Методы построения моделей штатной работы ПО и алгоритмы выявления аномального поведения ПО Жилкин Сергей Дмитриевич МИФИ, факультет Информационной Безопасности.

Презентация:



Advertisements
Похожие презентации
Операционные системы Введение (часть 4) 4.Основы архитектуры операционных систем 4.1.Базовые понятия 4.2.Свойства ОС 4.3.Структура ОС 4.4.Логические функции.
Advertisements

ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ КОМПЬЮТЕРА КОМПЬЮТЕР КАК УНИВЕСАЛЬНОЕ УСТРОЙСТВО ДЛЯ РАБОТЫ С ИНФОРМАЦИЕЙ Информатика и ИКТ.
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РЕСПУБЛИКА ТАДЖИКИСТАН ТЕХНОЛОГИЧЕСКИЙ УНИВЕРСИТЕТ ТАДЖИКИСТАНА ФАКУЛЬТЕТ: «С Т Р Ф» МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ.
Домашнее задание (от ) § 2.2 1, 5. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ КОМПЬЮТЕРА КОМПЬЮТЕР КАК УНИВЕСАЛЬНОЕ УСТРОЙСТВО ДЛЯ РАБОТЫ С ИНФОРМАЦИЕЙ Информатика.
ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ КОМПЬЮТЕРА Ключевые слова программа программное обеспечение (ПО) системное ПО прикладное ПО система программирования.
Сложностные характеристики статистических скрытых каналов Автор: Свинцицкий Антон Игоревич Факультет вычислительной математики и кибернетики Московского.
Обзор операционных систем ВОУНБ им. М. Горького «Операционная система - это совокупность программ, обеспечивающих управление процессом обработки информации.
Программное обеспечение- совокупность всех программ, предназначенных для выполнения на компьютере. Программа- это описание на формальном языке, «понятном»
ТЕСТИРОВАНИЕ МЕТОД «ЧЕРНОГО ЯЩИКА» ВЫПОЛНИЛ СТУДЕНТ ГР. ИВТ-51 з БАННИКОВА Н.Р.
ТЕСТИРОВАНИЕ МЕТОД «ЧЕРНОГО ЯЩИКА» ВЫПОЛНИЛ СТУДЕНТ ГР. ИВТ-51 з БАННИКОВА Н.Р.
ПРОГРАМНОЕ УПРАВЛЕНИЕ КОМПЬЮТЕРОМ. КОМПЬЮТЕР (computer)- автоматическое устройство или система, способная выполнять заданную, четко определенную последовательность.
Защита и резервирование информации Под защитой информации понимается порядок и правила применения принципов и средств защиты информации. Prezentacii.com.
ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ КОМПЬЮТЕРА КОМПЬЮТЕР КАК УНИВЕСАЛЬНОЕ УСТРОЙСТВО ДЛЯ РАБОТЫ С ИНФОРМАЦИЕЙ Информатика и ИКТ.
Программное обеспечение. Совокупность программ, предназначенная для решения задач на ПК, называется программным обеспечением. Состав программного обеспечения.
ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ КОМПЬЮТЕРА КОМПЬЮТЕР КАК УНИВЕСАЛЬНОЕ УСТРОЙСТВО ДЛЯ РАБОТЫ С ИНФОРМАЦИЕЙ Информатика и ИКТ.
«Защита от вредоносных программ». Вредоносными программами являются программы, наносящие вред данным и программам, хранящимся в компьютере.
Вредоносное программное обеспечение вид программного обеспечения, направленного на выполнение несанкционированных действий с информацией, хранящейся на.
СТРУКТУРА ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ПК Системное ПОПрикладное ПОСистемы программирования Прикладное ПО – это программы, с помощью которых пользователь имеет.
П рограммное обеспечение (англ. software) – это совокупность программ, обеспечивающих функционирование компьютеров и решение с их помощью задач предметных.
Организация корпоративной защиты от вредоносных программ Алексей Неверов Пермский государственный университет, кафедра Процессов управления и информационной.
Транксрипт:

Методы построения моделей штатной работы ПО и алгоритмы выявления аномального поведения ПО Жилкин Сергей Дмитриевич МИФИ, факультет Информационной Безопасности

Предпосылки Хорошо поддаются обнаружению: классические вирусы вирусы-трояны spyware/adware прочие вирусы, содержащие вредоносный код Меньше внимания уделено: недекларированным возможностям (НДВ) обнаружению кода ПО, не являющимся вредоносным, но приводящим к несанкционированному доступу (НСД)

