Методи та засоби антивірусного комбінованого діагностування персональних комп’ютерів

Методика та алгоритми комбінованого діагностування, які базуються на ідентифікації невідомих вірусних програм за їх автоматично згенерованими математичними моделями, на основі матриць інцидентності. Шляхи підвищення ефективності антивірусного захисту.

Рубрика Программирование, компьютеры и кибернетика
Вид автореферат
Язык украинский
Дата добавления 11.11.2013
Размер файла 53,9 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

ВІННИЦЬКИЙ ДЕРЖАВНИЙ ТЕХНІЧНИЙ УНІВЕРСИТЕТ

УДК 004.491.23

Автореферат

дисертації на здобуття наукового ступеня

кандидата технічних наук

МЕТОДИ ТА ЗАСОБИ АНТИВІРУСНОГО КОМБІНОВАНОГО ДІАГНОСТУВАННЯ ПЕРСОНАЛЬНИХ КОМП'ЮТЕРІВ

Спеціальність 05.13.13 - обчислювальні машини, системи та мережі

САВЕНКО ОЛЕГ СТАНІСЛАВОВИЧ

Вінниця - 1999

Дисертацією є рукопис.

Робота виконана на кафедрі комп'ютерних систем в Технологічному університеті Поділля, Міністерство освіти України.

Науковий керівник:

Локазюк Віктор Миколайович, доктор технічних наук, професор, Технологічний університет Поділля, завідувач кафедри комп'ютерних систем.

Офіційні опоненти:

Тарасенко Володимир Петрович, - доктор технічних наук, професор, Національний технічний університет України "КПІ", завідувач кафедри спеціалізованих комп'ютерних систем;

Голембо Вадим Адольфович, кандидат технічних наук, доцент, Державний університет "Львівська політехніка", доцент кафедри електронно-обчислювальних машин.

Провідна установа - Інститут проблем моделювання в енергетиці НАН України, відділ імітаційного моделювання, м. Київ.

Захист відбудеться "29" жовтня 1999 р. о 9-30 годині на засіданні спеціалізованої вченої ради Д 05.052.01 у Вінницькому державному технічному університеті за адресою: 286021, м. Вінниця, Хмельницьке шосе, 95.

З дисертацією можна ознайомитись у бібліотеці Вінницького державного технічного університету.

Автореферат розісланий "24" вересня 1999 р.

Вчений секретар спеціалізованої вченої ради В.М. Лисогор.

ЗАГАЛЬНА ХАРАКТЕРИСТИКА РОБОТИ

Актуальність теми. На сьогодні важко знайти область де б не застосовувались персональні комп'ютери. Однією із актуальних проблем при їх використанні є збереження, обробка та надійний захист інформації, що знаходиться в них. Із стрімким розвитком персональних комп'ютерів, їх широкою доступністю багатьом користувачам постала задача захисту їх від програм, що здійснюють саморозмноження та деструктивні дії. Ці програми, назвемо їх вірусними програмами, здатні псувати інформацію, що зберігається запам'ятовуючими пристроями, а також спричиняти збої в роботі персональних комп'ютерів та виведення їх з ладу на тривалий час.

Сучасні антивірусні засоби не спроможні здійснювати надійний захист інформації, що зберігається в персональних комп'ютерах від вірусних програм, а також їх виявлення та знешкодження. Це пояснюється недосконалістю методів, покладених в основу їх розробки, та зростанням кількості нових вірусних програм щороку приблизно на 2000. Відомі засоби антивірусного діагностування залежать від даних про конкретні вірусні програми і не мають можливості виявляти та знешкоджувати невідомі їм вірусні програми. Крім того, бази сигнатур вірусних програм містять великі об'єми інформації. Це в значній мірі понижує ефективність процесу діагностування та його достовірність. Відомості про методи розробки антивірусних засобів мають закритий характер. Це не дає можливості розвивати відомі методи. Кількість провідних компаній по розробці антивірусних засобів зменшилась за один рік з 14 до 10.

Найбільш використовуваними серед відомих антивірусних засобів є ті, що здійснюють діагностування персональних комп'ютерів та знешкодження вірусних програм. Це пояснюється можливістю здійснювати знешкодження вірусних програм. Крім того, використання окремих методів діагностування та знешкодження вірусних програм, навіть їх комбінація з іншими антивірусними методами не завжди забезпечує ефективність та достовірність цього процесу. Тому одним з питань, що вимагає вирішення, є розробка комплексу алгоритмічної та програмної підтримки процесу антивірусного комбінованого діагностування персональних комп'ютерів.

Зв'язок роботи з науковими програмами, планами, темами. Представлені в дисертації дослідження проводились в рамках держбюджетної НДР Технологічного університету Поділля №6Б-96 "Теорія тестового комбінованого діагностування структур з компонентами підвищеного ступеня інтеграції" (1996-1997 рр.).

Мета і задачі дослідження. Метою даної дисертаційної роботи є аналіз вірусних програм та антивірусних засобів і розробка методів та засобів програмної підтримки антивірусного комбінованого діагностування персональних комп'ютерів.

У відповідності з поставленою метою в дисертаційній роботі вирішуються такі основні задачі:

1. Розробка методів антивірусного комбінованого діагностування персональних комп'ютерів.

2. Аналіз відомих вірусних програм та розробка їх математичних моделей.

3. Розробка структури бази моделей вірусних програм.

4. Визначення області дослідження антивірусних засобів.

