Модели и методы антивирусной защиты на основе контроля штатного функционирования системного ПО

В данном случае раздельно  рассмотрим две задачи – защиту системных и информационных ресурсов. 

 5.2.1. Защита системных ресурсов

Защита системных ресурсов, как отмечали, это одна из ключевых задач антивирусной защиты. Попытаемся сформулировать, в чем она состоит. Необходимо предотвратить возможность:

- Модификации критичным приложением системного диска и папок, в которых хранятся исполняемые файлы приложений; 

- Запуска критичным приложением несанкционированной программы; 

- Модификации критичных объектов реестра ОС, к которым, в первую очередь, следует отнести ветвь: HKEY_LOCAL_MACHINE.   

Другими словами, необходимо разрешить критичному приложению только те действия, которые необходимы ему  корректного функционирования. Любые  иные действия не должны разрешаться.   Очевидно,  что эта задача может  быть решена путем реализации разграничительной политики доступа к системным ресурсам для критичных процессов. 

5.2.2. Защита информационных ресурсов 

 Рассмотрим, как разграничительная  политика доступа к ресурсам  для субъекта «процесс» может  быть реализована для решения  данной задачи защиты.

1. Доверительный контроль доступа к ресурсам

  Сложность реализации  защиты в данном случае обусловливается  тем, что исходно возможности  критичных программ неизвестны, и они проявляются лишь после  прочтения соответствующих данных (скрипта, апплета или макроса). С учетом этого строить защиту  необходимо в предположении, что  действия подобных процессов  (приложений) в общем случае могут  быть любыми, т.е. изначально их  выявить и проанализировать невозможно. 

 Принципиальным  отличием  постановки задачи доверительного  контроля доступа является то, что мера доверия к процессу  определяется доверием к читаемому  им объекту (например, к документу,  который может исполняться после  его прочтения процессом). Можно  выделить два случая. Первый (рассматриваемый  в данном разделе) случай характеризуется  тем, что меру доверия к документу  невозможно как-то категорировать. Например, это использование Java-машины  при работе с ресурсами сети  Интернет – какое здесь может  быть доверие к документам, расположенным  на сайтах общего доступа? Это  получение почтовых сообщений  из открытой сети и т.д.  Невозможность категорировать документы по степени доверия к ним, требует рассматривать задачу защиты в предположении полного недоверия к документам, как следствие, полного недоверия к процессу, призванному обрабатывать эти документы, т.е. в предположении, что процесс после чтения документа содержит исполняемый объект, который выполняется под именем этого процесса, и в общем случае «от лица процесса» может осуществить любое несанкционированное действие.

  Данный случай характеризуется  тем, что исходно предполагается, что процесс после чтения документа  выполняет недекларируемые разработчиком  действия, поэтому данный процесс  никаким образом не должен  получить возможность  доступа  (модификации) к конфиденциальным  документам, хранящимся на компьютере. Чтобы обеспечить защиту хранящихся  на компьютере данных от возможных  деструктивных действий соответствующего  процесса (приложения), следует выделить  для работы с ним отдельный  файловый объект (например, каталог), и только с этим файловым  объектом разрешить взаимодействовать  данному критичному процессу, установив  соответствующие правила разграничения  доступа для процесса. Другими  словами, файловые объекты следует  подразделять, на объекты, предназначенные  для хранения данных пользователей,  и объекты, предназначенные для  работы с критичными процессами. Для копирования же данных  из одного объекта в другой (если такая возможность необходима) может быть использован проводник, не несущий в себе соответствующей угрозы (не критичный процесс). В этих условиях обработка данных критичным процессом может быть осуществлена по одной и двух схем, приведенных на рис.3 (где ОХД – объект хранения данных, ООД – объект обработки данных, КП- критичный процесс, П – программа-проводник).

 

 

 

Рис.1. Схемы доступа к информационным ресурсам критичными       процессами.

Схемы, представленные на рис.1, заключаются в том, что в первом случае доступ критичного процесса к объектам хранения данных пользователей запрещен, во второму случае – разрешен только «на чтение» (соответствующим образом задаются и права доступа для некритичного  процесса-проводника,  осуществляющего копирование данных между соответствующими файловыми объектами). Выбор схемы обработки определяется тем, каковы функции критичного процесс. Например, если критичным процессом является почтовый клиент, то обработку данных критичным процессом следует выполнять  по первой схеме, в противном  случае имеем угрозу несанкционированного чтения данных пользователей из ОХД во внешнюю сеть. 

