Метод захисту програмних засобів від прихованого сканування в комп’ютерних системах

Размещено на http://www.allbest.ru/

ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ

МЕТОД ЗАХИСТУ ПРОГРАМНИХ ЗАСОБІВ ВІД ПРИХОВАНОГО СКАНУВАННЯ В КОМП'ЮТЕРНИХ СИСТЕМАХ

05.13.05 - комп'ютерні системи та компоненти

АВТОРЕФЕРАТ

дисертації на здобуття наукового ступеня кандидата технічних наук

ШАДХІН Володимир Юхимович

Черкаси - 2009

Дисертація є рукопис

Робота виконана в Черкаському державному технологічному університеті Міністерства освіти і науки України.

Науковий керівник: кандидат технічних наук, доцент Колесніков Костянтин Васильович, Черкаський державний технологічний університет, доцент кафедри інформаційних технологій проектування.

Офіційні опоненти: доктор технічних наук, професор Рудницький Володимир Миколайович, Черкаський державний технологічний університет, завідувач кафедри системного програмування;

кандидат технічних наук, доцент Паціра Євгенія Вікторівна, Національний авіаційний університет, доцент кафедри безпеки інформаційних технологій.

Захист відбудеться «_3_»_червня__2009 р. о_14-00__ на засіданні спеціалізованої вченої ради К 73.052.01 в Черкаському державному технологічному університеті за адресою: 18006, м. Черкаси, бул. Шевченка, 460.

З дисертацією можна ознайомитися в бібліотеці Черкаського державного технологічного університету за адресою: 18006, м. Черкаси, бул. Шевченка, 460.

Автореферат розісланий « 25 » квітня 2009 р.

Вчений секретар спеціалізованої вченої ради В.В. Палагін.

ЗАГАЛЬНА ХАРАКТЕРИСТИКА РОБОТИ

Актуальність теми. В сучасному світі розвиток інформаційних технологій привів до того, що жодна сфера людської діяльності не може обходитися без використання обчислювальної техніки, тому важливою є проблема безпечного функціонування і розвитку інформаційного простору. Як наслідок порушення цілісності інформації та використання її не за призначенням, а також її модифікація, може призвести до матеріальних та людських втрат.

В наш час проблемою захисту програмного забезпечення займаються Тарасов Д.В., Барлабанов В.В., Аліпов І.М., Блінцов В.С., Бардіс Н., Мао В., Столлінгс У., Лукацький О.В. та ін. Не дивлячись на це існує низка невирішених таких задач, як захист програмного забезпечення від прихованого сканування, захист інформації від копіювання, модифікації та несанкціонованого використання.

Необхідність використання систем захисту програмного забезпечення (ПЗ) обумовлена рядом чинників, серед яких слід виділити: незаконне використання алгоритмів, що є інтелектуальною власністю автора, несанкціонований доступ, використання і модифікація, незаконне розповсюдження і збут ПЗ.

Існує тенденція зростання рівня піратства, яка зберігається і в даний час, що збільшує фінансові втрати виробників ПЗ.

У зв'язку з цим завдання розробки надійних методів захисту інформації набуває великого значення.

Стійкість до зламу програмних систем захисту інформації (ПСЗІ) багато в чому визначається стійкістю до зламу програмної підсистеми захисту логіки роботи (ППЗЛР), яка є складовою частиною будь-якої ПСЗІ.

Вирішення задачі оцінки стійкості до зламу ППЗЛР, що полягає в розробці та вдосконаленні існуючих математичних моделей, має наступні проблеми. По-перше, необхідно відзначити, що, як правило, відсутні строго адекватні моделі і методи оцінки таких систем. Практика показує, що методи оцінки в переважній більшості випадків створюються для кожної ППЗЛР індивідуально, що дозволяє враховувати для них різні аспекти використання. По-друге, інформація, необхідна для розробки способів протидії засобам аналізу, недоступна, тому що код операційної системи недокументований, що примушує проводити додаткові дослідження принципів функціонування операційних систем.

Розробка математичних і структурних моделей ускладнюється неочевидними залежностями між параметрами, а також невідомими закономірностями їх впливу на цільові характеристики.

Вирішенню задачі вдосконалення моделі та розробці нового метода протидії засобам прихованого сканування присвячене дане дисертаційне дослідження, актуальність якого є безумовно значною.