5. Розробка математичної моделі процесу антивірусного комбінованого діагностування персональних комп'ютерів з врахуванням математичних моделей вірусних програм.

6. Розробка методик і алгоритмів антивірусного комбінованого діагностування персональних комп'ютерів: ідентифікації невідомих вірусних програм за їх автоматично згенерованими математичними моделями; втілення антивірусного корегуючого коду.

7. Розробка алгоритмів роботи керуючої підсистеми програмної підтримки антивірусного комбінованого діагностування.

8. Впровадження в промисловість комплексу програмного забезпечення антивірусного комбінованого діагностування персональних комп'ютерів.

Наукова новизна одержаних результатів.

Результатами досліджень є:

- методи антивірусного комбінованого діагностування персональних комп'ютерів, які дозволяють підвищити достовірність та ефективність діагностування. На відміну від відомих вони дозволяють створювати антивірусні засоби, що не залежатимуть від відомостей про конкретні вірусні програми;

- запропонована математична модель процесу антивірусного комбінованого діагностування персональних комп'ютерів;

- розроблені методика та алгоритми антивірусного комбінованого діагностування, які базуються на ідентифікації невідомих вірусних програм за їх автоматично згенерованими математичними моделями;

- розроблені алгоритми роботи керуючої підсистеми програмної підтримки антивірусного комбінованого діагностування.

Розроблені методики, алгоритми та програмні засоби орієнтовані на автоматизацію та дозволяють підвищити достовірність процесу комбінованого діагностування на 27 %.

Практичне значення одержаних результатів. Дослідження виконувались з врахуванням подальшої практичної реалізації. Результати досліджень містять основу підсистеми програмної підтримки антивірусного комбінованого діагностування персональних комп'ютерів. Розроблені засоби дають можливість забезпечити: пошук та знешкодження невідомих вірусних програм з бази їх математичних моделей; мінімум витрат часу користувачем при моделюванні та генерації моделей вірусних програм; підвищення достовірності діагностування; управління процесом діагностування.

Основні результати дисертації впроваджені на підприємствах ВО "Новатор" (Хмельницький радіотехнічний завод) та ВАТ "Завод "Нева" (м. Хмельницький), а також використовуються в навчальному процесі Технологічного університету Поділля.

Апробація результатів дисертації. Наукові та практичні результати роботи доповідались та обговорювались на науково-технічних конференціях професорсько-викладацького складу Технологічного університету Поділля (м. Хмельницький, 1996-1999 р.); науково-технічній конференції "Вимірювальна та обчислювальна техніка в технологічних процесах" (м. Хмельницький, 1997 р.); міжвузівській науковій конференції молодих вчених та студентів (м. Київ, ДАЛПУ, 1998-1999 р.).

Публікації. По темі дисертації опубліковано 8 друкованих праць, в тому числі в 4 статтях в міжнародних та українських виданнях і в 4 збірниках матеріалів конференцій.

Структура та об'єм дисертації. Дисертація складається з вступу, чотирьох розділів, висновку та додатків, її повний зміст 207 сторінок, основний зміст викладено на 148 сторінках, 2-х додатках на 46 сторінках, містить 20 рисунків, 13 таблиць, включає 147 найменувань вітчизняної та зарубіжної літератури.

ОСНОВНИЙ ЗМІСТ РОБОТИ

У вступі стисло обґрунтована актуальність її тематики, окреслені об'єкт та предмет досліджень, сформульовані мета і задачі, визначена наукова новизна та практична цінність одержаних результатів, а також відомості про апробацію і структуру роботи.

В першому розділі проведено аналіз вірусних програм та антивірусних засобів, а також відомих методів розробки антивірусних програм. Аналіз вірусних програм розкрив характерні особливості алгоритмів їх роботи та необхідність захисту персональних комп'ютерів від них. Дослідження антивірусних методів та засобів показало, що вони не забезпечують надійного захисту персональних комп'ютерів від вірусних програм, а також знешкодження тих з них, які не містяться в їх базах даних сигнатур.

Основними методами, які використовуються при роботі антивірусних програмних засобів є сигнатурний пошук вірусного коду, емуляція роботи процесора, евристичний аналіз, трасировка переривань. Перераховані методи розробки антивірусних програм окремо, навіть їх комбінація, не дають можливості виявляти всі вірусні програми. В зв'язку з цим постала задача розробки нових методів, які дозволяли б виявляти та знешкоджувати вірусні програми, які з'являтимуться в майбутньому.

У першому розділі сформульовані також задачі, які вирішуються в наступних розділах.

В другому розділі проаналізовано структури вірусних програм, розроблено їх математичні моделі, визначено область дослідження антивірусних засобів та розроблено математичну модель процесу антивірусного комбінованого діагностування персональних комп'ютерів.

В роботі досліджувались вірусні програми, які в процесі розмноження записуються в початок, чи середину, чи кінець файлу, і крім цього можуть здійснювати шифрування свого тіла, чи запис у завантажувальний сектор магнітного диску повністю або частково, чи маскування свого перебування в персональному комп'ютері, чи їх комбінацій.

На основі проведеного аналізу структур вірусних програм встановлено, що в процесі свого функціонування вони повинні виконувати певні обов'язкові дії, для реалізації яких розробляються такі модулі:

1) активізації вірусу;

2) забезпечення попадання в оперативний запам'ятовуючий пристрій;

3) розмноження вірусу;

4) шифрування тіла вірусу;

5) маскування в персональному комп'ютері;

6) виконання деструктивних дій.

