Электронная библиотека Веда
Цели библиотеки
Скачать бесплатно
Доставка литературы
Доставка диссертаций
Размещение литературы
Контактные данные
Я ищу:
Библиотечный каталог российских и украинских диссертаций

Вы находитесь:
Диссертационные работы России
Технические науки
Системы защиты информации

Диссертационная работа:

Коркин Игорь Юрьевич. Методика обнаружения нелегитимного программного обеспечения, использующего технологию аппаратной виртуализации: автореферат дис. ... кандидата технических наук: 05.13.19 / Коркин Игорь Юрьевич;[Место защиты: Национальный исследовательский ядерный университет «МИФИ»].- Москва, 2011.- 22 с.

смотреть введение
Введение к работе:

Актуальность темы. На современном этапе развития информационных технологий и массового внедрения средств вычислительной техники в различные области и сферы деятельности человека задача обнаружения вредоносного программного обеспечения в электронно-вычислительных машинах (ЭВМ) приобретает всё более актуальное значение.

С 2006 г. компании Intel и AMD начали выпускать процессоры для персональных и серверных ЭВМ с поддержкой технологии аппаратной виртуализации. Программное обеспечение, использующее технологию аппаратной виртуализации (ПОАВ) работает в новом, более привилегированном, чем ОС, режиме. Кроме того, технология аппаратной виртуализации позволяет запускать во вложенном виде несколько различных образцов ПОАВ.

С одной стороны, ПОАВ, выполняющее функции монитора виртуальных машин (МВМ), повышает сервисные возможности ЭВМ и снижает её эксплуатационные расходы. Благодаря МВМ на одной ЭВМ может быть одновременно запущено несколько ОС в разных виртуальных машинах. МВМ контролирует совместное использование системных ресурсов, изоляцию виртуальных машин и их ключевые функции, в результате чего создаётся иллюзия, что гостевые ОС взаимодействуют непосредственно с аппаратным обеспечением (рис. 1).

Но, с другой стороны, можно негласно внедрить образец ПОАВ - программную закладку, которая обладает бесконтрольными возможностями. В результате появляются угрозы информационной безопасности, поскольку такая программная закладка позволяет активно добывать информацию и оказывать деструктивное информационное воздействие на ЭВМ различного назначения, в том числе на информационно-телекоммуникационные системы критически важных объектов.

Г^

Операционная система .

* Аппаратное обеспечение

ЭВМ без ПОАВ

Установка4 ПОАВ

Легитимное ПОАВ с функциями монитора виртуальных машин

*

Нелигитимное ПОАВ

*

Аппаратное обеспечение

ЭВМ под управлением ПОАВ

I J

Рисунок 1 - Схема взаимодействия операционной системы с аппаратным обеспечением в случаях отсутствия (присутствия) двух образцов ПОАВ: легитимного с функциями МВМ и не легитимного, находящихся во вложенном виде

Согласно статистике компании «Liliputing», в течение последних пяти лет наблюдается устойчивый рост продаж процессоров компании Intel для персональных ЭВМ с поддержкой технологии аппаратной виртуализации со 160 до 190 миллионов единиц в год, а общее число таких процессоров к 2012 году по прогнозу составит более миллиарда. Объём продаж процессоров компании AMD имеет схожую тенденцию.

В открытом доступе имеются два программных средства, «Blue Pill» и «Vitriol», реализованные в виде драйвера, которые устанавливают ПОАВ прозрачно для пользователя в ЭВМ, находящейся в эксплуатации.

Программное средство «Blue Pill» было разработано в 2006-2007 гг. исследователями Д. Рутковской (J. Rutkowska), А. Терешкиным (A. Tereshkin), Р. Войтчуком (R. Wojtczuk) и Р. Фаном (R. Fan) из компании Invisible Things Labs для демонстрации возможностей аппаратной виртуализации процессоров AMD.

Другим примером ПОАВ является программное средство «Vitriol», разработанное для процессоров Intel исследователем Дино А. Дай Зови (Dino A. Dai Zovi) из компании Matasano Security одновременно с Blue Pill в 2006 году. Однако, несмотря на широкую распространённость ПОАВ, штатные средства для их обнаружения отсутствуют, а опубликованные имеют существенные недостатки.

