертаційних досліджень на підприємствах, що експлуатують комп'ютерні системи, яке продемонструвало відповідність теоретичних досліджень із реальними результатами. троянський програма адаптивний діагностування

Практичне значення одержаних результатів. Дослідження проводились з врахуванням наступної їх практичної реалізації. Використання одержаних в роботі результатів дозволило розробити та впровадити систему діагностування КС на наявність троянських програм. Результати експериментальних досліджень з використанням розробленого ПЗ підтверджують вірність наукових положень створеної інформаційної технології, оскільки впровадження адаптивної ІТ підвищує достовірність діагностування на 5-15% та ефективність у 1,4 рази у порівнянні з відомими засобами діагностування КС на наявність нових ТП.

Основні результати дисертації знайшли застосування при програмній реалізації та експлуатації системи діагностування КС на підприємствах «Релком-Поділля» і ВАТ Подільська телефонна компанія «Мітел», а також в навчальному процесі Хмельницького національного університету при читанні лекцій і проведенні лабораторних робіт з курсів «Системне програмне забезпечення», «Комп'ютерні системи штучного інтелекту», «Надійність, контроль, діагностика та експлуатація комп'ютерних систем» і «Верифікація та тестування програмного забезпечення».

Особистий внесок здобувача. Всі основні результати дисертаційного дослідження, які представлені до захисту, одержані автором особисто. У друкованих працях, опублікованих у співавторстві, автору належить: дослідження методів діагностування КС на наявність ТП, на яких базуються ІТ антивірусного діагностування і визначення їх переваг та недоліків [1]; розроблення поведінкових моделей троянських програм [2-4] та моделі процесу діагностування КС на наявність ТП [5, 6]; розроблення адаптивної інформаційної технології діагностування КС на наявність ТП із застосуванням нечіткої логіки та алгоритмів штучних імунних систем [7-17, 19-23]; розроблення ПЗ діагностування КС на наявність ТП [18].

Апробація результатів дисертації. Основні положення та результати проведених у дисертаційній роботі досліджень доповідалися та обговорювалися на 19 конференціях, а саме: Міжнародній науково-технічній конференції «Комп'ютерні системи в автоматизації виробничих процесів» (м. Хмельницький, 2007 р.); Міжнародних науково-технічних конференціях «Комп'ютерні науки та інформаційні технології» (м. Львів, 2007 р., 2008р.), Міжвузівська науково-практична конференція "Прогресивні інформаційні технології в науці та освіті" (м. Вінниця, 2007р.), Міжнародних науково-технічних конференціях «Гарантоздатні та безпечні системи, сервіси і технології» (м. Кіровоград, 2008р., 2009р., 2010р.), Міжнародних конференціях "Інтелектуальний аналіз інформації" (м. Київ, 2008р., 2010р.), Міжнародних науково-практичних конференціях «Сучасні інформаційні та електронні технології» (м.Одеса, 2008, 2009, 2010 рр.), Міжнародних науково-технічних конференціях «Системний аналіз та інформаційні технології» (м. Київ, 2008р., 2009 р.), Міжнародній науково-технічній конференції «Контроль і управління в складних системах» (м. Вінниця, 2008р.); Міжнародній науково-технічній конференції «Інтегровані комп'ютерні технології в машинобудуванні» (м. Харків, 2008р.), Міжнародній науково-технічній конференції «Прогресивні інформаційні технології в науці, освіті та економіці» (м. Вінниця, 2009р.), IV Міжнародній конференції "Сучасні комп'ютерні системи та мережі: розробка та використання" (м. Львів, 2009р.), а також в наукових конференціях професорсько-викладацького складу Хмельницького національного університету.

Публікації. Основні матеріали дисертації викладено у 23-х наукових публікаціях, серед яких 11 статей у п'ятьох виданнях, що входять до переліку фахових видань ВАК України, з них 1 одноосібна.

Структура дисертації. Дисертаційна робота складається зі вступу, чотирьох розділів та висновків, викладених на 160 сторінках основного тексту, списку використаних джерел (171 найменування). Робота містить 64 рисунки, 16 таблиць та 7 додатків.