Деякі з цих модулів можуть бути відсутніми. Тип вірусної програми залежить від наявності певних модулів в її складі.

З метою розробки математичних моделей вірусних програм проведено їх поділ за поведінкою при розмноженні та маскуванні в персональному комп'ютері. В залежності від можливих середовищ існування вірусних програм їх поділено на дві підмножини. До першої підмножини (позначимо через Q) віднесено ті з них, які заражують файли на магнітному диску при розмноженні, впроваджуючись в них в початок, середину чи кінець, і при цьому містять сталі ділянки коду. До другої (позначимо через Р) віднесено ті з них, які в процесі розмноження чи виконання змінюють свої ділянки коду повністю або частково, або маскують своє перебування в операційній системі, підставляючи замість заражених ділянок файлу незаражені, або записуються повністю чи частково у завантажувальний сектор магнітного диску.

Для розробки математичних моделей антивірусних засобів розроблено математичні моделі типів вірусних програм згідно проведеного поділу. Нехай Х - множина всіх файлів на магнітному диску, включаючи також файл, що містить інформацію завантажувального сектора (позначимо його через х 0). Всі файли на магнітному диску позначимо через хі, і=1, 2, 3,..., n, де n - кількість файлів, то Х={х 0, х 1,..., хп}. Виділимо підмножину Х'Х, Х'={х'0, х'1, х'2,..., х'k}, к <= n усіх тих файлів (певного типу або декілька типів), які можуть бути заражені вірусними програмами, а також X'', X''=X'\{x'0}. Нехай V - множина всіх вірусних програм, V={v1, v2,..., vm}, де mєN, m, V=PQ. Множина V розбивається на класи в залежності від типів файлів, які заражують вірусні програми. Але оскільки в основу класифікації покладено алгоритм розмноження та алгоритм маскування в персональному комп'ютері, то дії вірусних програм по відношенню до файлів різних типів будуть однаковими. Тому недоцільно виділяти в класи по типу файлів. Математична модель роботи вірусних програм задається так:

M1=<X,V,G>,

де G - двохдольний інформаційний граф:

Размещено на http://www.allbest.ru/

Граф G має множину вершин Gv, що складається з двох множин, які не перетинаються: підмножини V вершин, яка відповідає множині вірусних програм, і підмножини X вершин, що відповідає множині всіх файлів магнітного диску. Дуги графа відображають зв'язок (алгоритм взаємодії) між множинами V і X. Між вершиною двохдольного графа vієV та інформаційною змінною vі математичної моделі М 1 існує взаємнооднозначна відповідність. Аналогічно є взаємнооднозначна відповідність між вершиною графа xjєX та інформаційною змінною xj. Таким чином, для двохдольного інформаційного графу математичної моделі М 1 справедливі співвідношення:

VX=Gv, VX=.

Інформаційний граф є орієнтованим. Вірусна програма vієV після її запуску здійснює пошук файлів з множини X для зараження. У випадку належності xj множині X вірусна програма заражує xj.

Враховуючи множини X', P, Q математична модель роботи вірусних програм зображена на рис. 1 запишеться так:

M2=<X',P,Q,G1 >,

де G1 - граф зв'язків множин P і Q з множиною X'.

З метою виділення визначальних особливостей для ідентифікації вірусних програм множини P і Q представлено так

де Аі - множина вірусних програм, які визначаються однаковою поведінкою при розмноженні та маскуванні своїх дій в персональному комп'ютері. Множину предикатів, з допомогою яких в алгоритмі роботи вірусних програм реалізуються умовні переходи, позначимо через , . Ознака коректності вірусних програм algі () дорівнює True і некоректності - дорівнює False. Граф-схему алгоритму роботи вірусних програм та їх взаємодії з множиною Х позначимо через (). Математичну модель, що описує вірусні програми множини Аі на алгоритмічному рівні представлено так:

=<Х', Аі, , >, .

Для представлення роботи кожного типу вірусних програм використовувались скінчені орієнтовані зв'язні графи. Математично граф однозначно відображається матрицею інцидентності, яку зручно представляти в пам'яті персонального комп'ютера.

Математичні моделі на алгоритмічному рівні утворюють базу математичних моделей (БММ) вірусних програм. Вона містить достатньо складну та різнорідну інформацію і виникає проблема її внутрімашинного зображення.

Размещено на http://www.allbest.ru/

В процесі проектування необхідна підтримка динамічного формування моделей та динамічної реорганізації, бо відбувається постійна модифікація концептуальної схеми бази даних. В зв'язку з цим в проектованій системі були розроблені програмні засоби інформаційної підтримки, що враховують специфіку предметної області. БММ складається з таких основних блоків:

1. Заголовок бази даних, що містить: номер математичної моделі вірусних програм; індекс початку розміщення блоку опису типів файлів; індекс розміщення таблиць виходів; розмір математичної моделі (в байтах).

2. Блок опису типів файлів, які можуть бути зараженими, для математичних моделей вірусних програм.

3. Таблиці станів вірусних програм, що містять адреси входів та виходів, а також математичні моделі вірусних програм.

4. Таблиці матриць інцидентності графів роботи вірусних програм.

В структурі БММ в принципі неможливо завчасно врахувати всі інформаційні потреби, тому однією з необхідних характеристик СУБД математичних моделей вірусних програм є її висока гнучкість, динамічна реорганізація даних. Користувач має можливість поновлення бази даних новими моделями, а також створення та підключення до системи нових функціональних модулів, що дозволяє налагодити систему на необхідну номенклатуру вірусної програми. Крім того, для існуючих математичних моделей можуть проводитись доповнення нових атрибутів, що відображають додаткові властивості об'єктів та різного роду модифікацій характеристик атрибутів, доповнення та видалення атрибутів супроводжується відповідними змінами в описах конкретних об'єктів, що зберігаються в базі даних.