 Таким образом, решение  задачи защиты при реализации  доверительного контроля доступа  сводится к следующему: к выделению  для работы приложения отдельной  папки, к которой критичному  процессу разрешается доступ  и в запрете доступа критичному  процессу к файловым объектам, в которых  хранятся обрабатываемые  на компьютере  данные, в частности,  конфиденциальные. Для перемещения  данных между соответствующими  файловыми объектами не должен  использоваться критичный процесс. 

На примере рассмотрим возможность применения данного  подхода. Пусть требуется обрабатывать документы (получать доступ к хостам внешней сети) с использованием Java-машины. Выделим отдельный каталог –   ООД (соответственно, для различных  пользователей это могут быть различные каталоги), только в который  разрешим доступ процессам Java-машины, запретив им право доступа к иным объектам файловой системы (не забыв  предотвратить возможность модификации  реестра ОС и системного диска). При  этом несанкционированные возможности  процессов Java- машины становятся не критичными не только по отношению к ресурсам компьютера, включая системные ресурсы, но и по отношению к данным пользователей, хранящихся на компьютере – к информационным ресурсам пользователей. 

2) Вероятностный  контроль доступа к ресурсам (общий  случай)

  Общий случай компьютерной  обработки информации в современных  условиях характеризуется тем,  что меру недоверия к критичному  процессу можно каким-либо образом  категорировать (т.е. отказаться  от принципа полного к нему недоверия, рассмотренного выше), в этом случае можно говорить о какой-либо вероятности того, что после чтения документа процесс несет в себе угрозу вирусной атаки. Возможность категорирования меры недоверия  к критичному процессу основывается на возможности категорирования собственно информации и необходимости различных режимов обработки категорированной информации. 

Чтобы начать исследование данного вопроса, прежде всего, рассмотрим, в чем состоит особенность  обработки категорированной информации. 

1. Обработка   категорированной   информации  (например, «конфиденциально»  и «открыто») априори предполагает, что, в первую очередь, объектом  защиты является информация более  высоких категорий (в частности,  в первую очередь, следует защищать  конфиденциальную  информацию, работа  с открытой информацией в данных  приложениях является опциональной, и ее защита не столь важна). 

2. Обработка   категорированной   информации   (например, «конфиденциально»  и «открыто») априори предполагает  различные режимы создания, обработки  и хранения информации различных  категорий, причем, чем выше категория  информации, тем более жесткие  ограничения накладываются на  ее обработку. В частности,  конфиденциальную информацию может  разрешаться создавать только  на вычислительных средствах  предприятия, причем определенным  набором приложений и т.д. Открытая  же информация может поступать  из непроверенных источников, не  предполагающих реализации каких-либо  регламентов по ее созданию, обработке  и хранению. Как следствие, вероятность  того, что несет в себе угрозу (например, «заражен» макро-вирусом)  открытый  документ на порядки  выше,  чем конфиденциальный,  соответственно, чем выше  категория  документа (жестче регламенты  на режимы его обработки), тем  меньше вероятность того, что документ «заражен» - приводит к несанкционированным действиям процесса после его чтения.

  Из всего сказанного  можем сделать очень важный  вывод: чем меньше категория  документа, тем менее он нуждается  в защите, что, в конечном итоге  сказывается на реализуемых на  практике режимах его обработки,  как следствие, тем  большей  вероятностью быть «зараженным»  он характеризуется. 

 С учетом же того, что на одном и том же  компьютере обрабатывается, как  открытая (которая имеет большую  вероятность «заражения»), так и  конфиденциальная (которую, в первую  очередь, и необходимо защищать) информация, может быть сформулирована  задача антивирусной защиты в  следующей постановке - обеспечить  защиту конфиденциальных данных  от атак макро-вирусов, которыми  с большей вероятностью могут  быть «заражены» открытые документы.  В общем же случае (при наличии  нескольких категорий конфиденциальности)  задача может быть сформулирована  следующим образом –  предотвратить  атаки макро-вирусов (при их  прочтении офисными приложениями), содержащиеся в данных более  низкой категории конфиденциальности  на данные более высокой категории  конфиденциальности. 

 Принципиальным  отличием  вероятностного контроля доступа  к ресурсам является то, что  правила доступа субъектов к  объектам формируются, исходя  из значений (либо качественной  оценки) вероятности «заражения»  документов различных категорий  конфиденциальности.