Зв'язок роботи з науковими програмами, планами, темами. Розробка основних положень роботи здійснювалася відповідно до плану науково-дослідної роботи, що виконувалися в Черкаському державному технологічному університеті, а саме - "Еволюційні моделі, методи і засоби підтримки прийняття рішень при створенні віртуальних підприємств" (номер державної реєстрації 0103U003686).

При виконанні НДР автор брав участь в розробці системи захисту інформації на підприємствах як виконавець.

Мета і задачі дослідження - розробка методу захисту програмного забезпечення від прихованого сканування для підвищення ступеню протидії засобам потенційного зловмисника, що дозволяє покращити ефективність захисту комп'ютерних систем.

Для досягнення поставленої мети необхідно вирішити наступні взаємопов'язані наукові задачі:

1. На основі аналізу функціонування систем захисту програмного забезпечення вдосконалити структурні моделі інформаційних потоків в операційному середовищі з метою протидії можливому використанню їх засобами прихованого сканування.

2. Для забезпечення адекватності оцінки кількісних характеристик систем захисту програмного забезпечення комп'ютерних систем від прихованого сканування отримати аналітичні формули для їх розрахунку.

3. На основі вдосконаленої моделі інформаційних потоків розробити метод протидії засобам прихованого сканування в операційному середовищі.

4. Вдосконалити методики побудови програмно-апаратних комплексів обробки та передачі інформаційних потоків в операційному середовищі шляхом підвищення ступеня захисту від прихованого сканування комп'ютерних систем.

5. Здійснити валідне тестування розробленого програмно-апаратного комплексу.

Об'єкт дослідження - процеси захисту програмної інформації.

Предмет дослідження - методи і моделі захисту програмних засобів від прихованого сканування.

Методи дослідження: методи теорії марківських процесів; методи теорії графів; чисельні методи; методи проектування програмних систем; методи теорії обчислювальних систем; експериментальні методи.

Обґрунтування наукових результатів, висновків і рекомендацій, сформульованих в дисертації, визначається коректним застосуванням використаних методів дослідження і експериментальною перевіркою отриманих результатів. Достовірність результатів підтверджується проведеною оцінкою адекватності теоретичних результатів та отриманих моделей практичним результатам.

Наукова новизна отриманих результатів:

- вперше розроблено новий метод захисту програмних засобів від прихованого сканування на основі вдосконаленої моделі інформаційних потоків шляхом визначення станів операційної системи та шляхів вторгнень, який підвищує ефективність протидії засобам прихованого сканування програм;

- вдосконалено модель захисту програм від прихованого сканування на основі кількісної оцінки її характеристик шляхом використання марківських процесів, яка забезпечує визначення шляхів підвищення ефективності засобів протидії скануванню програм;

- набули подальшого розвитку дослідження структурних моделей інформаційних потоків при виконанні програм в середовищі Win32 на основі теорії графів шляхом їх використання засобами протидії скануванню програм.

Практичне значення отриманих результатів роботи полягає в доведенні здобувачем отриманих наукових результатів до конкретних інженерних методик, алгоритмів, моделей та варіантів функціонування операційних систем.

На підставі проведених досліджень одержано такі практичні результати:

- визначено подальший розвиток програмних засобів захисту прикладного програмного забезпечення в операційній системі Windows від прихованого сканування, що дає можливість для розробки нових засобів захисту програмного забезпечення від сканування;

- розроблено програмно-апаратну систему захисту інформації від прихованого сканування, що дозволяє підвищити ефективність захисту програмного забезпечення;

- виконано валідне тестування програмної системи захисту інформації шляхом порівняння з існуючими світовими аналогами і перевіркою за допомогою сайтів ведучих фірм в області захисту комп'ютерних систем, що дозволяє зробити висновок про ефективність застосування розробленої системи захисту програмної інформації від прихованого сканування.

Результати дисертації у вигляді програмних додатків використовуються у Військовій частині А3037, м. Черкаси; Черкаському зональному відділенні Військової служби правопорядку; Черкаському обласному військовому комісаріаті, а також у навчальному процесі Черкаського державного технологічного університету, Національного авіаційного університету, м. Київ.

Достовірність наукових положень і результатів дисертаційної роботи підтверджується коректністю введених моделей, теоретичною і практичною верифікацією алгоритмів, впровадженням і експлуатацією програмних систем захисту інформації; повним збігом результатів аналізу систем захисту при спільному виконанні експериментів над реальними системами та пристроями в розробленій і існуючих системах захисту інформації.