Розроблені математичні моделі стали основою для аналізу і створення математичних моделей антивірусних програм. Вони враховують всі типи існуючих вірусних програм з множини розглядуваних і появу нових.

З дослідження відомих антивірусних засобів виявлено, що вони не здійснюють надійного захисту від вірусних програм, виявлення їх та знешкодження. Тому для вирішення цієї задачі розроблено нову математичну модель процесу антивірусного комбінованого діагностування персональних комп'ютерів. З її використанням став можливим пошук вірусних програм не тільки за їх сигнатурами, що знаходяться в базі даних.

Антивірусне діагностування персональних комп'ютерів здійснюється за допомогою різноманітних засобів. Ефективність та достовірність діагностування суттєво залежать від програмного забезпечення систем діагностування. Недоліком відомих математичних моделей антивірусних засобів є те, що вони розраховані, в першу чергу, на певний клас об'єктів. Їх класичні моделі достатньо описані в літературі. При діагностуванні персональних комп'ютерів в процесі антивірусного комбінованого діагностування постала задача розробки нових моделей антивірусних програм, які б більш точно описували процеси зараженості вірусними програмами файлів, оперативних запам'ятовуючих пристроїв чи завантажувальних секторів магнітних дисків. Об'єктами діагностування (ОД) виступають виконувані програми, розміщені на магнітному диску, ОЗП та завантажувальний сектор магнітного диску.

Нехай хі (і=) - файли магнітного диску, які заражуються вірусними програмами, х0 - файл, що містить інформацію завантажувального сектора, хк+1-файл, що містить інформацію ОЗП. Файл чи вірусна програма представляють ланцюг бітів певної довжини або ланцюг символів. Розроблена математична модель процесу антивірусного комбінованого діагностування персональних комп'ютерів дає змогу аналізу цих ланцюгів символів з метою виявлення та виділення вірусних ділянок. В процесі аналізу виділено такі етапи:

1) лексичний аналіз;

2) синтаксичний аналіз;

3) евристичний аналіз;

4) заповнення таблиць символів;

5) знешкодження вірусних програм в ОД;

6) втілення антивірусного корегуючого коду в ОД.

Входом модуля, що реалізує лексичний аналіз, служить ланцюг символів деякого алфавіту. Комбінації символів можуть розглядатись як єдині об'єкти. Робота лексичного аналізатора полягає в тому, щоб згрупувати певні термінальні символи в єдині синтаксичні об'єкти, які називаються лексемами. На етапі лексичного аналізу досліджується ланцюг лексем і встановлюється структура файлу. Лексичний аналізатор готує дані для синтаксичного аналізатора.

Результатом роботи синтаксичного аналізатора є дерево, яке представляє синтаксичну структуру, притаманну об'єкту діагностування.

Евристичний аналізатор вирішує питання про наявність вірусної програми у файлі шляхом аналізу результату роботи синтаксичного аналізатора та математичних моделей вірусних програм.

При знешкодженні вірусної програми в ОД здійснюється видалення її частин. Для цього використовується інформація евристичного аналізатора про тип та структуру вірусної програми.

Для втілення антивірусного корегуючого коду (далі антивірусного коду) в ОД здійснюється втілення ланцюга символів (лексем) певної структури в ланцюг символів (лексем) файлу з метою автоматизованого діагностування ОД і знешкодження вірусних програм у випадку їх виявлення.

Для ефективної організації роботи антивірусної програми на кожному етапі використовується таблиця символів для зберігання інформації.

Модель системи антивірусного комбінованого діагностування (АКД) персональних комп'ютерів зображена у вигляді структури процесу її побудови на рис. 2.

Нехай всі символи певної мови програмування низького рівня складають множину S. Послідовності символів поставимо у взаємнооднозначну відповідність регулярну множину в алфавіті S. Порожній регулярній множині {е} в алфавіті S відповідає порожній ланцюг символів, тобто порожній файл. Будь-якому непорожньому файлу відповідає непорожня множина, що складається з символів файлу. Алфавіт S є скінченим. Довжина ланцюга символів дорівнює кількості символів в ній. Оскільки довжина файлу на магнітному диску обмежена, то розглядатимемо лише скінченні регулярні множини. Регулярні множини в алфавіті S ототожнюються з регулярними виразами.

Розділимо кожен блок моделі на підблоки до необхідного рівня деталізації опису системи. Модель функціонально поділиться на підмоделі. Тобто проведемо декомпозицію системи і застосуємо структурний підхід для моделювання внутрішнього механізму кожного блоку. Математична модель відображатиме механізм взаємодії елементів кожного блоку. Критерієм правильності структури блоку буде виконання ним заданої в ході моделювання функції.

Лексичний аналізатор будується як детермінований скінчений автомат по заданому регулярному виразу. Поділ символів на лексеми програмно реалізується побудовою програмної моделі процесора, який є емулятором роботи процесора. Результатом його роботи буде список виконуваних команд об'єкту діагностування, а також порядкові номери кожного символу в файлі і лексеми. В загальному вигляді математичну модель лексичного аналізатора задано функцією: антивірусний діагностування матриця інцидентність

уі=f(хі),

де f - функція, яка здійснює поділ об'єктів діагностування на лексеми і результатом виступають елементи , які є ланцюгами лексем, множини Х та Y складаються з регулярних виразів. Лексичний аналізатор заносить в таблицю символів ланцюг символів лексем разом з порядком їх запису в об'єкті діагностування.