Обнаружением ПОАВ занимались как целые компании: Komoku, North Security Labs и др., так и отдельные специалисты: Ю. Булыгин, А. Луценко, К. Адаме (К. Adams), Э. Барбоса (Е. Barbosa), Э. Филиол (Е. Filiol), X. Фритш (Н. Fritsch), Н. Лоусон (N. Lawson), М. Майерс (М. Myers), Д. Медли (D. Medley), Т. Пташек (Т. Ptacek), Р. Ридмюллер (R. Riedmuller), Д. Зу (D. Хи), 3. Ванг (Z. Wang), и др. Анализ опубликованных подходов и реализованных продуктов по обнаружению ПОАВ выявил такие их недостатки, как отсутствие возможности выявить ПОАВ в случае его противодействия обнаружению, а также неудобство использования и тиражирования ряда средств.

В связи с широким распространением различного ПО, использующего технологию аппаратной виртуализации, особую опасность представляет нелегитимное ПОАВ, которое для своего сокрытия использует легитимное ПОАВ с помощью вложенной виртуализации (рис. 1). В открытых источниках отсутствуют сведения о наличии способов обнаружения нескольких вложенных образцов ПОАВ.

Таким образом, обнаружение нелегитимного программного обеспечения, использующего технологию аппаратной виртуализации, является актуальной задачей для обеспечения информационной безопасности новейших ЭВМ.

Существуют инструкции, при выполнении которых в ОС управление всегда передаётся ПОАВ. По результатам измерения длительности выполнения таких инструкций, например, с помощью процессорного счётчика тактов, можно принять решение о наличии ПОАВ, поскольку под управлением ПОАВ эта длительность на порядок превышает длительность в случае отсутствия ПОАВ. Однако нарушитель может использовать функциональные возможности ПОАВ по компрометации процессорного счётчика, в результате чего средняя длительность выполнения набора процессорных инструкций (трассы), безусловно перехватываемых ПОАВ, в случаях отсутствия и присутствия ПОАВ совпадёт. В таких ситуациях обнаружить ПОАВ не представляется возможным.

Автором предлагается методика обнаружения нелегитимного ПОАВ для ситуаций, когда противодействие выявлению со стороны ПОАВ осуществляется указанным

выше способом, а также путём временной выгрузки ПОАВ из памяти. Методика основана на измерении длительности выполнения набора процессорных инструкций (трассы), безусловно перехватываемых ПОАВ.

Тема работы удовлетворяет пунктам 3, 6, 13 и 14 паспорта специальности 05.13.19 «Методы и системы защиты информации, информационная безопасность».

Объект исследования. Операционная среда ЭВМ в случаях отсутствия (присутствия) одного образца (нескольких образцов) ПОАВ.

Предмет исследования. Статистические характеристики длительности выполнения инструкций процессора, измеряемой в операционной среде с использованием процессорного счётчика тактов.

Цель диссертационной работы. Разработка методики обнаружения нелегитимного программного обеспечения, использующего технологию аппаратной виртуализации в классе процессоров Intel и AMD.

Научная задача заключается в анализе статистических характеристик длительности выполнения трассы в случаях отсутствия (присутствия) ПОАВ и в синтезе критерия присутствия ПОАВ в условиях близости моментов первого порядка длительности выполнения трассы.

В рамках решения научной задачи необходимо:

провести сравнительный анализ и классификацию существующих способов и средств обнаружения ПОАВ;

построить модель нарушителя, провести анализ угроз и возможных способов противодействия обнаружению ПОАВ;

исследовать длительность выполнения трассы в случаях отсутствия (присутствия) одного образца (нескольких образцов) ПОАВ, построить модели выполнения трассы и провести их анализ;

разработать критерий присутствия образца ПОАВ;

разработать методику обнаружения нелегитимного ПОАВ;

разработать архитектуру и реализовать программное средство обнаружения ПОАВ.

Методы исследований. В работе используются методы теории графов, теории вероятностей и математической статистики.