Особистий внесок здобувача. Усі основні результати отримані здобувачем особисто. У роботах, опублікованих спільно, автору належать: [1] - критерії та критеріальні оцінки для практичного оцінювання якості захисту інформації в системах дистанційного навчання; [2] - алгоритм системи для захисту коду програмного забезпечення від сканування; [3] - процедури аналізу параметрів, на яких має ґрунтуватися система захисту інформації; [4] - аналіз критеріїв, які використовуються при проектуванні системи захисту інформації на стадії проектування; [5] - метод виявлення вторгнень в комп'ютерні системи; [6] - оціночна модель для виявлення прихованого сканування програмних засобів; [7] - модель оцінки захищеності програмних засобів на основі діофантового рівняння;

Апробація результатів дисертації. Основні положення дисертаційної роботи докладалися та обговорювалися на 4 конференціях: Перша Міжнародна науково-технічна конференція «Гарантоспроможні (надійні та безпечні) системи, сервіси та технології», м. Полтава, 2006; Міжнародна науково-практична конференція «Перспективні питання світової науки - 2008», Болгарія, м. Софія, 2008; Науково-технічний семінар «Проблеми інформатизації - 2008» м. Черкаси, 2008; Науково-практична конференція «Проблеми інтеграції інформації - 2008: дослідження, розробки, інтелектуальна власність» м. Харків, 2008.

Публікації. Результати наукових досліджень відображені в 10 друкованих працях; з них - 6 статей, опублікованих у наукових виданнях, що включені в перелік ВАК України, а також 4 - матеріали конференцій.

Структура і обсяг дисертації. Дисертаційна робота містить 176 сторінок загального тексту, 37 рисунків, 8 таблиць. Її структура включає вступ, 4 розділи, висновок, список використаних джерел з 96 найменувань, 7 додатків.

сканування захист комп'ютерний система

ОСНОВНИЙ ЗМІСТ РОБОТИ

Вступ містить обґрунтування актуальності проблеми, що розв'язується, формулюванням мети, об'єкта і задач дослідження, сукупність наукових результатів, що виносяться на захист, відомості про їх апробацію і реалізацію.

У першому розділі розглянуті структури існуючих операційних систем, проведений аналіз існуючих способів протидії засобам вивчення програм, проведений аналіз моделей оцінки якості, що дозволяють визначати характеристики ПСЗІ. Проаналізовані і виділені проблеми, що виникають при практичній реалізації існуючих способів протидії на ОС Windows. Визначений клас ПЗ, для якого доцільне застосування результатів дисертації. Сформульовані задачі дисертаційного дослідження.

У другому розділі запропонована класифікація інформаційних потоків в програмному середовищі, розроблені структурні моделі програмного середовища в аспекті захисту від засобів аналізу. На основі теорії марківських процесів вдосконалено математичну модель, яка може бути застосована для отримання кількісних характеристик різних ПСЗІ, що функціонують в призначеному для користувача режимі ОС Windows.

Запропоновано, що режим користувача ОС Windows характеризується зв'язкам між станами системи.



Для переходу системи зі стану Si в Sj, в системі діють пуасонівські потоки подій . Настання події полягає в успішній спробі зламу алгоритмів протидії засобам сканування для відповідної категорії інформаційних потоків.

Враховуючи визначені стани, процес отримання контролю над ПСЗІ засобами аналізу можна представити у вигляді графа переходів G (рис. 1).

Для скорочення запису приймемо наступне позначення:

Размещено на http://www.allbest.ru/

Рис 1. Граф G переходів станів системи

Для переходу ПСЗІ в стани, перехід в які характеризуються нейтралізацією способів протидії потоків категорії F1 (перехід з S1 в S2, перехід з S3 в S5, перехід з S4 в S6, перехід з S7 в S8) діє пуасонівській потік успішних спроб нейтралізації способів протидії для F1. Інтенсивність цього пуасонівського потоку дорівнює:



Для переходу системи в стани, яке характеризується нейтралізацією способів протидії потоків категорії F2 (перехід з S1 в S3, перехід з S2 в S5, перехід з S4 в S7, перехід з S6 в S8), діє пуасонівській потік успішних спроб нейтралізації способів протидії для F2. Інтенсивність цього потоку дорівнює:

Для переходу системи в стани, які характеризуються нейтралізацією способів протидії потоків класу F3 (перехід з S1 в S4, перехід з S2 в S6, перехід з S3 в S7, перехід з S5 в S8) діє пуасонівській потік успішних спроб нейтралізації способів протидії для F3. Інтенсивність цього потоку дорівнює:

Таким чином, в ПСЗІ, що функціонує в призначеному для користувача режимі, представленою графом G, діють потоки подій з трьома різними інтенсивностями:

- інтенсивність потоку успішних спроб нейтралізації способів протидії засобам аналізу інформаційних потоків класу F1;

- інтенсивність потоку успішних спроб нейтралізації способів протидії засобам аналізу інформаційних потоків класу F2;

- інтенсивність потоку успішних спроб нейтралізації способів протидії засобам аналізу інформаційних потоків класу F3.