ОСНОВНИЙ ЗМІСТ РОБОТИ

У вступі обґрунтована актуальність теми, визначено об'єкт та предмет досліджень, сформульовані мета і задачі дослідження, визначена наукова новизна та практична цінність одержаних результатів, а також подані відомості про апробацію роботи.

У першому розділі досліджено принципи функціонування ТП в КС і виявлено наступні їх особливості: життєвий цикл ТП включає етапи потрапляння, активізації та виконання дій; розробники ШПЗ володіють значною кількістю засобів для реалізації кожного етапу життєвого циклу ТП; існує багато способів та засобів для проникнення в комп'ютерну систему, здійснення активації та виконання деструктивних дій у спосіб, який є неможливим для діагностування відомими антивірусними засобами; в конкретній ТП може бути застосовано новий спосіб або комбінація вже існуючих, що робить процес діагностування КС на наявність ТП складним завданням для розробників антивірусного програмного забезпечення.

Також досліджено методи, на яких базуються інформаційні технології діагностування КС на наявність ТП. На основі даного дослідження виділено наступні недоліки: сигнатурний аналіз не гарантує ефективного антивірусного діагностування КС, оскільки дозволяє виявити лише відомі ТП, більше того сигнатурний аналіз потребує постійного оновлення антивірусних баз; евристичний аналіз не забезпечує високої достовірності діагностування КС на наявність нових ТП. Евристичні аналізатори функціонують повільно, використовують значні ресурси КС при виконанні підозрілого ПЗ у режимі віртуальної машини, що накладає обмеження на технічну комплектацію КС. Евристичний аналізатор може помилково спрацьовувати та позначати файл як ТП, в той час як це може бути цілком корисне програмне забезпечення; використання ІТ на основі контрольних сум не завжди дає однозначну відповідь стосовно того, чи відбулося інфікування КС.

Крім того, в першому розділі з'ясовано, що жодна із відомих інформаційних технологій діагностування КС на наявність ТП не діагностує КС з високою достовірністю. Результати дослідження вказують на факти, які в значній мірі знижують достовірність та ефективність процесу антивірусного діагностування КС.

Результати досліджень компонент штучного інтелекту показали можливість їх залучення до процесу діагностування КС на наявність ТП. Встановлено, що для розробки антивірусного монітора в КС, який аналізуватиме поведінку програмних об'єктів на предмет інфікування КС троянськими програмами, доцільним є залучення апарату нечіткої логіки, а для розробки антивірусного сканера, доречним є використання алгоритмів штучних імунних систем. Обґрунтовано, що процес діагностування КС на наявність ТП повинен бути адаптивним по відношенню до особливостей КС.

На закінчення в першому розділі виконана постановка задачі, яка вирішується в наступних розділах.

У другому розділі автором розроблено поведінкові моделі троянських програм і класів троянських програм та модель процесу діагностування КС на наявність ТП.

Для врахування особливостей ТП та формалізації процесу їх функціонування в КС протягом життєвого циклу і врахування деструктивного характеру дій в КС розроблено поведінкову модель ТП

, (1)

де - множина усіх троянських програм; - етапи ЖЦ троянської програми , ; - матриця відношень дій ТП та портів мережних протоколів; - матриця відношень дій ТП і структурних одиниць операційної системи (ОС); - функція, яка визначає взаємодію між об'єктами КС і ТП , тоді множина є набором можливих дій, які ТП завдає об'єкту (об'єктам) ; - відношення між ТП та її станами, тоді для та , відношення означає, що ТП перебуває в стані ; відношення означає, що ТП не перебуває в стані ; Z - характеристичні параметри відношень, - вектор деструктивних дій об'єкта з нормованими пріоритетними вагами , (), що враховують рівень їхньої небезпеки для КС.

