Выступление на конференции

04.03.2011
На пятом курсе было подумал, что неплохо было бы поступить в аспирантуру, стать кандидатом наук, возможно преподавать. Подошел к заведующему кафедрой сказал про своё желание - на что он предложил выступить на конференции, что собственно и сделал.

На прошлой неделе прошла ежегодная региональная научно-практическая конференция в г. Волгограде – Проблемы обеспечения информационной безопасности в регионе. С докладами выступали работники ФСТЭК, ФСБ, Администрации Волгоградской области, Казначейства, Пенсионного фонда и прочие. Кроме них доклады подготовили студенты 4, 5 курсов моей специальности, в том числе и я. Конференция прошла довольно интересно, после неё нам была предложена работа, но до этого момента я не досидел;) Впервые мой доклад напечатали в книге, содержащей отчеты по данной конференции, рад конечно. )) Свой доклад изменил, по сравнению с первой версией, поэтому сейчас представлю её здесь:

Разработка многоагентной модели борьбы с распространением сетевых червей

Разработка многоагентной модели связана с возможностью наблюдения динамических изменений в процессе взаимодействия нескольких интеллектуальных агентов. Этот процесс включает в себя начальные состояния отдельных агентов и изменение состояний агентов во времени.
В основе архитектуры разработанной модели лежат три класса агентов: агенты сетевых червей, агенты операционных систем и агенты антивируса.

Данные классы агентов можно формально представить в виде картежа элементов:

{N, P, A},

где N – вид (тип) агента, P – свойства (параметры) данного агента и A – его поведение.

Агент операционной системы является наименее динамичным. В его описание входят – наличие последних заплаток, уровень пользователя, а также наличие P2P-клиента и список пользователей IM. Под агентом операционной системы понимается пользователь компьютера, на котором установлена данная система. Здесь важным параметром является его уровень. Это этого зависит – будут ли установлены необходимые заплатки, закрывающие дыры для распространения червя и уровень эвристического анализа антивируса. Помимо этого уровень пользователя влияет также на то, откроит ли пользователь неизвестный файл, пришедший по e-mail, а если и откроет, то отправит ли его на экспертизу в антивирусную компанию. Соответственно, если файл отправлен на экспертизу, то через определённое время червь появляется в базе данных сигнатур антивируса и удаляется из операционной системы.

Агент антивируса описывается: базой данных сигнатур и уровнем эвристического анализа. Агент антивируса – это программное обеспечение, установленное в операционной системе, цель которого предотвратить проникновение червя в эту систему. Антивирус периодически обновляет базы вирусных сигнатур. Также червь может попасть в сигнатуры через хосты-ловушки антивируса (приходит по e-mail или в результате атаки сетевым червём). Нельзя не учесть уровень эвристического анализа антивируса – если уровень сложности реализации сетевого червя не многим больше уровня эвристики, антивирус может посчитать файл подозрительным и отослать его к себе на анализ, что так же приведёт к добавлению сигнатуры червя в базы данных сигнатур. Уровень эвристического анализа у всех антивирусов разный.

Агент сетевого червя описывается: видом червя, уровнем сокрытия в системе и уровнем сложности определения эвристикой. Под ним понимается злонамеренное программное обеспечение, целью которого стоит заражение как можно большего количества операционных систем. Работает по следующему алгоритму – червь сканирует диапазоны ip-адресов и последовательно проверяет установленные на них операционные системы на наличие определённых дыр. Если дыра в системе есть – используя её, он поражает систему, далее, червь продолжает своё распространение через сеть, контакты мессенджера, e-mail, а также если в операционной системе установлен p2p-клиент. Согласно этому, выделяются следующие виду червей по способу распространения:

1)     IM черви – рассылают себя по контактам мессенджера агента операционной системы;

2)     E-mail черви – для рассылки червей через почту используется e-mail-сервер, который содержит почтовые ящики пользователей (формат: id_отправителя, id_получателя, id_вируса). Проверка почты полностью расположена в агенте операционной системы, через определённые промежутки времени. За данный промежуток времени сигнатура червя может попасть в базу данных антивируса. Также присутствует возможность подключать к почтовому серверу агент антивируса;

3)     Net Worm – рассылаются по компьютерам сети, при наличии уязвимости в операционной системе;

4)     P2P – распространяются через P2P-сети при скачивании какой-либо программы. Реализованы следующим образом – пользователь агента операционной системы из клиента P2P, подключается к другому случайному агенту и скачивает программу. Эта программа может быть как нормальной (незаражённой), так и заражённой червём.

Многоагентная модель перечисленных классов агентов, отображена на следующем рисунке:

Многоагентные системы - Модель

Количество агентов операционных систем не ограничено, на них установлены агенты антивируса с разным уровнем эвристики, заплатки – либо система обновлена полностью, либо не обновлена совсем. Так же случайно устанавливаются мессенджеры, e-mail и наличие p2p-клиента. Далее запускается агент сетевого червя, который начинает распространяться описанными выше видами. Сначала эпидемия поражает большую часть компьютеров, через некоторое время сигнатура червя попадает в базу данных сигнатур и начинается обратный процесс очистки компьютеров от червей.

Таким образом алгоритм работы системы в целом будет следующим:

1)     Задается конфигурация (свойства) операционных систем, случайным образом;

2)     Задается конфигурация антивирусов, установленных на операционных системах;

3)     В информационную систему запускается червь, использующий все свои методы для заражения и распространения в данной ИС;

4)     При столкновении червя с антивирусом проверяются параметры антивируса: если есть сигнатура или высокий уровень эвристики – червь удаляется, если нет сигнатуры и уровень эвристики минимальный – червь занимает ОС и продолжает своё распространение;

5)     Через определенное время сигнатура червя попадает в базу данных сигнатур и начинается очистка от данного червя;

6)     На почтовом сервере включаются антивирусы, т.е. черви, чьи сигнатуры есть в базе данных сигнатур антивируса удаляются;

Это один из сценариев борьбы с распространением сетевых червей, второй работает аналогичным образом, за исключением того, что на почтовых серверах устанавливается антивирусное программное обеспечение, следовательно, борьба с эпидемией червей будет проходить быстрей, т.к. распространение червей через e-mail будет невозможным.

Посредством данной модели и разрабатываемого приложения можно будет отследить возникновение эпидемии сетевых червей и процесс противоборства им антивирусного.

blog comments powered by Disqus
Наверх