Граф G з урахуванням введених позначень інтенсивностей інформаційних потоків прийме вид, представлений на рис. 2. Для скорочення запису приймемо наступне позначення:

Процес отримання контролю засобами аналізу над програмною системою захисту інформації, що функціонує в призначеному для користувача режимі, може бути представлений за допомогою графа, приведеного на рис. 2.

Процес "зламу" програмної системи захисту інформації, що функціонує в призначеному для користувача режимі, який представлений графом G1 на рис. 2, може бути описаний за допомогою теорії марківських процесів з дискретними станами і безперервним часом:

- система містить кінцеву безліч станів;

- умовна ймовірність знаходження системи в будь-якому із станів не залежить від того, коли і як система прийшла в цей стан;

- потоки подій, що переводять систему із стану в стан є пуасонівськіми (ординарні, стаціонарні, без післядії) [2,5].

Размещено на http://www.allbest.ru/

Рис. 2. Граф G1 переходів станів системи

Оскільки процес, що протікає в системі, представленій на рисунку 2, є марківським, то його можна представити за допомогою рівнянь Колмогорова. Система рівнянь Колмогорова, що описує граф G, прийме наступний вигляд:

Размещено на http://www.allbest.ru/

(1)

Застосування умови нормування дозволяє скоротити число рівнянь системи на одиницю. Умова нормування має наступний вигляд:

Відповідно до умови нормування перепишемо p1(t) таким чином:

(2)

Після застосування умови нормування, яка вірна у будь-який момент часу t, отримаємо вираз (2). Після підстановки виразу (2) в систему рівнянь (1), отримаємо систему рівнянь (3):

Размещено на http://www.allbest.ru/

(3)

Отримана система рівнянь дозволяє визначати ймовірність зламу програмних систем захисту інформації в довільні моменти часу.

Вдосконалена модель дозволяє отримувати кількісні оцінки для даних ПСЗІ, що функціонують в призначеному для користувача режимі. Отримувані оцінки можуть бути використані як для порівняння існуючих ПСЗІ, так і для аналізу, що вносяться до алгоритмів захисту ПСЗІ змін. Отриману кількісну оцінку можна розглядати як імовірність того, що ПСЗІ не буде зламана за певний проміжок часу, тому дана математична модель може застосовуватися для будь-яких програмних систем захисту інформації, призначених для роботи в режимі користувача.

У третьому розділі проведено дослідження «слабких місць» засобів сканування, яким не може бути здійснена протидія з боку існуючих способів захисту. Виконано дослідження недокументованих структур і компонентів ОС з метою їх використання в розробці нових способів протидії засобам прихованого сканування. Запропоновано метод протидії розглянутим засобам сканування програм, наведені схеми алгоритмів розроблених способів протидії.

В розділі приведена структурна схема програмних систем захисту інформації від несанкціонованого доступу.

Обов'язковою умовою при практичній реалізації ППЗЛР є її концептуальна цілісність. А також те, що всі спроби протидії повинні бути розосереджені по всій ППЗЛР. Дане твердження виходить з того, що успішна протидія одному класу засобів сканування не означає успішну протидію іншим класам засобів сканування. Дотримання даного твердження буде максимально заважати аналізувати механізми захисту.

Вибір результатів проводився за наступним критерієм: проведений вимір повинен мати мінімальні часові відхилення серед проведених вимірів щодо часу виконання коду без дизасемблера. Даний критерій вибраний з тієї причини, що б мінімізувати похибку часового приросту, що з'являється за наявності дизасемблера, який дозволить з упевненістю зробити висновок про присутність в системі цього засобу аналізу. Використовуючи значення показників середнього значення часу виконання переривання при наявності та відсутності відгадчика в системі, визначимо те відношення, яке має максимальні відхилення при появі дизасемблера в системі.

(4)

(5)

Таким чином, відношення середніх значень часових затримок збільшує своє значення при появі дизасемблера в системі на (7,33/5,06) 100 %=145 %

(6)

(7)

Відношення середніх значень часових затримок збільшує своє значення при появі відладчика в системі на (6,16/4,05) 100 %=152 %.