Щоб задати відношення між троянською програмою, її діями та станами життєвого циклу, введено позначення наступного змісту: якщо , то дія спричинює перехід із стану в стан . Тоді троянська програма, життєвий цикл якої має усі етапи, проходить можливий шлях

, (2)

де означає можливість видозміненого ЖЦ: коли, наприклад, етап потрапляння ТП в КС здійснюється не через мережу, або етап активізації виконується шляхом надходження сигналу через мережу, а не локально.

На основі поведінкової моделі побудовано моделі ТП кожного класу з урахування їх особливостей та функціонального навантаження. Так модель класу Trojan-Backdoor

, (3)

де - множина троянських програм класу Trojan-Backdoor; - дії ТП, - дії ТП, при потраплянні якої відбувається створення нового файлу, - дії ТП, при потраплянні якої відбувається підміна системних файлів троянськими версіями; - множини відправлених з КС файлів, шляхом виконання дій , що утворює множину ознак невірного функціонування структурних одиниць ОС КС , ; - ознака інфікування КС; - відношення, що описує виконання ТП дій , , де ; - відношення дій ТП та структурних одиниць ОС , де ; - відношенням дій ТП та файлів , , де .

Розроблено процес діагностування КС на наявність ТП, що складається з двох підпроцесів здійснення діагностування в режимах моніторингу та сканування КС, які позначено як , та , відповідно.

Процес діагностування КС на наявність ТП моніторингу складається з наступних етапів: - відслідковування потоків, що здійснюються через системні порти КС; - відслідковування виконання системних функцій в КС; - блокування виконання програмним об'єктом системних функцій, підозрілість яких визначена на інших етапах процесу антивірусного діагностування; - виконання процедури фазифікації в межах системи нечіткого логічного висновку (НЛВ) для введення нечіткості шляхом задавання ступенів підозрілості функціонування ПЗ та ступенів небезпеки інфікування КС; - робота машини логічного висновку в межах системи НЛВ; - виконання процедури дефазифікації в межах системи НЛВ для визначення ступеня небезпеки інфікування КС троянською програмою.

Процес сканування включає наступні етапи: - формування набору файлів, що підлягають процедурі створення набору захищених бінарних послідовностей; - генерація набору шаблонів файлів, відібраних на попередньому етапі та виконання кодування даних у визначеному форматі; - генерація детекторів згідно обраного алгоритму; - сканування КС співставленням захищених двійковий послідовностей зі згенерованими на попередньому етапі детекторами. З урахуванням зворотних зв`язків між етапами автором запропоновано схему процесу діагностування КС на наявність ТП (рис. 1).

Рис. 1 Формалізована схема процесу діагностування КС на наявність ТП

Для формалізації виконання етапів антивірусного діагностування розроблено модель процесу діагностування КС на наявність ТП (з урахуванням параметрів, які використовують вищевказані етапи)

, (4)

де для етапів : - множина об'єктів діагностування в режимі монітора , а саме множина файлів КС, причому ; - результуюче число , яке свідчить про ступінь небезпеки інфікування КС троянською програмою; відношення між об'єктами та станами, причому для та ; - множина поведінкових моделей троянських програм; - функція адаптивності діагностування КС в режимі монітора, параметри якої змінюються в залежності від вхідних даних, де - набір діагностичної інформації, причому ); - вектор результатів антивірусного діагностування, ; - набір даних про виявлене шкідливе ПЗ, які збираються і використовуються в майбутньому як знання, причому ; для етапів : - множина об'єктів діагностування в режимі сканера , - множина об'єктів , що підлягають процедурі сканування на предмет можливого факту їх підміни; - множина захищених двійкових послідовностей ; - множина детекторів, згенерованих для сканування системи , - множина файлів КС, що були підмінені троянськими версіями; - функція адаптивності діагностування КС в режимі сканера, де - набір діагностичної інформації, причому ; - результати антивірусного сканування представлені набором файлів, що були підмінені троянськими версіями, причому ; - вектор інформації про оновлення системних файлів та встановлення нового ПЗ, як компонентів об'єкта діагностування, причому (рис.2).

