- •І.А. Терейковський
- •2.1. Загальні положення 119
- •Список скорочень
- •Розділ 1. Теоретична оцінка ефективності застосування нейронних мереж в галузі захисту програмного забезпечення
- •1.1. Передумови застосування штучних нейронних мереж
- •1.2 Багатошаровий перспетрон.
- •1.3. Мережа з радіальними базисними функціями
- •1.4. Нейронні мережі, що самонавчаються
- •1.4.1. Базова модель
- •1.4.2. Топографічна карта Кохонена та її сучасні модифікації
- •1.5. Ймовірністні нейронні мережі
- •1.6. Рекурентні нейронні мережі
- •1.6.1. Загальні положення
- •1.6.2. Класичні асоціативні нейроні мережі
- •1.6.2.1. Мережа Хопфілда.
- •1.6.2.2. Мережа Хеммінга
- •1.6.2.3. Мережа Коско
- •1.6.2.4. Сфера використання, переваги та недоліки
- •1.7. Мережі адаптивної резонансної теорії
- •1.8. Мережі призначені для розпізнавання змісту тексту
- •1.9. Принципи розробки модельного програмного комплексу
- •1.10. Визначення доцільності застосування типу нейронної мережі
- •1.11. Перспективи практичного використання
- •Розділ 2. Практичне використання нейронних мереж в задачах захисту програмного забезпечення
- •2.1. Загальні положення
- •Розпізнавання вірусів та троянських програм створених за допомогою скриптових мов програмування.
- •Розпізнавання спаму.
- •2.2. Розпізнавання вірусів та троянських програм створених за допомогою скриптових мов програмування
- •2.2.1. Шляхи вдосконалення систем захисту від скриптових вірусів та троянських програм
- •2.2.2. Аналіз загальнопоширених методів розпізнавання
- •2.2.3. Формування множини вхідних параметрів
- •2.2.4. Особливості формування номенклатури вхідних параметрів при розпізнаванні скриптових троянів в фільмах Flash
- •2.2.5. Розробка архітектури та тестування нейронної мережі для розпізнавання скриптових поштових вірусів
- •2.3. Розпізнавання спаму
- •2.3.1. Визначення та загальна характеристика спаму
- •2.3.2. Недоліки сучасних методів розпізнавання спаму
- •2.3.3. Критерій фільтрації електронних листів
- •2.3.4. Задача порівняння рефератів за допомогою карти Кохонена та пружної карти
- •2.3.5. Використання мережі pnn для співставлення тематичної структури текстів електронних листів
- •2.3.6. Використання синаптичної нейронної мережі для підготовки вхідних даних
- •2.4. Використання нейронних мереж в системах активного захисту програмного забезпечення мережевих серверів
- •2.4.1. Концепція захисту програмного забезпечення Internet-серверів з використанням активної складової
- •2.4.2. Розробка архітектури нейронної мережі
- •Післямова
- •Список використаної літератури
2.2.2. Аналіз загальнопоширених методів розпізнавання
В основному для захисту від скриптових вірусів та троянів, як і для вірусів і троянів в цілому, використовуються антивірусні сканери та блокувальники. Принцип роботи антивірусних сканерів базується на постійній або періодичній перевірці файлів, секторів дисків та системної пам'яті на предмет виявлення в них відомих та невідомих вірусів. При цьому, найчастіше для виявлення вірусів використовується метод пошуку сигнатур, яка представляє собою характерну для цього вірусу послідовність команд програмного коду. Для виявлення вірусів аналізуємий програмний код співвідноситься з базою даних відомих сигнатур вірусів. Особливістю пошуку сигнатур поштових скриптових вірусів та троянів є те, що сканер може аналізувати програмний код скритпа в текстовому вигляді. Для макровірусів та макротроянів ця особливість також може бути реалізована. Наприклад, в нескладних випадках, перегляд тексту макросів, вбудованих в документи MS Office може бути здійснене за допомогою стандартних об'єктів VBA. Крім того, використовуючи специфікацію OLE можливо провести безпосередній аналіз документу MS Office. Порівняно з файловими вірусами означена особливість значно спрощує роботу сканера та дозволяє проводити аналіз тексту макроса.