При виборі параметра використовувалося середнє значення, яке може мати похибку. Щоб уникнути впливу похибки, перепишемо рівняння 6 і 7 таким чином, а саме використаємо не середні значення часових затримок, а мінімальні:

(8)

(9)

Таким чином, значення отриманого відношення збільшується в процентному співвідношенні за наявності дизасемблера не менше ніж на наступне значення:

Якщо встановити поріг спрацювання на рівні половини цього значення, а саме 11,85%, то можна говорити про знаходження відношення, збільшення значення якого більш ніж на 11,85% дозволяє зробити висновок про наявність в системі дизасемблера нульового кільця. У реальних умовах це процентне значення буде вище, що дозволить безпомилково визначати наявність в системі дизасемблера.

Розроблений метод протидії тестувався на відладчику WinDbg від Microsoft. Проведене тестування показало, що отримане відношення дозволяє виявляти всі дані інструменти сканування.

У четвертому розділі приведені результати проведеного тестування розроблених способів протидії, виконана оцінка достовірності результатів проведеної роботи. Наведені позитивні і негативні аспекти використання результатів дисертації, економічні показники використання результатів роботи. З використанням розробленої моделі отримані кількісні оцінки для розроблених способів протидії засобам прихованого сканування. Для підтвердження адекватності отриманих теоретичних результатів, виконано їх порівняння з результатами, отриманими за допомогою існуючої оціночною моделлю.

На тестування були винесені наступні способи протидії:

- код, що самомодифікується;

- зміна контекстів потоків;

- протидія аналізу таблиць імпорту РЕ-файл;

- протидія впровадженню в адресний простір динамічно завантажуваних бібліотек;

- протидія установці контрольних крапок на вхід API-функцій;

- протидія отриманню дизасемблерами валідного лістингу аналізованої програми;

- протидія зняттю образу програми з пам'яті;

- протидія програмним емуляторам коду.

В результаті проведеного тестування успішна протидія надана всім засобам аналізу, які застосовувалися для тестування.

Способи протидії емуляторам і способи створення виконуваних файлів без таблиць імпорту можуть не працювати на майбутніх версіях операційних систем у зв'язку з використанням недокументованих структур.

Формат використаних структур може змінюватися в нових версіях операційних систем, що необхідно для додаткового їх аналізу та подальшого незначного доопрацювання способів протидії. Для оцінки ефективності розроблених способів протидії розрахунок проводиться наступним чином:

- отримаємо кількісні характеристики для ПСЗІ Star-Force CPS v2.0 без використання в ній розроблених способів протидії (позначимо таку ПСЗІ через S1);

- отримаємо кількісні характеристики для ПСЗІ Star-Force CPS v2.0 з використанням в ній розробленими способами протидії (позначимо таку ПСЗІ через S2).

Виконаємо порівняння отриманих характеристик, розрахованих для двох ПСЗІ: з розробленими способами протидії і без них. Проведене порівняння дозволить судити про ступінь поліпшення, який дає впровадження розроблених в роботі способів протидії.

Вважаємо, що в початковий момент часу t = 0, дані ПСЗІ не є зламаними. Система захисту Star-Force v2.0 захищає всі категорії інформаційних потоків. Отже, початковим станом даних ПСЗІ, представлених у вигляді графа (рис. 2), буде S1.

Визначимо значення ймовірності знаходження ПСЗІ в кожному із станів в початковий момент часу. Оскільки в початковий момент часу t = 0 ПСЗІ не є зламаною, то p1(0)= 1. Тоді всі інші ймовірності станів системи дорівнюють нулю. Таким чином, початкові умови для вирішення системи диференціальних рівнянь (3) наступні:

Для вирішення системи рівнянь необхідно задати:

- вектор початкових значень;

- матрицю інтенсивностей;

- вектори перших похідних.

Вектор початкових значень визначений як

Шляхом аналізу експертних даних були набуті наступних значень параметрів для даних програмних систем захисту інформації (матриця відповідає ПСЗІ S1, матриця відповідає ПСЗІ S2.

Матриця інтенсивностей для системи S1 має вигляд:

Матриця інтенсивностей для системи S2 має вигляд:

Залежність від часу елементів матриць і введена для підвищення достовірності результатів оцінки, оскільки дозволяє враховувати такі чинники, як накопичення знань про досліджувану ПСЗІ засобами сканування, збільшення з часом тиражу програмного продукту. Залежність від часу елементів матриць і дозволить провести порівняння теоретичних результатів з існуючою оцінною моделлю.

