Вирусы и вирусные атаки

• «статистические» системы не чувствительны к порядку следования событий; в некоторых случаях одни и те же события в зависимости от порядка их следования могут характеризовать аномальную или нормальную деятельность;
• трудно задать граничные (пороговые) значения отслеживаемых системой обнаружения атак характеристик, чтобы адекватно идентифицировать аномальную деятельность;
• «статистические» системы могут быть с течением времени «обучены» нарушителями так, чтобы атакующие действия рассматривались как нормальные.

     Следует также учитывать, что статистические методы не применимы в тех случаях, когда для пользователя отсутствует  шаблон типичного поведения или  когда для пользователя типичны  несанкционированные действия. 

     

2. Экспертные  системы

     Экспертные  системы состоят из набора правил, которые охватывают знания человека-эксперта. Использование экспертных систем представляет собой распространенный метод обнаружения  атак, при котором информация об атаках формулируется в виде правил. Эти правила могут быть записаны, например, в виде последовательности действий или в виде сигнатуры. При  выполнении любого из этих правил принимается  решение о наличии несанкционированной  деятельности. Важным достоинством такого подхода является практически полное отсутствие ложных тревог.

     БД  экспертной системы должна содержать  сценарии большинства известных  на сегодняшний день атак. Для того чтобы оставаться постоянно актуальными, экспертные системы требуют постоянного  обновления БД. Хотя экспертные системы предлагают хорошую возможность для просмотра данных в журналах регистрации, требуемые обновления могут либо игнорироваться, либо выполняться администратором вручную. Как минимум, это приводит к экспертной системе с ослабленными возможностями. В худшем случае отсутствие надлежащего сопровождения снижает степень защищенности всей сети, вводя ее пользователей в заблуждение относительно действительного уровня защищенности.

     Основным  недостатком является невозможность  отражения неизвестных атак. При  этом даже небольшое изменение уже  известной атаки может стать  серьезным препятствием для функционирования системы обнаружения атак. 

     

3. Нейронные сети

     Большинство современных методов обнаружения  атак используют некоторую форму  анализа контролируемого пространства на основе правил или статистического  подхода. В качестве контролируемого  пространства могут выступать журналы  регистрации или сетевой трафик. Анализ опирается на набор заранее  определённых правил, которые создаются  администратором или самой системой обнаружения атак.

     Любое разделение атаки во времени или  среди нескольких злоумышленников  является трудным для обнаружения  при помощи экспертных систем. Из-за большого разнообразия атак и хакеров  даже специальные постоянные обновления БД правил экспертной системы никогда  не дадут гарантии точной идентификации  всего диапазона атак.

     Использование нейронных сетей является одним  из способов преодоления указанных  проблем экспертных систем. В отличие  от экспертных систем, которые могут  дать пользователю определённый ответ  о соответствии рассматриваемых  характеристик заложенным в БД правилам, нейронная сеть проводит анализ информации и предоставляет возможность  оценить, согласуются ли данные с  характеристиками, которые она научена  распознавать. В то время как степень соответствия нейросетевого представления может достигать 100 %, достоверность выбора полностью зависит от качества системы в анализе примеров поставленной задачи.

     Сначала нейросеть обучают правильной идентификации на предварительно подобранной выборке примеров предметной области. Реакция нейросети анализируется и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к начальному периоду обучения, нейросеть набирается опыта с течением времени, по мере того, как она проводит анализ данных, связанных с предметной областью.

     Важным  преимуществом нейронных сетей  при обнаружении злоупотреблений  является их способность «изучать»  характеристики умышленных атак и идентифицировать элементы, которые не похожи на те, что  наблюдались в сети прежде.

     Каждый  из описанных методов обладает рядом  достоинств и недостатков, поэтому  сейчас практически трудно встретить  систему, реализующую только один из описанных методов. Как правило, эти методы используются в совокупности. 

Обнаружение, основанное на сигнатурах

     Обнаружение, основанное на сигнатурах — метод  работы антивирусов и систем обнаружения  вторжений, при котором программа, просматривая файл или пакет, обращается к словарю с известными вирусами, составленному авторами программы. В случае соответствия какого-либо участка кода просматриваемой программы  известному коду (сигнатуре) вируса в  словаре, программа антивирус может  заняться выполнением одного из следующих  действий:

• Удалить инфицированный файл.
• Отправить файл в «карантин» (то есть сделать его недоступным для выполнения, с целью недопущения дальнейшего распространения вируса).
• Попытаться восстановить файл, удалив сам вирус из тела файла.

     Для достижения достаточно продолжительного успеха, при использовании этого  метода необходимо периодически пополнять  словарь известных вирусов новыми определениями (в основном в онлайновом режиме). Обладающие чувством гражданского долга и технически искушённые пользователи, обнаружив «живьём» новый вирус, могут выслать заражённый файл разработчикам  антивирусных программ, которые включат  затем новый вирус в словарь.

     Антивирусные  программы, созданные на основе метода соответствия определению вирусов  в словаре, обычно просматривают  файлы тогда, когда компьютерная система создаёт, открывает, закрывает  или посылает файлы по электронной  почте. Таким образом, вирусы можно  обнаружить сразу же после занесения  их в компьютер и до того, как  они смогут причинить какой-либо вред. Надо отметить, что системный  администратор может составить  график для антивирусной программы, согласно которому могут просматриваться (сканироваться) все файлы на жёстком  диске.

