Muallif famililiya ism sharif taxdid razvedkasi texnologiyalari
11.5 Doimiy investitsiya va fidoyilik.
Antivirus sotuvchilari o‘z mijozlarini yanada murakkab kompyuter hujumlaridan himoya qilish va har bir yangi zararli dastur bilan tezda himoyalanish uchun IT xavfsizligini doimiy ravishda o‘rganishlari kerak. Yaxshi o‘qitilgan kiberjinoyatchilarga qarshi davom etayotgan kurashda sotuvchining fidoyiligisiz, quyidagilar xavf ostida bo‘lishi mumkin:
sizning kompyuteringiz;
qimmatli ma’lumotlaringiz (fotosuratlar, hujjatlar);
shaxsiy ma’lumotlaringiz;
sizning moliyangiz.
Ba’zi antiviruslar qurollanish poygasida orqada qolmoqda.
Agar bitta sotuvchining antivirusi internetda ishlaydigan barcha zararli dasturlarning faqat 50% ni aniqlasa, boshqa sotuvchining mahsuloti 90%, uchinchisi 99,9% bo‘lsa, ulardan qaysi biri kompyuter uchun yaxshiroq himoya qilishni taklif qiladi.
Faqat bir nechta antivirus dasturlari va xizmatlari 100% ga yaqin bo‘lgan himoya darajasini ta'minlaydi. Aksariyat antiviruslar aslida xavfsizlik darajasining 90% ga erisha olmaydi.
Ba'zi antivirus sotuvchilari zararli dasturlarning rivojlanishi bilan kurashda kuchsizlik qilmiqda. Bunday sotuvchilar qurollanish poygasida zararli dastur yaratuvchilarga yutqazadi. Shuning uchun ularning mijozlari zamonaviy kompyuter tahdidlaridan juda yaxshi himoyalanmagan.
Daraja Boshlang‘ich Texnik component.
Zararli dasturlarni aniqlash tizimining texnik komponenti vaziyatni tahlil qilish uchun foydalaniladigan ma’lumotlarni to‘plashni ta'minlaydi.
Zararli dastur, bir tomondan, ma’lum tarkibga ega bo‘lgan fayl, ikkinchi tomondan, operatsion tizimda bajariladigan harakatlar to‘plami, uchinchidan, operatsion tizimda yakuniy effektlar to‘plamidir. Shuning uchun dasturni identifikatsiyalash turli darajalarda amalga oshirilishi mumkin: bayt zanjirlari, harakatlar, operatsion tizimga ta'sir qilish va boshqalar.
Xulosa qilib aytganda, zararli dasturlarni aniqlash uchun ma’lumotlarni to‘plashning quyidagi usullarini ajratib ko‘rsatishimiz mumkin:
Fayl bilan baytlar massivi kabi ishlash.
Dastur kodini emulyatsiya qilish.
Dasturni "sandbox" (sandbox) da ishga tushirish (shuningdek, shunga o‘xshash virtualizatsiya texnologiyalaridan foydalanish).
Tizim hodisalarini monitoring qilish.
Tizim anomaliyalarini qidiring.
Usullar kod bilan ishlashda abstraktsiya darajasining oshishiga qarab sanab o‘tilgan. Bu holda abstraktsiya darajasi bajariladigan dasturni ko‘rish burchagini anglatadi: asosiy raqamli ob'ekt sifatida (baytlar to‘plami), xatti-harakatlar sifatida (baytlar to‘plamining mavhumroq natijasi) yoki to‘plam sifatida. operatsion tizimdagi effektlar (xulq-atvorning mavhumroq natijasi). Antivirus texnologiyalarining rivojlanishi taxminan bir xil vektorga amal qildi: fayllar bilan ishlash, fayl orqali hodisalar bilan ishlash, hodisalar orqali fayl bilan ishlash, atrof-muhitning o‘zi bilan ishlash - shuning uchun yuqoridagi ro‘yxat tabiiy ravishda xronologik tarzda tuzilgan bo‘lib chiqdi.
Biz yuqoridagi usullar izolyatsiya qilingan texnologiyalar emas, balki zararli dasturlarni aniqlash uchun ma’lumotlarni yig‘ish texnologiyalarini ishlab chiqishning uzluksiz jarayonidagi shartli bosqichlar ekanligini ta'kidlaymiz. Texnologiyalar asta-sekin rivojlanadi va bir-biriga o‘tadi; masalan, emulyatsiya fayl bilan oddiy ishlashga yaqinroq bo‘lishi mumkin, agar uni amalga oshirish faylni baytlar to‘plami sifatida faqat qisman aylantirsa yoki tizim funktsiyalarini to‘liq virtualizatsiya qilish bo‘lsa, "qum qutisi" ga o‘zgartiradi.
Fayllarni o‘qish
Birinchi paydo bo‘lgan antiviruslar baytlar to‘plami sifatida fayllar kodini tahlil qilishga asoslangan edi. Biroq, bu tahlilni chaqirish qiyin - biz bayt ketma-ketligini ma'lum imzo bilan oddiy taqqoslash haqida gapiramiz. Ammo endi biz tasvirlangan texnologiyaning texnik tomoni bilan qiziqamiz, ya'ni: zararli dasturlarni qidirish jarayonida qaror qabul qilish komponentiga uzatiladigan ma’lumotlar fayllardan chiqariladi va ma'lum bir tartibda tartiblangan bayt massivlarini ifodalaydi.
Ushbu usulning o‘ziga xos xususiyati shundaki, antivirus faqat dasturning manba bayt kodi bilan ishlaydi, uning xatti-harakatlariga ta'sir qilmaydi. Usul "arxaik" bo‘lishiga qaramay, u umuman eskirgan emas va u yoki bu tarzda barcha zamonaviy antiviruslarda qo‘llaniladi - lekin yagona yoki hatto asosiysi sifatida emas, balki faqat bittasi sifatida.
