ИСПОЛЬЗОВАНИЕ СКРЫТЫХ МАРКОВСКИХ ЦЕПЕЙ В СРЕДСТВАХ ОБНАРУЖЕНИЯ ВРЕДОНОСНОГО ВОЗДЕЙСТВИЯ Варлатая С.К.,Калужин Е.А.,Монастырский Д.С.

Дальневосточный Федеральный Университет


Номер: 12-1
Год: 2016
Страницы: 89-92
Журнал: Актуальные проблемы гуманитарных и естественных наук

Ключевые слова

скрытая Марковская модель, вредоносное воздействие, полиморфизм, вирусы, hidden Markov chain, malware activity, polymorphism, viruses

Просмотр статьи

⛔️ (обновите страницу, если статья не отобразилась)

Аннотация к статье

В данной работе рассмотрены основные источники вредоносного воздействия и методики их обнаружения. Произведен анализ Марковской скрытой модели как инструмента для создания интеллектуальной системы обнаружения вредоносного воздействия. Выделены её сильные стороны и недостатки, предложены актуальные для использования таких систем предприятия.

Текст научной статьи

В настоящее время происходит активная автоматизация многих отраслей, таких как банкинг, торговля, услуги и т.д. Как следствие, основная часть информации обрабатывается в цифровом виде, что порождает угрозы информационной безопасности. Одной из наиболее распространённых угроз является угроза вредоносного воздействия, вследствие которой важная для предприятия информация может быть скомпрометирована. Причиной вредоносного воздействия могут быть вирусы, трояны, черви, руткиты и т.д.[1] Параллельно с развитием средств защиты, развивается и совершенствуется вредоносное ПО. В настоящие время вредоносное ПО обладает полиморфизмом[2] - способностью изменять свой программный код, тем самым усложнять процесс его детектирования. Существует 3 основных методики обнаружения вредоносных программ: сигнатурный анализ, анализ поведения и эвристический анализ[3]. Сигнатурный анализ заключается в сравнении кода запущенной программы с кодами всех известных вредоносных программ (сигнатур). Данный метод является самым эффективным в обнаружении простых вредоносных программ. Однако любое изменение в коде ВПО делает этот метод неэффективным, поэтому современные антивирусные средства и средства обнаружения вторжений используют данный метод только в совокупности с поведенческим или эвристическим. Анализ поведения основан на выявлении аномальной активности программы т.е. если программа выполняет процессы, которые для нее не характерны, то скорее всего она является вредоносной. С помощью данной методики можно обнаруживать полиморфные вирусы, однако пока она показывает большой процент ложного срабатывания. Основой эвристического анализа является машинное обучение, благодаря которому можно обнаружить полиморфные вредоносные программы. В настоящее время основными инструменты для создания интеллектуальной системы, способной к самообучению являются искусственные нейронные сети и скрытая модель Маркова. Вопрос использования скрытых Марковских цепей в средствах обнаружения вредоносного воздействия является актуальным и широко обсуждается в научных кругах. В работах [4] и [5] авторами предложена и реализована методика обнаружения вредоносного воздействия, которая нацелена на обнаружение полиморфных вирусов. Экспериментально была проанализирована её эффективность: точность обнаружения достигла 97% при 3% ложного срабатывания. В научной работе [6] авторами разработана интеллектуальная самообучающаяся система, которая принимает решение на основе порогового значения, которое характеризует степень схожести анализируемого процесса с вредоносным. Преимуществом такой системы является высокая степень точности, однако для её достижения необходимо большое количество обучающих выборок. Авторы другой работы [7] исследовали программный код полиморфных вирусов, выявили их характерные особенности и разработали интеллектуальную систему, которая способна их обнаружить. Такая система показала довольно низкую точность обнаружения, однако при этом был получен нулевой процент ложного срабатывания. Скрытая Марковская модель используется для статистического анализа и на практике применяется при распознавании голосов и образов, обнаружении вредоносной активности и т.д[8]. В скрытой Марковской модели у системы есть неизвестные и наблюдаемые состояния. На основе наблюдаемых состояний выдвигаются предположения о неизвестных. В общем виде скрытая Марковская цепь представлена на Рисунке 1. Рис.1 - Общая структура скрытой цепи Маркова А - Матрица вероятностей переходов из состояния в состояние B - Матрица вероятностей наблюдений X - Неизвестные состояния O - Последовательность наблюдений T - Количество наблюдений π - Начальное распределение состояний При разработке методики обнаружения вредоносного воздействия в качестве последовательности наблюдений рассматривается анализ поведения процесса, а в качестве скрытых состояний - вредоносное воздействие. Т.е. используя обучающую выборку средство обнаружения делает выводы об истинном поведении(X) на основе видимого поведения (О). Для того, чтобы системна с высокой точностью обнаруживала вредоносные процессы ее необходимо обучить с помощью обучающей последовательности. Обучающая последовательность - набор наблюдений и соответствующих им состояний. Процесс обучения (тренировки) системы воздействия вредоносного воздействия представлен на Рисунке 2. Рис. 2 - Процесс обучения интеллектуальной системы обнаружения вредоносного воздействия Согласно представленной схеме обучение системы происходит на основе программных кодов вредоносного ПО. Система анализирует и изучает поведение и записывает результаты в базу знаний. Далее производится анализ тестовой выборки и при положительном результате (вредоносные процессы обнаружены) выполняется дальнейшее тестирование. При отрицательном результате возобновляется процесс тренировки. Основными преимуществами средств обнаружения вредоносного воздействия на основе скрытых Марковских цепей являются: 1. Возможность обнаружения полиморфного ПО 2. Автономность, независимость от обновлений 3. Возможность обнаружения новых вирусов Недостатками таких средств являются: 1. Сложность реализации 2. Высокая стоимость 3. Необходимость большого количества обучающих данных Таким образом, в работе были рассмотрены различные виды и источники вредоносного воздействия. На фоне всех источников самым опасным являются полиморфные вредоносные программы т.к. их невозможно обнаружить сигнатурным и поведенческим анализом. Также была проанализирована эффективность методик обнаружения вредоносного воздействия, основанных на скрытых Марковских цепях. На основе проведенного анализа можно сделать вывод, что скрытые Марковские цепи показывают высокую точность обнаружения полиморфных вирусов, однако их реализация сложна и финансово затратная, поэтому их применение актуально в крупных организациях, в которых критически важна конфиденциальность информации, например, критически важные объекты.

Научные конференции

 

(c) Архив публикаций научного журнала. Полное или частичное копирование материалов сайта возможно только с письменного разрешения администрации, а также с указанием прямой активной ссылки на источник.