     Хотя  антивирусные программы, созданные  на основе поиска соответствия определению вируса в словаре, при обычных обстоятельствах, могут достаточно эффективно препятствовать вспышкам заражения компьютеров, авторы вирусов стараются держаться на полшага впереди таких программ-антивирусов, создавая «олигоморфические», «полиморфические» и, самые новые, «метаморфические» вирусы, в которых некоторые части участки кода перезаписываютсся, модифицируются, шифруются или искажаются так, чтобы невозможно было обнаружить совпадение с определением в словаре вирусов.

     Доступно  одно описание одного из методов аппаратного  сканирования по ссылке. Оно заключается  в попутном сканировании потока данных специальным устройством под  названием контекстный сопроцессор. 
 

Создание  и распределение  сигнатур

     Сигнатуры антивирусов создаются в результате кропотливого анализа нескольких копий  файла, принадлежащего одному вирусу. Сигнатура должна содержать только уникальные строки из этого файла, настолько  характерные, чтобы гарантировать  минимальную возможность ложного  срабатывания — главный приоритет  любой антивирусной компании.

     Разработка  сигнатур — ручной процесс, тяжело поддающийся автоматизации. Несмотря на массу исследований, посвящённых  автоматической генерации сигнатур, нарастающий полиморфизм (и «метаморфизм») вирусов и атак делают синтактические сигнатуры бессмысленными. Антивирусные компании вынуждены выпускать большое  количество сигнатур для всех вариантов  одного и того же вируса, и если бы не закон Мура, ни один современный  компьютер уже не смог бы закончить  сканирование большого числа файлов с такой массой сигнатур в разумное время.

     В нынешнем виде, базы сигнатур должны пополняться  регулярно, так как большинство  антивирусов не в состоянии обнаруживать новые вирусы самостоятельно. Любой владелец ПО, основанного на сигнатурах, обречён на регулярную зависимость от обновления сигнатур, что составляет основу бизнес-модели производителей антивирусов и СОВ.

     Своевременная доставка новых сигнатур до пользователей  также является серьёзной проблемой  для производителей ПО. Современные вирусы и черви распространяются с такой скоростью, что к моменту выпуска сигнатуры и доставки её на компьютер пользователей, эпидемия уже может достигнуть своей высшей точки и охватить весь мир. По опубликованным данным, доставка сигнатуры занимает от 11 до 97 часов в зависимости от производителя, в то время как теоретически, вирус может захватить весь интернет меньше, чем за 30 секунд.

     В большинстве ПО по безопасности база сигнатур является ядром продукта, наиболее трудоёмкой и ценной частью. Именно поэтому большинство вендоров предпочитает держать свои сигнатуры закрытыми — хотя и в этой области существует ряд открытого ПО (напр., ClamAV), а также исследования по обратной разработке закрытых сигнатур. Virus Bulletin регулярно публиковал сигнатуры новых вирусов вплоть до 2000 года.

     Проблемы  разработки сигнатур и слабого распределения  некоторых представителей вредоносного ПО приводят к тому, что разработанные в разных антивирусных компаниях сигнатуры содержат определения для разных подмножеств вирусов. Эту проблему можно устранить, разработав международный стандарт на описание антивирусных сигнатур, который будет содержать необходимую информацию для обнаружения, идентификации и устранения вредоносного ПО. Максимальный эффект от такого стандарта можно получить при реализации централизованной базы знаний по вредоносному ПО, в которую все антивирусные компании будут иметь право записи новых сигнатур (или изменение существующих). Но в таком централизованном хранилище (базе данных) каждая запись должна иметь цифровую подпись автора (конкретной компании), которая будет защищать конечных пользователей от атаки на локальную базу сигнатур путем отравления её содержимого. Так же при добавлении новых записей в центральное хранилище сигнатур должен изменяться рейтинг фирм производителей. Этот рейтинг сделает фирмы заинтересованными, так как их работу пользователь может напрямую оценивать. 

Недостатки  и достоинства  синтаксических сигнатур

• Позволяют определять конкретную атаку с высокой точностью и малой долей ложных вызовов
• Неспособны выявить какие-либо новые атаки
• Беззащитны перед полиморфными вирусами и изменёнными версиями того же вируса
• Требуют регулярного и крайне оперативного обновления
• Требуют кропотливого ручного анализа вирусов

     Метод эвристического сканирования призван  улучшить способность сканеров применять  сигнатуры и распознавать модифицированные вирусы в тех случаях, когда сигнатура  совпадает с телом неизвестной программы не на 100%. Данная технология, однако, применяется в современных программах очень осторожно, так как может повысить количество ложных срабатываний. 

Проактивная защита

     Проактивные технологии – совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых, в отличие от реактивных (сигнатурных) технологий, является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе.

      
История развития проактивных технологий антивирусной защиты

     Проактивные технологии начали развиваться практически одновременно с классическими (сигнатурными) технологиями. Однако, первые реализации проактивных технологий антивирусной защиты требовали высокий уровень квалификации пользователя, т.е. не были рассчитаны на массовое использование простыми пользователями персональных компьютеров. Спустя десятилетие антивирусной индустрии стало очевидно, что сигнатурные методы обнаружения уже не могут обеспечить эффективную защиту пользователей. Этот факт и подтолкнул к возрождению проактивных технологий. 
 
 
 
 
 
 

     Технологии  проактивной защиты: 

• Эвристический анализ

     Технология  эвристического анализа позволяет  на основе анализа кода выполняемого приложения, скрипта или макроса  обнаружить участки кода, отвечающие за вредоносную активность.

     Эффективность данной технологии не является высокой, что обусловлено большим количеством  ложных срабатываний при повышении  чувствительности анализатора, а также  большим набором техник, используемых авторами вредоносного ПО для обхода эвристического компонента антивирусного ПО.