Рис. 2 Формалізована схема процесу діагностування КС на наявність ТП з урахуванням функцій адаптивності

У третьому розділі автором розроблено два методи діагностування в режимах монітора та сканера, які є основою адаптивної інформаційної технології (АІТ) діагностування КС на наявність троянських програм. Також розроблено схему процесу діагностування КС на наявність ТП (рис. 3).

Введено поняття адаптивної інформаційної технології діагностування КС на наявність ТП - інформаційної технології, яка включає сукупність методів, програмних засобів антивірусного діагностування КС, інтегрованих з метою збирання, обробки, зберігання, відображення і використання інформації із можливістю автоматичної зміни та налаштування параметрів функціонування з метою забезпечення достовірного та ефективного діагностування КС на наявність відомих і нових троянських програм.

Рис. 3 Схема процесу діагностування КС на наявність ТП

Розроблено новий метод діагностування КС на наявність троянських програм в режимі монітора, який полягає в застосуванні апарату нечіткої логіки, і дає можливість зробити висновок щодо ступеня небезпеки інфікування КС троянською програмою. З цією метою здійснюється побудова вхідної та вихідної лінгвістичних змінних з іменами: «Ступінь підозрілості програмного об'єкта» - для вхідної лінгвістичної змінної, і «Ступінь небезпеки інфікування» - для вихідної.

Для формування функції належності для вхідної лінгвістичної змінної знаходимо для кожної дії, найбільш імовірний порт потрапляння шляхом ранжування з побудовою матриці переваги , де

, ,

. Потім визначаємо для матриці власний вектор , що відповідає максимальному додатному кореню характеристичного полінома ; , де - одинична матриця. Компоненти вектора П () ототожнюються з оцінкою . В результаті одержуємо матрицю відношення , у якій кожному відношенню відповідає значення . Наступним кроком методу є побудова оптимізованої матриці з відношень із значеннями () та побудова нормованої кривої функції належності вхідної змінної.

В рамках вирішення поставленої задачі автором реалізовано систему нечіткого логічного висновку з використанням алгоритму Мамдані (рис. 4).

Слід відмітити, що запропонований метод передбачає можливість накопичення нових поведінок ТП як знань для підвищення достовірності діагностування.

Розроблено новий метод побудови захищених послідовностей та генерації детекторів, що базується на застосуванні алгоритмів штучних імунних систем, і який дозволяє виявляти факт підміни системних файлів троянськими версіями для діагностування КС на наявність ТП в режимі сканера в залежності від типу ОС та програмного забезпечення окремо взятої комп'ютерної системи. Метод передбачає виконання наступних кроків:

1) формування набору файлів для сканування: системних бібліотек, виконуваних файлів системних служб та драйверів пристроїв КС, які можна вважати еталонними;

2) генерацію захищених двійкових послідовностей та детекторів для операційної системи типу:

· GNU/Linux у формат виду:

, (5)

де - режим файлу (тип і права доступу); - числовий ідентифікатор власника файлу, який показує власника файлу; - числовий ідентифікатор групи власника файлу; - розмір файлу; - час останньої зміни файлу; - CRC даного файлу, при , де n - кількість детекторів;

· ОС MS Windows у форматі:

, (6)

де - розмір файлу; - час останньої зміни файлу; - атрибут файлу (параметри: лише читання, прихований, системний, архівний); - CRC файлу, при , де n - кількість детекторів;

3) виконання співставлення захищених двійкових послідовностей з детекторами на етапі антивірусного сканування КС;

4) сповіщення про виявлення підміни у випадку збігу захищених послідовностей з детектором виконання та перевірку на підозрілість поведінки програмного об'єкту.