В тому випадку коли фрагмент аналізуємого програмного коду відповідає певній сигнатурі, це свідчить про зараження файлу певним вірусом або трояном. По цій причині метод сигнатур дозволяє розпізнавати тільки відомі віруси та відкриває шлях для обходу антивірусного захисту поліморфним та стелс вірусам. Характерною ознакою поліморфних вірусів та троянів є зміна свого програмного коду в процесі розповсюдження. Стосовно скриптових вірусів та троянів ця зміна може передбачати вставку в макрос нейтрального програмного коду, заміна назв макросів та процедур, заміна програмного коду іншим з аналогічною функціональністю. Таким чином, поліморфному вірусу в базі даних сигнатур повинен відповідати не один запис, а декілька. Ознакою стелс вірусів є маскування або приховування свого програмного коду від антивірусного сканера. Для цього можуть використовуватись різноманітні методи. Наприклад, частина програмного коду стелс макровірусу може знаходитись в зашифрованому вигляді. Після активізації стелса спрацьовує процедура розшифровки коду. Розшифрований код надалі використовується макровірусом в процесі функціонування. Крім того, для приховування програмного коду макровірусу використовується його захист за допомогою паролю або збереження частини макровірусу в тілі документу. Стелс технології можуть використовуватись і при розробці поліморфних вірусів.
Ще одним важливим недоліком методу сигнатур є необхідність постійного оновлення антивірусної бази даних користувачами та постійного функціонування розгалуженої служби підтримки, яка виявляє нові віруси та оновлює базу даних. Крім того, всі антивірусні сканери відзначаються відносно низькою швидкістю пошуку всіх видів вірусів.
Для розпізнавання невідомих вірусів та троянів в деяких антивірусних сканерах разом з методом сигнатур використовується так званий евристичний аналізу програмного коду. При цьому в різних антивірусних системах застосовуються різні евристичні методи, реалізація яких практично не документуються. Проте аналіз джерел [31, 39, 45, 52, 62, 64, 70, 72] вказує на те, що в більшості випадків базою цих методів є статистичний аналіз послідовності виконання програмного коду об’єкта, що перевіряється. Відзначимо, що сучасні евристичні методи дозволяють виявити тільки близько 50% вірусів сигнатура яких не представлена в антивірусній базі даних. Крім того, ці методи не дозволяють самонавчатись розпізнавати невідомі макровіруси.
Антивірусні блокувальними це резидентні програми, що аналізують події які відбуваються в операційній системі на предмет виявлення потенційно небезпечних ситуацій, характерних під час розмноження вірусу. Виявивши таку ситуацію блокувальними сигналізують про неї та (або) забороняють її виконання. В загальному випадку до небезпечних ситуацій відносяться, наприклад, запис в exe та com файли, запис в boot-сектор жорсткого диску, спроба програми зостатись резидентною або приєднатись до іншого процесу в операційній системі. Стосовно макровірусу пристосованого до розмноження в середовищі MS Officce до таких подій відносяться запис в шаблон документу Normal.dot, спроба зміни рівня безпеки, відключення антивірусного захисту, створення нової процедури, тощо [52, 62, 64]. Крім того, деякі блокувальними макровірусів та макротроянів забороняють макросам виконувати потенційно небезпечні функції. Наприклад блокувальник Office Guard, що водить до складу антивірусного комплексу "Антивирус Касперского" дозволяє заборонити макросам виклик функцій API операційної системи та виконувати операції з файлами. До загальновизнаних переваг антивірусних блокувальників відносять можливість розпізнавати та блокувати невідомі віруси. Не зважаючи на це великий процент хибних спрацювань та великі затрати обчислювальних ресурсів сучасних блокувальників завадить їх широкому практичному застосуванню. Крім того, по великому рахунку функціональність блокувальників макровірусів багато в чому повторює функції захисту, вбудованого в пакет MS Office та має ті ж недоліки. Вибір користувачем високого рівня захисту від макровірусів перешкоджає виконанню корисних макросів, а вибір низького рівня не захищає від макровірусів. При цьому тонка настройка параметрів блокувальника викликає у звичайного користувача значні труднощі та може значно змінюватись в залежності від того з яким документом працює користувач. По цим причинам в багатьох випадках ні звичайний користувач ні адміністратор КС не в змозі оперативно настроїти параметри сучасних блокувальників макровірусів. Отже проблема розпізнавання скриптових вірусів та троянів як за допомогою сканерів так і за допомогою блокувальників далека від свого вирішення, що підтверджується незалежним тестуванням антивірусних засобів [45]. Відзначимо, що основною пролемою є підвищення достовірності розпізнавання вірусу в результаті аналізу програмного коду макроса або/та в результаті аналізу подій в ПС в якому виконується макрос. При цьому підвищити достовірність розпізнавання можливо за рахунок використання в антивірусних сканерах НМ [39, 45, 64]. Запорукою цього є апробованість та доведена ефективність застосування НМ в задачах розпізнавання образів на основі неповної та зашумленої інформації.