Размещено на http://www.allbest.ru/

На етапі синтаксичного аналізу досліджується ланцюг лексем і перевіряється, чи задовольняє він структурним умовам, сформульованим в означенні синтаксису мови. По сукупності синтаксичних правил автоматично будується синтаксичний аналізатор, який буде перевіряти, чи має вхідний ланцюг синтаксичну структуру, що визначається цими правилами. Результатом роботи синтаксичного аналізатора виступає деревовидна структура. Внутрішні вершини дерева представляють ті дії, які потрібно виконати. Прямі нащадки кожної вершини представляють документи, до яких потрібно застосувати дії, або визначають тип виконуваної дії. Таке дерево будується в пам'яті персонального комп'ютера і заноситься в таблицю символів. В основу даного методу покладено алгоритм Ерлі. Математичну модель синтаксичного аналізатора задано функцією виду:

tі=(yі),

де - функція, що здійснює розбір елементів уі(і=) з множини розширених регулярних виразів Y і результатом виступають синтаксичні дерева tі(і=), які утворюють множину Т.

Евристичний аналізатор являє собою головний блок антивірусної програми, який здійснює діагностування розширених регулярних виразів множини Х на зараженість вірусними програмами. Для цього використовується база математичних моделей, в якій зберігається інформація про поведінку вірусних програм в процесі розмноження.

Знешкодження вірусних програм в ОД полягає у виділенні з ланцюга символів підланцюга, що визначає вірусну програму, або втілення на місце вірусних частин ланцюга символів для неможливості виконання вірусної програми. Модель блоку знешкодження вірусного коду в об'єкті діагностування подано у вигляді:

МЛ = Х,V,FЗ,GЗ,

де FЗ - множина алгоритмів знешкодження, GЗ - граф зв'язків множин Х та V.

Для втілення антивірусного корегуючого коду в ОД використовуємо втілення ланцюга символів у вхідний ланцюг з метою автоматизованого діагностування. Впроваджений ланцюг символів міститиме інформацію про початковий стан вхідного ланцюга. Крім того, він також буде містити засоби (ланцюг лексем) для виявлення та знешкодження в ОД маскуючих вірусних програм. Нехай антивірусний код ОД формується функцією р(lі) для ОД хі(і=), а результат позначимо через rі R, і=. Математична модель блоку втілення антивірусного коду в ОД втіленням ланцюга символів представлена так:

M3=<R,L,SВ>,

де SВ - граф зв'язків множин R і L і описується функцією:

rі=q(lі,p(lі)),

де q - функція приєднання антивірусного коду до ОД lі, і=.

Функції , f, q, p реалізуються відповідними алгоритмами, які задають взаємнооднозначну відповідність.

Розроблена математична модель процесу антивірусного комбінованого діагностування персональних комп'ютерів є основою для розробки методів та алгоритмів антивірусного комбінованого діагностування. Отримана модель процесу антивірусного комбінованого діагностування передбачає використання математичних моделей вірусних програм. При її розробці основна увага приділяється вибору математичних моделей вірусних програм, які представляються у відповідній базі даних матрицями інцидентності. В складі евристичного аналізатора міститься підсистема автоматичної генерації математичних моделей вірусних програм. Вона включає в себе такі блоки: базу математичних моделей вірусних програм, систему керування базами даних, блок генерації математичних моделей об'єктів діагностування.

В третьому розділі розроблено методи та алгоритми антивірусного комбінованого діагностування, а також проведена оцінка ефективності алгоритмів комбінованого діагностування персональних комп'ютерів.

Для ефективної організації процесу діагностування щодо персональних комп'ютерів згідно його математичної моделі розроблено метод антивірусного комбінованого діагностування. Він полягає у комбінації методів антивірусного діагностування на основі сигнатур вірусних програм, матриць інцидентності та антивірусного корегуючого коду. Крім того, суть методу антивірусного комбінованого діагностування не тільки у комбінації вищеназваних методів, але й у розроблених з цією ж метою нових методиках, які передбачають нові підходи до здійснення діагностування. Розроблений також метод антивірусного діагностування на основі матриць інцидентності дозволяє створювати антивірусні засоби, які виявлятимуть вірусні програми за їх типами згідно проведеного поділу.

Кожен ОД проходить етап евристичного аналізу. Інформація про відомі вірусні програми зберігається в їх базі даних сигнатур. Якщо сигнатура в ОД знайдена, то відбувається перехід на модуль знешкодження відомих вірусних програм. Але ОД може бути зараженим не тільки однією вірусною програмою, а й декількома. Тому після видалення частин вірусних програм в ОД, він знову перевіряється евристичним аналізатором. І лише після моделювання ОД, якщо стає відомо що він не заражений, то робота евристичного аналізатора закінчується. ОД обов'язково моделюється, навіть якщо в ньому не знайдено сигнатури вірусної програми. Евристичний аналізатор використовує програмний емулятор процесора і здійснює на ньому моделювання ОД з метою отримання його реакцій. Після цього, враховуючи інформацію синтаксичного аналізатора, відбувається порівняння реакцій ОД з еталонами поведінки вірусних програм.