Для оцінки адекватності виконаємо наступні розрахунки:

- розрахуємо ймовірність "зламу" для однієї копії ПСЗІ (позначимо її через S1), яка не використовує розроблені в даній роботі способи протидії. Розрахунок здійснимий на основі розглянутої моделі для того ж тимчасового інтервалу, на якому виконувався розрахунок з використанням розробленої моделі;

- розрахуємо ймовірність "зламу" для однієї копії ПСЗІ (позначимо її через S2), яка використовує розроблені в даній роботі способи протидії. Розрахунок здійснимий на основі розглянутої моделі для того ж тимчасового інтервалу, на якому виконувався розрахунок з використанням розробленої моделі;

- оскільки результатом виконаного розрахунку на основі існуючої моделі стане ймовірність "зламу" ПСЗІ в задані моменти часу, що, згідно термінам розробленої моделі, є ймовірність знаходження ПСЗІ в стані S8 в ті ж моменти часу. За наслідками виконаних розрахунків можна судити про адекватність розробленої моделі.

Відповідно до виразу (3) вектор перших похідних для ПСЗІ S1 прийме вигляд:

Відповідно до виразу (3) вектор перших похідних для ПСЗІ S2 має вигляд:

Для вирішення диференційних рівнянь був використаний метод Рунге-Кутта.

На графіку (рис.3, 4) зображено отриманий розв'язок системи диференційних рівнянь (3) і проведеного порівняння кількісних характеристик ПСЗІ станів S1 і S2, видно, що на встановлення повного контролю засобами аналізу над ПСЗІ S2, буде витрачено більше часу, чим на встановлення повного контролю над ПСЗІ S1. Це слідує з того, що для будь-якого моменту часу ймовірність знаходження ПСЗІ S2 в стані S8 нижча, ніж та ж імовірність для ПСЗІ S1.



Размещено на http://www.allbest.ru/

Рис. 3. Порівняння ймовірностей знаходження систем S1 і S2 в початковому стані S1

Рис. 4. Порівняння ймовірностей знаходження систем S1 і S2 в кінцевому стані S8

На рис. 5 зображений графік порівняння кількості циклів машиних команд за наявності дизасемблера та без дизасемблера в залежності від часу. З наведеного графіка можна зробити висновок, що при наявності дизасемблера в комп'ютерній системі збільшується кількість виконуваних процесором циклів машиних команд.

Рис. 5. Поведінка системи при наявності/відсутності дизасемблера в системі

На рис. 6 зображено графік завантаженості процесора при наявності розробленого методу захисту від прихованого сканування в комп'ютерній системі збільшується завантаженість процесора (зменшується швидкодія) до 3,1%.

Рис. 6. Поведінка комп'ютерної системи при наявності/відсутності розробленого методу захисту від прихованого сканування в комп'ютерній системі

На рис. 7 зображений графік порівняння мінімальної кількості циклів машиних команд існуючих основних систем захисту від прихованого сканування (Spyware Doctor, StarForce v.5x та розробленої в дисертаційному дослідженні системи), яка необхідна для того, щоб зробити висновок про наявність процесу прихованого сканування, при чому можна зробити висновок, що при використанні розробленої системи витрачається менше часу (на 20 %).

Размещено на http://www.allbest.ru/

Рис. 7. Порівняльна характеристика розробленої системи захисту від прихованого сканування з існуючими

ВИСНОВКИ

1. В дисертаційній роботі вирішена важлива науково-технічна задача підвищення ефективності систем захисту програмного забезпечення шляхом розробки методу захисту програмних засобів від прихованого сканування.

2. Вдосконалена математична модель визначення ймовірності знаходження програмних систем захисту інформації призначеного для користувача режиму з метою якісного і кількісного аналізу даних програмних систем захисту інформації.

3. Розроблений метод та програмний комплекс розширили науково-технічну базу створення програмних систем захисту інформації для захисту програмного забезпечення комп'ютерних систем від прихованого сканування.

4. Визначені стани програмних систем захисту інформації призначеного для користувача режиму, в яких вона може знаходитися в процесі дослідження її засобами прихованого сканування, задані умови переходу між станами.

5. В результаті дослідження і аналізу математичних та комп'ютерних моделей засобів захисту від прихованого сканування встановлено, що:

- вдосконалена модель дозволяє використовувати її при подальшому проектуванні програмних систем захисту інформації для виявлення можливостей прихованого сканування;

- встановлено, що при наявності процесу прихованого сканування завантаженість процесору збільшується на 15-20 %;

- встановлено, що виявлення процесу прихованого сканування необхідно проводити програмним комплексом, що резидентно завантажений.

