На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера
№ 2 март–апрель 2010 г.
Тема номера:
СОЗДАНИЕ КОРПОРАТИВНОЙ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Концептуальные основы использования методов Data Mining
для обнаружения вредоносного программного обеспечения

Д. В. Комашинский, аспирант
И. В. Котенко, д. т. н., профессор, заведующий научно-исследовательской лабораторией проблем компьютерной безопасности
СПИИРАН


Предыдущая статьяСледующая статья

Данная статья посвящена концептуальным вопросам использования методов Data Mining для реализации отдельных элементов систем обнаружения вредоносного программного обеспечения. Показывается актуальность решаемой задачи, определяются основные общие требования к методам детектирования вредоносного программного обеспечения (ПО). Описывается общая методология применения методов Data Mining и приводятся примеры ее использования для обнаружения вредоносного программного обеспечения, реализованного в виде исполняемых файлов.
 

Введение: проблема обнаружения вредоносного ПО

Можно с достаточно высокой степенью уверенности сказать, что в настоящее время традиционные подходы, используемые для обнаружения вредоносного ПО (malware — от англ. malicious software), подошли к очередному порогу своего технического совершенства.

Доказательством тому могут служить заявления последних лет всех более-менее успешных антивирусных вендоров об успешном формировании и запуске технических и организационных служб быстрого реагирования на появление новых инцидентов, связанных с функционированием вредоносного ПО, и оперативного выпуска обновлений информационных баз, обеспечивающих его заблаговременное детектирование, идентификацию и удаление с уже пораженных элементов информационной инфраструктуры организаций и отдельных пользователей.

Следует отметить, что частота регулярных обновлений достигает одного — двух часов и представляется, что данный показатель не является пределом для действительно критических случаев. Данные цифры демонстрируют впечатляющий прогресс, достижение которого было обеспечено за счет решения сложных организационных и технических задач мировым сообществом исследователей и инженеров, работающих в области информационной безопасности, и косвенно могут быть использованы в качестве одного из наиболее весомых аргументов маркетологов любой из этих компаний.

Однако, кроме всего прочего, увеличение частоты обновлений призвано достойно ответить на потенциально неразрешимую полностью проблему противодействия ранее неизвестным экземплярам вредоносного ПО, посредством которых реализуются так называемые Zero-Day-атаки. Примером одной из последних подобных успешных атак может служить печально известная эпидемия, вызванная появлением вируса Conficker, организация противодействия которой в силу ряда причин, проясняемых ниже, заняла значительное количество времени.

Суть упомянутой проблемы заключается в том, что в случае появления недетектируемого вредоносного программного объекта (приложения, процесса, web-страницы и т. д.), обладающего высокой способностью к распространению (обусловленной аспектами функциональной реализации и/или использованными приемами социальной инженерии), появляется временной зазор (его называют «окном уязвимости» — от англ. vulnerability window), во время которого не существует специализированных мер противодействия этому объекту.

В процессе того, как данный экземпляр вредоносного ПО будет выявлен аналитиком, пользователем или системным администратором по вторичным признакам, поступит на обработку в антивирусную лабораторию, будет проанализирован и по результатам его анализа будет сформирована и отправлена в канал обновлений новая сигнатура (набор правил), обеспечивающая его точное обнаружение и удаление, может пройти достаточно ощутимый временной срок, и запланированная злоумышленниками атака достигнет заданной цели.

< ... >
 


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2017 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100