Суть методики антивірусного комбінованого діагностування, яка базується на ідентифікації невідомих вірусних програм за їх автоматично згенерованими математичними моделями:

- Здійснюємо поділ ОД на лексеми. Якщо такий поділ не здійснюється, то встановлюємо факт зараження ОД некоректною вірусною програмою.

- Здійснюємо моделювання ОД до тих пір, поки співпадатимуть відповідні елементи генерованої програмним емулятором матриці інцидентності з елементами матриць баз моделей вірусних програм та деструктивних дій. Якщо матриці співпадуть, то здійснювати перехід на модуль знешкодження вірусного коду. Процес моделювання закінчуємо до досягнення найбільшого розміру матриці інцидентності баз моделей вірусних програм та деструктивних дій.

Дослідження сучасних засобів антивірусного діагностування показало, що в їх складі міститься модуль евристичного аналізатора. Про те, він тільки видає повідомлення про ймовірність зараження об'єкту діагностування. Евристичний аналізатор системи антивірусного комбінованого діагностування є основним модулем, що оцінює ймовірність зараження об'єкту діагностування, як у випадку зараження вірусними програмами, сигнатури яких є в базі даних, так і тими, сигнатури яких відсутні в базі даних. Для випадку зараження об'єкту діагностування невідомими вірусними програмами розроблено алгоритм автоматичної генерації їх моделей та поповнення бази даних сигнатур. Підвищення ефективності антивірусного комбінованого діагностування здійснюється з допомогою використання бази сигнатур вірусних програм, яка має відкриту архітектуру.

Однією із важливих можливостей антивірусних програм є їх здатність до знешкодження вірусних програм в ОД у випадку зараження. Модуль, що реалізує цю частину антивірусної програми починає свою роботу, якщо виявлено наявність вірусу в ОД.

Втілення антивірусного коду в ОД призначено в першу чергу для виявлення факту зараження при запуску ОД на виконання, а також з метою автоматизованого знешкодження вірусного коду.

Суть використаного методу оцінки ефективності алгоритмів антивірусного комбінованого діагностування полягав в необхідності розв'язати дану задачу без врахування логічної структури структури обчислювальних засобів, на яких реалізується алгоритм у вигляді програми, а також при відсутності конкретних даних про обмеження на часткові параметри алгоритму. Отримані розрахунки ефективності алгоритму є задовільними для практичної реалізації процесу антивірусного комбінованого діагностування персональних комп'ютерів.

В четвертому розділі розроблені методи і алгоритми керуючої підсистеми програмної підтримки антивірусного комбінованого діагностування реалізуються відповідними засобами антивірусного комбінованого діагностування.

Одержані оцінки розрахунку надійності є задовільними для практичної реалізації процесу антивірусного комбінованого діагностування персональних комп'ютерів.

ВИСНОВКИ

Основні результати роботи полягають в наступному:

1. На основі проведеного аналізу вірусних програм та антивірусних засобів і їх класифікацій запропоновано метод антивірусного комбінованого діагностування персональних комп'ютерів та метод антивірусного діагностування на основі матриць інцидентності.

2. Розроблені математичні моделі: вірусних програм для їх ідентифікації та класифікації за їх типами; процесу антивірусного комбінованого діагностування персональних комп'ютерів, яку покладену в основу розробки антивірусних програмних засобів. Розроблена структура бази математичних моделей вірусних програм, котра дає можливість вирішити проблему внутрімашинного зображення складної та різнорідної інформації. На основі розробленої структури БММ розроблена система керування даних, що забезпечує встановлення зв'язку між моделями компонентів структури.

3. Розроблено методики та алгоритми: ідентифікації вірусних програм за їх автоматично згенерованими математичними моделями; втілення антивірусного корегуючого коду.

4. Запропонована структура програмного забезпечення процесу антивірусного комбінованого діагностування дозволяє нарощувати функціональні можливості шляхом поповнення бази математичних моделей вірусних програм та введенням в неї інформації про структуру нових типів об'єктів діагностування без змінення її моделі і є застосовною для розробки програмних засобів під інші типи системного програмного забезпечення та персональних комп'ютерів.

5. Розроблено програмне забезпечення процесу антивірусного комбінованого діагностування персональних комп'ютерів та реалізовано в промисловості.

ОСНОВНИЙ ЗМІСТ ДИСЕРТАЦІЇ ВИКЛАДЕНО В ТАКИХ РОБОТАХ

1. Джулій В.М., Стецюк В.М., Савенко О.С. Автоматизація генерації математичних моделей цифрових та аналого-цифрових структур як об'єктів діагностування // Автоматизація виробничих процесів. -1997. - №2. - С. 22-25.

2. Джулій В.М., Стецюк В.М., Савенко О.С. Алгоритм обробки помилок при роботі з базами даних тестів в системі комбінованого діагностування ВІC та НВІC // Вісник Технологічного університету Поділля. - 1998. - №1. - С. 152-155.

3. Локазюк В.М., Савенко О.С. Математична модель системи антивірусного комбінованого діагностування персональних комп'ютерів // Вимірювальна та обчислювальна техніка в технологічних процесах. - 1998. - №3. - С. 123-126.

4. Локазюк В.М., Савенко О.С. Метод антивірусного комбінованого діагностування персональних комп'ютерів // Вісник Технологічного університету Поділля. - 1999. - №2. - С. 46-48.

5. Джулій В.М., Савенко О.С. Математичний аналіз і визначення функції залежності узагальненого коефіцієнта ефективності алгоритмів від кількості циклів // Збірник наукових праць молодих вчених та студентів по матеріалах конференції. - Ч.3. - Київ: ДАЛПУ. - 1998. - C.25-27.