Задача визначення ефективності діагностування КС на наявність ТП є багатокритеріальною задачею. Тому, для знаходження характеристик структурних одиниць системи діагностування комп'ютерних систем (ДКС) на наявність ТП, оцінку ефективності здійснимо на основі мультиплікативного критерію якості, а врахування додаткових характеристик у загальній ефективності діагностування - на основі адитивного критерію. При цьому ефективність діагностування КС на наявність ТП

, (9)

де і - коефіцієнти ефективності монітора і сканера

, , (10)

- вагові коефіцієнти додаткових характеристик та критеріїв ДКС, ; , - достовірності роботи монітора і сканера відповідно; і - тривалості діагностування КС в оперативних режимах монітора і сканера відповідно; і - середній час підготовки до діагностування КС в автономних режимах монітора і сканера відповідно; і - об'єми даних, що проходять в процесі діагностування в режимах монітора і сканера відповідно; причому достовірність результатів діагностування в оперативному режимі монітора

, (11)

де - кількість ТП і-того класу, , , - кількість ТП, виявлених антивірусним засобом, - відсоток і-того класу від усіх ТП, .

У четвертому розділі автором розроблено алгоритми діагностування КС на наявність троянських програм в режимах монітора та сканера. Досліджено складність алгоритму діагностування КС на наявність ТП в режимі монітора, який включає пошук схожої поведінки досліджуваного програмного об'єкту з поведінками ТП в базі, складає

, (13)

де - довжина найбільшої спільної послідовності серед послідовностей довжини , . Складність алгоритму діагностування КС на наявність ТП в режимі сканера(на етапі підготовки даних до сканування)

, (14)

де - час на генерацію двійкових послідовностей, - час на генерацію детекторів, - час сортування двійкових послідовностей, - число двійкових послідовностей-детекторів після їх перевірки на збіг із захищеними послідовностями, - довжина послідовності, - число розрядів послідовності збігу, - число захищених послідовностей. Складність алгоритму діагностування КС в режимі сканера

. (15)

Програмна реалізація системи діагностування КС на наявність ТП доводить, що розроблені алгоритми можуть застосовуватись в системах реального часу. Автором розроблено програмне забезпечення діагностування КС на наявність ТП, що включає користувацьку і адміністраторську частини. Користувацька частина передбачає можливість проведення діагностування в режимах монітора та сканера за вимогою користувача для виявлення ТП та системних файлів, що можуть бути троянськими модифікаціями та виконувати деструктивні дії в КС. Адміністраторська частина передбачає можливість формування баз поведінкових моделей ТП на різних етапах їх ЖЦ та генерації детекторів шляхом підбору параметрів генерації детекторів, що впливають на швидкість сканування та достовірність діагностування.

Проведене автором експериментальне дослідження на різних процесорних платформах (рис.5) доводить можливість його застосування в процесі виявлення ТП в реальному часі на більшості сучасних КС.

Рис. 5 Час діагностування (в секундах) на різних процесорних платформах

Розроблено адаптивну інформаційну технологію діагностування КС на наявність ТП (рис. 6), яка включає в себе метод діагностування в режимі монітора та метод побудови захищених послідовностей та генерації детекторів для діагностування в режимі сканера. Запропонована АІТ дозволяє здійснити висновок щодо можливого інфікування комп'ютерної системи троянською програмою як відомою, так і новою, а також надає можливість виявляти факт підміни системних файлів троянськими версіями. Процес діагностування КС на наявність ТП адаптується шляхом налаштування параметрів в залежності від особливостей КС, що діагностується, а саме: типу операційної системи, встановленого програмного забезпечення КС, поведінок троянських програм, накопичених в процесі експлуатації КС.

Рис. 6 Схема функціонування адаптивної інформаційної технології діагностування комп'ютерних систем на наявність троянських програм

Для експериментального визначення достовірності та ефективності діагностування згенеровано 3240 програмних об'єктів з властивостями класів ТП, причому розрахунок достовірності діагностування у порівнянні відомими антивірусними засобами проводився згідно формули (11), а його результати представлені у вигляді діаграми (рис. 7).

Рис. 7 Достовірність діагностування комп'ютерних систем на наявність ТП відомих антивірусних засобів у порівнянні з розробленим ПЗ

Результати дослідження підтвердили, що використання розробленої адаптивної інформаційної технології діагностування КС на наявність ТП підвищує достовірність діагностування на 5-15%, а ефективність - на 40% у порівнянні з відомими засобами антивірусного діагностування.