Научная новизна работы состоит в следующем:

представлены модели выполнения трассы в терминах теории графов, которые позволили выявить особенности статистических характеристик длительности выполнения трассы в случаях отсутствия (присутствия) одного образца (нескольких образцов) ПОАВ;

синтезирован критерий присутствия образца ПОАВ на основе моментов 2-го и 4-го порядков, а также длины вариационного ряда длительности выполнения трассы;

предложена методика обнаружения нелегитимного ПОАВ, позволяющая выявлять как один, так и несколько вложенных образцов ПОАВ.

Практическая значимость результатов работы заключается в следующем:

разработанная методика позволяет обнаружить как один, так и несколько вложенных образцов ПОАВ, которые могут быть загружены из BIOS или из ОС в персональных или серверных ЭВМ;

реализованное программное средство обнаружения ПОАВ позволяет принять

решение о наличии ПОАВ в условиях его противодействия выявлению.

Результаты работы представляют практическую ценность для реализации систем защиты от вредоносного программного обеспечения.

Достоверность результатов. Достоверность теоретических результатов обеспечивается корректным применением математического аппарата. Теоретические результаты согласуются с экспериментальными данными. Достоверность экспериментальных данных подкрепляется проведением опытов в полном соответствии с методическими рекомендациями. Допущения и ограничения, принятые в доказательствах утверждений, достаточно обоснованы.

Внедрение результатов исследований. Программное средство обнаружения ПОАВ использовано в составе системы обеспечения информационной безопасности в Государственном научном центре Российской Федерации федеральном государственном унитарном предприятии «Центральный научно-исследовательский институт химии и механики им. Д.И. Менделеева» (ГНЦ РФ ФГУП «ЦНИИХМ»).

Программное средство обнаружения было использовано как самостоятельная программа для контроля отсутствия нелегитимного ПОАВ при подготовке к вводу в эксплуатацию части парка ЭВМ федерального государственного унитарного предприятия «Научно-исследовательского института стандартизации и унификации» (ФГУП «НИИСУ»).

Теоретические и практические результаты, полученные в ходе выполнения диссертационной работы, использованы в учебном курсе «Безопасность операционных систем» кафедры «Криптология и дискретная математика» НИЯУ МИФИ для подготовки материалов лабораторных работ.

Публикации и апробация работы. Результаты диссертации изложены в 10 публикациях, 4 из которых опубликованы в рецензируемых журналах ВАК РФ. Результаты работы докладывались на конференциях и семинарах различного уровня:

XVI, XVII, XVIII Всероссийская научно-практическая конференция «Проблемы информационной безопасности в системе высшей школы», г. Москва, 2009-2011 гг. (Инфофорум);

XIV Международная телекоммуникационная конференция молодых ученых и студентов «Молодежь и наука», г. Москва, 2011 г.;

XIX и XX Общероссийская научно-техническая конференция «Методы и технические средства обеспечения безопасности информации», г. Санкт-Петербург, 2010-2011 гг.;

XV конференция «Телекоммуникации и новые информационные технологии в образовании», г. Москва, 2011 г.;

семинары в Институте системного программирования Российской академии наук, г. Москва, 2011 (21 февраля 2011 года, 19 сентября 2011 года);

семинар в Московском Государственном Техническом Университете им. Н.Э. Баумана, 2011 (1 марта 2011 года);

XIII Международная конференция «РусКрипто» в 2011 году; представленная работа вышла в финал конкурса докладов.

Основные положения, выносимые на защиту:

модели выполнения трассы в терминах теории графов для случаев отсутствия (присутствия) одного образца (нескольких образцов) ПОАВ;

критерий присутствия образца ПОАВ на основе моментов 2-го и 4-го поряд-

ков, а также длины вариационного ряда длительности выполнения трассы;

методика обнаружения нелегитимного ПОАВ;

архитектура и программное средство обнаружения ПОАВ.

Структура работы. Работа состоит из введения, пяти глав, заключения, списка литературы, включающего 173 наименования, и 2 приложений. Текст диссертации изложен на 140 страницах, включая 42 рисунка и 10 таблиц.


© Научная электронная библиотека «Веда», 2003-2013.
info@lib.ua-ru.net