6. Джулій В.М., Савенко О.С., Бойчук В.А., Стецюк В.М. Система керування базою даних тестової інформації в системах комбінованого діагностування ВІС та НВІС // Вимірювальна та обчислювальна техніка в технологічних процесах. Збірник матеріалів конференції. - Хмельницький: ТУП. - 1997. - С. 60.

7. Джулій В.М., Стецюк В.М., Савенко О.С., Бойчук В.О. Інтерактивне середовище для систем комбінованого тестового діагностування//Актуальні проблеми техніки та суспільства: Сборник статей преподавателей и научных сотрудников Технологического университета Подолья. - Хмельницкий: ТУП. - 1996. - Вып.2. - С. 172-176.

8. Стецюк В.М., Джулій В.М., Савенко О.С., Бойчук В.О. Система відновлення пошкоджених баз даних тестів в системі комбінованого діагностування ВІС та НВІС // Вимірювальна та обчислювальна техніка в технологічних процесах. Збірник матеріалів конференції. - Хмельницький: ТУП. -1997. - С. 56-57.

Особистий внесок. Всі основні результати дисертаційної роботи отримані автором самостійно. В публікаціях особисто здобувачем виконано:

в [1] розроблено методику та алгоритми автоматичної генерації математичних моделей об'єктів діагностування;

в [2] розроблено алгоритм обробки помилок при роботі з базами даних в системах комбінованого діагностування;

в [3] запропонована математична модель системи антивірусного комбінованого діагностування персональних комп'ютерів;

в [4] розроблено метод антивірусного комбінованого діагностування персональних комп'ютерів;

в [5] визначено апроксимуючу функцію залежності узагальненого коефіцієнта ефективності алгоритмів від кількості циклів;

в [6] розроблено систему керування базою даних при комбінованому діагностуванні;

в [7] розроблено інтерактивне середовище для систем комбінованого діагностування;

в [8] розроблено систему та алгоритми відновлення пошкоджених баз даних в системі комбінованого діагностування.

АНОТАЦІЇ

Савенко О.С. Методи та засоби антивірусного комбінованого діагностування персональних комп'ютерів. - Рукопис.

Дисертація на здобуття наукового ступеня кандидата технічних наук за спеціальністю 05.13.13 - обчислювальні машини, системи та мережі. - Вінницький державний технічний університет, Вінниця, 1999.

Дисертацію присвячено питанням розробки методів та засобів антивірусного комбінованого діагностування персональних комп'ютерів.

В дисертації розроблено метод антивірусного комбінованого діагностування персональних комп'ютерів та метод антивірусного діагностування на основі матриць інцидентності. На відміну від відомих вони дозволяють створювати антивірусні засоби, що не залежатимуть від відомостей про конкретні вірусні програми.

Розроблено методику та алгоритми антивірусного комбінованого діагностування, які базуються на ідентифікації невідомих вірусних програм за їх автоматично згенерованими математичними моделями.

Розроблені методики, алгоритми та програмні засоби орієнтовані на автоматизацію та дозволяють підвищити достовірність процесу комбінованого діагностування.

Ключові слова: антивірусне комбіноване діагностування, математична модель, вірусні програми, антивірусні засоби, матриці інцидентності.

Savenko O.S. Methods and means of antivirus combined diagnosing of personal computers. - Manuscript.

Thesis for a candidate's degree by specialty 05.13.13 - computing machines, systems and network. - Vinnitsa state technical University, Vinnitsa, 1999.

The dissertation is devoted to development of methods and means of antivirus combined diagnosing of personal computers topics.

The method of antivirus combined diagnosing of personal computers and method of antivirus diagnosing on the basis of matrixes of incidence are elaborated. In contrast to existing they allow to create antivirus facilities, which will not depend on information about concrete virus programs.

Designed strategy and algorithms of antivirus combined diagnosing, which are founded on identification of unknown virus programs their automatically formed by mathematical models.

It is developed the methods, algorithms and program means are oriented on the automation and allow to raise validity of process of combined diagnosing.

Key words: antivirus combined diagnosing, mathematical model, virus program, antivirus means, matrixes of incidence.

Савенко О.С. Методы и средства антивирусного комбинированного диагностирования персональных компьютеров. - Рукопись.

Диссертация на соискание ученой степени кандидата технических наук по специальности 05.13.13 - вычислительные машины, системы и сети. - Винницкий государственный технический университет, Винница, 1999.

Диссертация посвящена вопросам разработки методов и средств программной поддержки антивирусного комбинированного диагностирования персональных компьютеров.

Целью диссертационной работы есть анализ вирусных программ, антивирусных средств и разработка методов и средств программной поддержки антивирусного комбинированного диагностирования персональных компьютеров.

Одной из актуальных проблем при использовании персональных компьютеров есть проблема сохранности, обработки и надежной защиты информации, которая находится в них. В связи со стремительным развитием персональных компьютеров, их широкой доступностью многим пользователям, возникла задача защиты их от программ, которые саморазмножаются и исполняют деструктивные действия. Эти программы, их называют вирусными программами, могут портить информацию в запоминающих устройствах, а также приводить к сбоям в работе персональных компьютеров и выводу их со строя на длительное время.