Рассмотрим суть вероятностного контроля доступа к ресурсам. 

Будем считать, что чем  выше полномочия по доступу к ресурсам субъекта и категория объекта, тем  соответственно, меньше их порядковый номер в линейно полномочно упорядоченных  множествах субъектов и объектов доступа, соответственно С = {С1,…, Ск} и  О = {О1,…, Оk}). Пусть S = {0,Чт,Зп} – множество прав доступа, где «0» обозначает отсутствие доступа субъекта к объекту, «Чт» – разрешение доступа для чтения из объекта, «Зп» – разрешение доступа для записи в объект. Обозначим через P_i вероятность того, что документ i-й категории «заражен» вирусом, при этом (как было сказано выше) априори имеем: P 1 < P2 <…< Pk. Беря во внимание тот факт, что вирус начинает действовать (что может нести в себе угрозу атаки) лишь после прочтения его соответствующим приложением, и что предотвращать следует возможность атаки на документы более высокой категории вирусом из документа более низкой категории (после его прочтения приложением), получаем следующую матрицу доступа F, описывающую  вероятностную  модель  контроля  доступа, которая может  быть использована для антивирусного противодействия:

 

 

 

 

 

 

 

Видим, что при реализации данной модели контроля доступа разрешается  запись документов,  имеющих  меньшую  вероятность  заражения  вирусом  в объекты, документы в которых  имеют большую вероятность заражения  вирусом –   обратное запрещено. 

При реализации данной схемы  вероятность вирусных атак на документы  более высокой категории, например, O1  (P 1) из-за того, что на том же компьютере обрабатывается информация более низкой категории, имеющие  большую вероятность заражения  вирусом, например, Ok (Pk). При этом, понимая, что режимы обработки информации различных категорий кардинально  различаются,   получаем, что при  обработке на одном компьютере открытой Оk и конфиденциальной О1 информации, имеем: Pk >> P 1, причем в зависимости  от реализованных правил и организационных  мер по обработке конфиденциальных данных это отношение может составлять сотни, тысячи и более раз, т.е. именно во столько раз можно снизить  вероятность вирусной атаки на конфиденциальные данные вирусами, хранящимися в открытых данных, для которых, можем принять Pk = 1. 

 Важным является то, что к достоинствам вероятностного  контроля доступа к ресурсам  относится решение задачи в  общем виде (не требуется выделять  сигнатуры вируса, противодействие  оказывается как известным, так  и не известным вирусам). Эффективность  же решения здесь уже определяется  не тем, как быстро разработчик  может пополнить эталонный   набор сигнатур вирусов и предоставить  данную обновленную базу потребителю,  а тем, в какой мере потребитель  обеспечит безопасный режим обработки  конфиденциальных данных (т.е. насколько  велико будет отношение: Pk >> P 1). Заметим, что решение этой  задачи вполне по силам грамотному  администратору. 

 

 

3) Модификация  вероятностного подхода

Не эталонные  процессы в оперативной памяти.

Одной из основополагающих концепций, помогающих понять структуру  операционных систем, является концепция  процессов. 

Есть много определений  термина "процесс", в том числе:

- выполняющаяся программа;

- экземпляр программы, выполняющейся на компьютере;

- объект, который можно идентифицировать и выполнять на процессоре;

- единица активности,  которую можно охарактеризовать единой цепочкой последовательных действий, текущим состоянием и связанным с ней набором системных ресурсов.

Понятие процесса характеризует некоторую совокупность набора исполняющихся команд, ассоциированных с ним ресурсов (выделенная для исполнения память или адресное пространство, стеки, используемые файлы и устройства ввода-вывода и т. д.) и текущего момента его выполнения (значения регистров, программного счетчика, состояние стека и значения переменных), находящуюся под управлением операционной системы. Не существует взаимно-однозначного соответствия между процессами и программами, обрабатываемыми вычислительными системами. В некоторых операционных системах для работы определенных программ может организовываться более одного процесса или один и тот же процесс может исполнять последовательно несколько различных программ. Более того, даже в случае обработки только одной программы в рамках одного процесса нельзя считать, что процесс представляет собой просто динамическое описание кода исполняемого файла, данных и выделенных для них ресурсов. Процесс находится под управлением операционной системы, поэтому в нем может выполняться часть кода ее ядра (не находящегося в исполняемом файле!), как в случаях, специально запланированных авторами