6. Набула подальшого розвитку методика створення програмних засобів захисту прикладного програмного забезпечення в операційній системі Windows від прихованого сканування, що стало основою для розробленого програмно-апаратного комплексу протидії прихованому скануванню в комп'ютерних системах.

7. В результаті експериментальних досліджень встановлено, що:

- результати практичних досліджень підтверджують результати, що були отримані при дослідженні вдосконаленої моделі визначення ймовірності знаходження ПСЗІ призначеного для користувача режиму;

- розроблений програмний комплекс системи захисту інформації від прихованого сканування відслідковує до 20% випадків прихованого сканування;

- проведене валідне тестування програмної системи захисту інформації шляхом порівняння з існуючими світовими аналогами і перевіркою за допомогою сайтів ведучих фірм в області захисту комп'ютерних систем;

8. Одержані результати впроваджені в навчальний процес двох ВНЗ МОН України, а також в підрозділах МО України.

СПИСОК ОПУБЛІКОВАНИХ РОБІТ ЗА ТЕМОЮ ДИСЕРТАЦІЇ

1. Колесников К.В. Системный анализ критериев качества защиты информации в системах дистанционного образования / К.В. Колесников, В.Е. Шадхин // Вісник Черкаського державного технологічного університету. - 2005. - №4. - С. 210 - 215.

2. Колесников К.В. Проектирование системы защиты программного кода от скрытого сканирования / К.В. Колесников, В.Е. Шадхин // Вісник Хмельницького Національного університету. - 2008. - №5. - С. 83 - 85.

3. Тимченко А.А. Системный анализ критериев и параметров проектирования системы защиты / А.А. Тимченко, К.В. Колесников, В.Е. Шадхин // Матеріали Першої Міжнародної науково-технічної конференції «Гарантоспроможні (надійні та безпечні) системи, сервіси та технології», м. Полтава, 2006 - Радіоелектронні і комп'ютерні системи. - Харків: «ХАІ», 2006. - №6. - С. 87 - 90.

4. Тимченко А.А. Анализ критериев и параметров системного проектирования системы защиты информации / А.А. Тимченко, К.В. Колесников, В.Е. Шадхин // Вісник Черкаського державного технологічного університету. - 2006. - №1. - С.52 - 58.

5. Тимченко А.А. Современные методы в системах обнаружения компьютерных атак / А.А. Тимченко, К.В. Колесников, В.Е. Шадхин, Б.А. Данилюк // Вісник Черкаського державного технологічного університету. - 2007. - №1. - С.50 - 57.

6. Колесніков К.В. Розробка оціночної моделі програмної системи захисту інформації / К.В. Колесніков, В.Ю. Шадхін // Вісник Київського Національного університету технологій та дизайну. - 2008. - №5. - С.48 - 50.

7. Тимченко А.А. Модель систем защиты информации на основе диофантового уравнения / А.А. Тимченко, К.В. Колесников, В.Е. Шадхин, М.А. Колесникова // Вісник Черкаського державного технологічного університету. - 2008. - №3. - С. 86 - 91.

8. Шадхин В.Е. Построение модели оценки надежности программных систем защиты информации / В.Е. Шадхин // Материалы IV международной научно-практической конференции «Перспективные вопросы мировой науки-2008». - Болгария. София, 2008. - Том 21. - С. 44 - 48.

9. Шадхин В.Е. Анализ средств взлома программных систем защиты информации / В.Е. Шадхин // Матеріали науково-технічного семінару «Проблеми інформатизації». -Черкаси: ЧДТУ, 2008. - Випуск 2 (2). - С.15 - 16.

10. Шадхин В.Е. Методы преодоления систем защиты программного обеспечения / В.Е. Шадхин // Материали науково-практичної конференції «Проблеми інтеграції інформації - 2008: дослідження, розробки, інтелектуальна власність». - Харків: ХПІ, 2008. - С.24.

АНОТАЦІЯ

Шадхін В.Ю. Метод захисту програмних засобів від прихованого сканування в комп'ютерних системах. - Рукопис.

Дисертація на здобуття наукового ступеня кандидата технічних наук за фахом 05.13.05. - комп'ютерні системи та компоненти. Черкаський державний технологічний університет, Черкаси, 2009.