Задачи Создание программного комплекса для: моделирования работы ПО в режиме, который заведомо считается доверенным использование построенной модели для анализа работы ПО на предмет нахождения аномалий поведения Особенности: отсутствие требований экспертных знаний о ПО независимость от платформы и ОС моделируемого ПО возможность тиражирования

Целевое ПО ПО пользовательского уровня можно поделить на: 1.специализированное алгоритмическое ПО – системные службы – службы, работающие в фоновом режиме 2.ПО с пользовательским интерфейсом – прикладное ПО – офисные пакеты Microsoft Office, StarOffice Решения для моделирования ПО 1-го класса: ряд программ: ps-watcher, pwatch, pScan (для ОС Linux) Для моделирования ПО 2-го класса: пока нет законченного продукта

Моделирование ПО Предлагается отслеживать поведение по взаимодействию с ресурсами операционной системы: работа с файловой системой обращение к сетевым ресурсам вызовы функций драйверов прочее (реестр, принтеры, ОЗУ, …) Система аудита, основывающаяся на: журнальных файлах и внутреннем аудите ОС (например, «Snare LogAgent» от InterSect) системных вызовах на уровне драйверов ОС (например, «Инсайдер» от ООО Праймтек)

Описание поведения ПО Предлагается описывать поведение процесса характеристиками трёх типов: число файловых операций, число операций с реестром ОС, число сетевых соединений, прочее были ли порождены другие процессы от имени ПО, является ли ПО системным приложением, прочее выделения оперативной памяти, обращения к жёсткому диску за промежутки времени, прочее Количественные Статистические Логические

Профиль поведения ПО поведение ПО описывается набором чисел (вектором), в дальнейшем называемым профилем ПО профиль описывает поведение ПО за некоторое время работы количественные характеристики логические характеристики статистические характеристики

Распознавание с помощью нейронных сетей Используются для распознавания образов Выходом является результат соответствия поданного на вход образа эталонному, на который обучена сеть Обучение методом обратного распростра- нения ошибки

Итерации обучения нейронной сети профили моделируемого ПО, описывающие работу в штатном режиме Множество профилей для различных запусков моделируемого ПО Корректировка нейронной сети, чтобы на её выходе для каждого профиля был положительный результат (близкий к 1) p 1 вероятность соответствия

Разделение работы на фазы Трудности: заранее не определённая последовательность выполнения функций ПО заранее не определённое время работы ПО Решение: разделение данных о поведении на фазы следующих типов: – запуск ПО – специфические действия ПО – завершение работы ПО

Специфические действия ПО Автоматическое выявление специфических действий в поведении ПО Может быть несколько специфических действий Для каждого из них обучается специальная нейронная сеть запускзавершениеспец. действ. 1 спец. действ.2

Модель поведения Модель поведения ПО состоит из: 1. нейронная сеть для запуска 2. набор нейросетей для специфических действий 3. нейронная сеть для завершения работы Имея экспертные данные о поведении ПО можно задать гибкую/жёсткую последовательность выполнения специфических действий: последовательность спец. действ.запускзавершение

Анализ работы ПО Динамическое выделение фаз работы в данных, поступающих о поведении ПО Профиль каждой фазы подаётся на вход соответствующей нейронной сети В случае низкой вероятности соответствия профиля: можно говорить об аномалии поведения возможно, нарушен порядок выполнения специфических действий известна фаза, в которой выявлена аномалия

Структура комплекса комплекс обучения комплекс анализа хранилище данных сенсоры оператор или эксперт программы-сенсоры, поставляющие информацию о действиях ПО автоматизированные средства обучения автоматические средства обнаружения аномалий

Применение на практике Комплекс испытывался на: Microsoft Office, Adobe Acrobat, Internet Explorer, системных службах и ряде тестовых программ. Microsoft Word: все из более 30 макро-вирусов обнаружены (в том числе Fries.a, Over.a, Want, Nail.a, Antiavs) обнаружена подмена исполняемого файла services.exe обнаружено заражение вирусом Downadup Adobe Acrobat 7.0: обнаружена НДВ исполнения произвольного кода в специально подготовленном PDF файле

Заключение В представленном комплексе реализовано: Моделирование и анализ работы ПО с заранее неизвестным поведением с целью выявления НДВ Автоматизированное обучение, не требующее экспертных данных о ПО Нахождение фазы работы, в которой произошла аномалия поведения Независимость от ОС, под которой работает моделируемое ПО