Современные антивирусные средства не могут обеспечить надежной защиты персональных компьютеров от вирусных программ, а также их обнаружения и обезвреживания. Это объясняется несовершенством методов, положенных в основу их разработки, и ростом количества новых вирусных программ ежегодно приблизительно на 2000. Известные средства антивирусного диагностирования зависят от данных о известных вирусных программах и не имеют возможности находить и обезвреживать неизвестные им вирусные программы. Кроме того, базы сигнатур вирусных программ имеют большие объемы информации. Это в значительной мере снижает эффективность процесса диагностирования и его достоверность. Информация о методах разработки антивирусных средств носит закрытый характер. Это не дает возможности развивать известные методы. Количество ведущих кампаний по разработке антивирусных средств уменьшилась за предыдущий год с 14 до 10.

Наиболее распространёнными среди известных антивирусных средств есть те, которые совершают диагностирование персональных компьютеров и обезвреживание вирусных программ. Это объясняется возможностью совершать обезвреживание вирусных программ. Кроме того, использование отдельных методов диагностирования и обезвреживания вирусных программ, даже их комбинация с другими антивирусными методами не всегда обеспечивает эффективность и достоверность этого процесса. Поэтому одним из вопросов, который решается в данной диссертационной работой, есть разработка комплекса алгоритмической и программной поддержки процесса антивирусного комбинированного диагностирования персональных компьютеров.

Научная новизна полученных результатов заключается в:

- разработке методов антивирусного комбинированного диагностирования персональных компьютеров, которые позволяют повысить достоверность и эффективность диагностирования. В отличии от существующих они позволяют создавать антивирусные средства, которые не будут зависеть от информации про конкретные вирусные программы;

- разработке математической модели процесса антивирусного комбинированного диагностирования персональных компьютеров;

- разработке методики и алгоритмов антивирусного комбинированного диагностирования, которые основываются на идентификации неизвестных вирусных программ по их автоматически згенерированым математическим моделям;

- разработке алгоритмов работы управляющей подсистемы программной поддержки антивирусного комбинированного диагностирования.

Разработанные методики, алгоритмы и программные средства ориентированы на автоматизацию и позволяют повысить достоверность процесса антивирусного комбинированного диагностирования персональных компьютеров.

Ключевые слова: антивирусное комбинированное диагностирование, математическая модель, вирусные программы, антивирусные средства, матрицы инцидентности.

Размещено на Allbest.ru


Подобные документы

  • Описання видів загроз безпеки інформації. Комп’ютерні віруси як особливий клас руйнуючих програмних дій, їх життєвий цикл та стадії виконання. Засоби і методи захисту інформації у комп’ютерних системах, механізм їх дії. Класифікація антивірусних програм.

    курсовая работа [48,9 K], добавлен 28.09.2011

  • Класифікація та склад антивірусного програмного забезпечення. Методи знаходження комп'ютерних вірусів. Технології сигнатурного та імовірнісного аналізу. Можливості антивірусних програм Avast, AVG, Лабораторії Касперського, Norton AntiVirus, BitDefender.

    реферат [26,6 K], добавлен 06.04.2014

  • Поняття інформації її властивості. У чому полягає робота брандмауера. Переваги використання брандмауера. Основи роботи антивірусних програм. Методи збору, обробки, перетворення, зберігання і розподілу інформації. Основні методи антивірусного захисту.

    реферат [26,8 K], добавлен 29.05.2014

  • Розробка засобів функціонального діагностування обчислювальних пристроїв із плаваючою точкою. Алгоритми та програми синтезу вузлів контрольного блоку пристрою контролю по модулю три матричного помножувача мантис із скороченим виконанням операції.

    курсовая работа [265,5 K], добавлен 12.03.2013

  • Вибір оптимальної конфігурації та характеристика сучасних персональних комп’ютерів і їх комплектуючих. Технічна характеристика кожного пристрою комп’ютера. Зовнішні запам'ятовуючі і пристрої введення інформації. Переваги пристроїв різних фірм.

    дипломная работа [65,5 K], добавлен 06.07.2011

  • Проблемі захисту інформації. Основні загрози та методи їх рішень. Апаратно-програмні засоби захисту. Використання ідентифікації приводу оптичного накопичувача за характеристиками лазерного диску. Аутентифікація за допомогою ідентифікації лазерного диску.

    курсовая работа [65,2 K], добавлен 01.04.2013

  • Методика обґрунтування раціональної сукупності методів і засобів технічного діагностування складних систем озброєння, що задовольняє задані вимоги до систем технічного діагностування в цілому. Пошук дефекту при мінімальних витратах на реалізацію методів.

    статья [28,2 K], добавлен 14.12.2010

  • Поняття пам’яті в комп’ютері. Класифікація сучасних персональних комп’ютерів за їх ознаками. Основні принципи будови та функціонування комп'ютерних систем. Функціональність смартфонів і комунікаторів в порівнянні із звичайними мобільними телефонами.

    курсовая работа [70,3 K], добавлен 31.01.2014

  • Особливості захисту персональних комп'ютерів від несанкціонованого доступу (НДС). Спеціальне програмне забезпечення захисту інформації. Захист від НСД шляхом запису ключа за логічними межами файла. Процес підготування програми на мові ассемблера.

    курсовая работа [33,3 K], добавлен 08.08.2009

  • Спосіби розв'язання трудомістких обчислювальних завдань з використанням двох і більше комп'ютерів, об'єднаних в мережу. Розробка програмної реалізації восьми процесорної паралельної системи зі розподіленою пам’яттю, яка виконує множення двох матриць.

    курсовая работа [747,6 K], добавлен 23.01.2014

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.