Дисертаційна робота присвячена розробці нових засобів захисту програм від динамічного і статичного аналізу для підвищення ефективності протидії засобам аналізу потенційного зловмисника шляхом підвищення ступеня контролю за інформаційними потоками в операційному середовищі та практичній реалізації і впровадженню розроблених програмних засобів, оцінка їх ефективності.

Розроблена модель систем захисту програм від статичного і динамічного аналізу прихованого сканування, яка може бути використана для отримання кількісної оцінки ефективності засобів протидії дослідженню програм.

Розроблено детермінований метод протидії засобам динамічного і статичного аналізу програм.

В дисертаційному дослідженні визначений подальший розвиток програмних засобів захисту прикладного програмного забезпечення в операційній системі Windows від прихованого сканування, яке дає можливість для розробки нових засобів захисту програмного забезпечення від сканування.

Ключові слова: програмна підсистема захисту логіки роботи, програмна система захисту інформації, дамп пам'яті, дизасемблер, пуассонівський потік, марківський процес.

АННОТАЦИЯ

Шадхин В.Е. Метод защиты программных средств от скрытого сканирования в компьютерных системах. - Рукопись.

Диссертация на соискание научной степени кандидата технических наук по специальности 05.13.05. - компьютерные системы и компоненты. Черкасский государственный технологический университет, Черкассы, 2009.

Диссертационная работа посвящена актуальным вопросам разработки новых средств защиты программ от скрытого сканирования средствами потенциального злоумышленника путем повышения степени контроля за информационными потоками в операционной системе и практической реализации и внедрению разработанных программных средств, оценка их эффективности.

Решение задачи оценки стойкости к сканированию, которая заключается в разработке и совершенствовании существующих математических моделей, имеет следующие проблемы. Во-первых, как правило, отсутствуют строго адекватные модели и методы оценки таких систем. Практика показывает, что методы оценки в подавляющем большинстве случаев создаются для каждой системы индивидуально, что позволяет учитывать для них различные аспекты использования. Во-вторых, информация, необходимая для разработки способов противодействия средствам анализа, недоступна, потому что код операционной системы недокументируется. Разработка математических и структурных моделей осложняется неочевидными зависимостями между параметрами, а также неизвестными закономерностями их влияния на целевые характеристики.

Проведен анализ существующих программных систем защиты информации для защиты программных средств от скрытого сканирования. Определены основные проблемы и пути их устранения, а также основные задачи диссертационного исследования.

Предложена усовершенствованная модель систем защиты программ от скрытого сканирования, которая может быть использована для получения количественной оценки эффективности средств противодействия исследованию программ.

Разработан метод защиты программного обеспечения компьютерных систем от скрытого сканирования, который функционирует в ОС Windows. Описан алгоритм и основные расчетные соотношения.

В диссертации определенно дальнейшее развитие программных средств защиты прикладного программного обеспечения в операционной системе Windows от скрытого сканирования, которое дает возможность для разработки новых средств защиты программного обеспечения от сканирования.

Разработанная программная система защиты информации от скрытого сканирования позволяет повысить эффективность защиты программного обеспечения.

В работе проведено валидное тестирование программной системы защиты информации путем сравнения с существующими мировыми аналогами и проверкой с помощью сайтов ведущих фирм в области защиты компьютерных систем, что позволяет сделать вывод об эффективности применения разработанной системы защиты программной информации от скрытого сканирования.

Ключевые слова: программная подсистема защиты логики работы, программная система защиты информации, дамп памяти, дизассемблер, пуассоновский поток, марковский процесс.

ABSTRACT

Shadkhin V.E. Method of defense programmatic facilities from hidden scanning in the computer systems. - Typescript.

Ph.D. thesis for competing candidate of technical sciences academic degree on speciality 05.13.05. - the computer systems and components. Cherkassy state technological university, Cherkassy, 2009.

Dissertation work is devoted development of new facilities of defence of the programs from a dynamic and static analysis for the increase of efficiency of counteraction facilities of analysis of potential malefactor by the increase of degree of control after informative streams in an operating environment and practical realization and to introduction of the developed programmatic facilities, estimation of their efficiency.

The model of the systems of defense of the programs is developed ot the static and dynamic analysis of the hidden scanning, which can be used for the receipt of quantitative estimation of efficiency of facilities of counteraction research of the programs.

The determined method of counteraction facilities of dynamic and static analysis of the programs is developed.

Keywords: programmatic subsystem of defense of logic of work, programmatic system of defense of information, storage dump, disassembling, puasson's stream, markov's process.

Размещено на Allbest.ur