ВИСНОВКИ

В дисертаційній роботі вирішена актуальна наукова задача діагностування комп'ютерних систем на наявність троянських програм. Вирішення даної задачі має важливе значення в усіх галузях, де активно застосовуються комп'ютерні системи.

Основні наукові і практичні результати роботи полягають у наступному.

1. Досліджено функціонування троянських програм в КС, виділено їх функціональні особливості, проведено класифікацію троянських програм за їх поведінкою в КС. Виділено додаткову характеристичну ознаку троянських програм, яка характеризує спосіб потрапляння троянських програм в КС з мережі або з інших носіїв інформації.

2. Проведено аналіз сучасних інформаційних технологій діагностування КС на наявність троянських програм, який показав їх низьку достовірність виявлення невідомих троянських програм.

3. Розроблено поведінкові моделі троянських програм та класів троянських програм комп'ютерних систем шляхом врахування особливостей функціонування троянських програм протягом їх життєвого циклу та деструктивного характеру дій в комп'ютерній системі, що уможливлює підвищити достовірність їх виявлення в комп'ютерних системах. Розроблено методику моделювання поведінки троянських програм та процес її занесення до антивірусної бази. Для перевірки вірності розроблених поведінкових моделей було доведено врахування в розроблених поведінкових моделях усіх особливостей функціонування троянських програм в КС шляхом порівняння реальних шкідливих програмних об'єктів із розробленими моделями.

4. Розроблено модель процесу діагностування комп'ютерних систем на наявність троянських програм, яка базується на залученні компонентів штучного інтелекту, зокрема нечіткої логіки та алгоритмів штучних імунних систем, і відрізняється від відомих тим, що використовує поведінкові моделі класів троянських програм, що дозволяє адаптувати процес діагностування до окремо взятої комп'ютерної системи і не потребує побудови баз сигнатур.

5. Розроблено метод діагностування комп'ютерних систем на наявність троянських програм в режимі монітора на основі нечіткого логічного висновку з оцінкою лінгвістичної змінної на базі попарного порівняння експертом з урахуванням оціночних ознак, яке дозволяє врахувати особливості порівнюваних об'єктів і не вимагає виконання умови транзитивності, що дає можливість визначити ступінь небезпеки інфікування комп'ютерної системи троянськими програмами в умовах апріорної невизначеності.

6. Розроблено метод побудови захищених послідовностей та генерації детекторів на основі штучних імунних систем шляхом, що уможливлює визначити факт підміни файлів троянськими версіями в процесі діагностування комп'ютерних систем на наявність троянських програм в режимі сканера.

7. Розроблено адаптивну інформаційну технологію діагностування КС на наявність троянських програм, суть якої полягає у аналізі поведінки програмного об'єкту в КС та виявленні факту підміни системних файлів троянськими версіями, відмінністю якої від відомих є те, що параметри діагностування автоматично налаштовуються в залежності від особливостей КС, що дає можливість виявляти нові троянські програми та підвищити достовірність та ефективність процесу діагностування КС. Розроблено алгоритми діагностування комп'ютерних систем на наявність троянських програм, дослідження яких підтвердило можливість їх програмної реалізації в межах адаптивної інформаційної технології. Розроблено програмне забезпечення, що реалізує адаптивну інформаційну технологію діагностування КС на наявність троянських програм, з використанням С++, і середовища програмування C++Builder7.0.

8. Розроблено програмне забезпечення, яке здійснює антивірусні моніторинг та сканування для діагностування КС на наявність як відомих, так нових троянських програм. Отримані результати досліджень підтвердили можливість підвищення достовірності діагностування на 5-15%, та ефективності у 1,4 рази у порівнянні з відомими засобами антивірусного діагностування.

СПИСОК ОПУБЛІКОВАНИХ ПРАЦЬ ЗА ТЕМОЮ ДИСЕРТАЦІЇ