2. Emulyatsiya
Emulyatsiya texnologiyasi dasturni baytlar to‘plami sifatida qayta ishlash va dasturni ma'lum harakatlar ketma-ketligi sifatida qayta ishlash o‘rtasidagi oraliq bosqichdir.
Emulyator dasturning bayt kodini buyruqlarga ajratadi va har bir buyruqni kompyuterning virtual nusxasida ishga tushiradi. Bu himoya vositasiga operatsion tizim va foydalanuvchi ma’lumotlariga xavf tug‘dirmasdan dasturning harakatini kuzatish imkonini beradi, bu dastur haqiqiy muhitda bajarilganda muqarrar ravishda sodir bo‘ladi.
Emulyator dastur bilan ishlashda abstraktsiyaning oraliq bosqichidir. Shuning uchun emulyatorning xarakterli xususiyati taxminan quyidagicha ifodalanishi mumkin: emulyator hali ham fayl bilan ishlamoqda, lekin, aslida, voqealar allaqachon tahlil qilinmoqda. Emulatorlar ko‘plab (ehtimol hammasi) asosiy antiviruslarda, asosan, asosiy, quyi darajadagi fayl mexanizmiga qo‘shimcha sifatida yoki yuqori darajadagi dvigatellar uchun “sug‘urta” sifatida (masalan, sandboxing, tizim monitoringi) ishlatiladi.
3. Virtualizatsiya: “sandbox”
Sandboxlarda ishlatiladigan virtualizatsiya emulyatsiyaning mantiqiy kengaytmasidir. Ya'ni: “qum qutisi” allaqachon real muhitda ishlaydigan dastur bilan ishlaydi, lekin baribir uni boshqaradi.
Bunday virtualizatsiyaning mohiyati texnologiya nomi – “qum qutisi”da yaxshi aks ettirilgan. Oddiy hayotda qum qutisi - bu bola xavfsiz o‘ynashi mumkin bo‘lgan yopiq joy. Agar biz o‘xshashlikni chizib, operatsion tizimni haqiqiy dunyo, zararli dasturni esa o‘ynoqi bola sifatida tushunadigan bo‘lsak, unda operatsion tizim bilan o‘zaro aloqa qilish uchun ma'lum qoidalar to‘plami panjara vazifasini bajaradi. Bunday qoidalar OS registrini o‘zgartirishni taqiqlash, fayl tizimi bilan ishlashni qisman emulyatsiya qilish orqali cheklash bo‘lishi mumkin. Masalan, sinov muhitida ishlaydigan dastur tizim registrining virtual nusxasini o‘tkazishi mumkin, shunda dastur tomonidan ro‘yxatga olish kitobiga kiritilgan o‘zgartirishlar operatsion tizimning ishlashiga ta'sir qilmasligi mumkin.
Emulyatsiya va virtualizatsiya o‘rtasidagi chiziq nozik, ammo sezilarli. Birinchi texnologiya dasturni bajarish uchun muhitni ta'minlaydi (va shunday qilib, ish jarayonida dasturni “o‘z ichiga oladi” va uni to‘liq nazorat qiladi). Ikkinchi holda, operatsion tizimning o‘zi allaqachon muhit sifatida ishlaydi va texnologiya faqat operatsion tizim va dastur o‘rtasidagi o‘zaro ta'sirni boshqaradi, avvalgi holatdan farqli o‘laroq, ikkinchisi bilan teng darajada bo‘ladi.
Shunday qilib, tavsiflangan turdagi virtualizatsiyaga asoslangan himoya vositasi endi fayl bilan emas, balki dasturning xatti-harakati bilan ishlaydi - lekin hali ham tizim bilan emas.
Sandbox mexanizmi, emulyator kabi, antiviruslarda ayniqsa faol qo‘llanilmaydi - asosan dasturiy ta'minotni amalga oshirishda u katta miqdordagi resurslarni talab qiladi. Sandboxed antiviruslari dasturni ishga tushirish va uning bajarilishini boshlash o‘rtasidagi sezilarli kechikish bilan osongina aniqlanadi (yoki zararli dastur muvaffaqiyatli aniqlangan taqdirda, uni ishga tushirish va uni muvaffaqiyatli aniqlash to‘g‘risida antivirusdan olingan xabar o‘rtasidagi). Hozirda apparat virtualizatsiyasi sohasida faol tadqiqotlar olib borilayotganini hisobga olsak, vaziyat tez orada o‘zgarishi mumkin.
4. Tizim hodisalarini kuzatish
Tizim hodisalari monitoringi zararli dasturlarni aniqlash uchun ma’lumot to‘plashning yanada "mavhum" usuli hisoblanadi. Agar emulyator yoki "sandbox" har bir dasturni alohida nazorat qilsa, u holda monitor operatsion tizimda sodir bo‘ladigan va ishlaydigan dasturlar tomonidan yaratilgan barcha hodisalarni ro‘yxatga olish orqali bir vaqtning o‘zida barcha dasturlarni nazorat qiladi.
Texnik jihatdan ma’lumot to‘plashning ushbu usuli operatsion tizimning funktsiyalarini ushlab turish orqali amalga oshiriladi. Shunday qilib, ma'lum bir tizim funktsiyasiga qo‘ng‘iroqni ushlab turish orqali, tutuvchi mexanizm ma'lum bir dastur tizimda ma'lum bir harakatni amalga oshirishi haqida ma’lumot oladi. Ishlash jarayonida monitor bunday harakatlarning statistikasini to‘playdi va uni qayta ishlash uchun analitik komponentga o‘tkazadi.
Ushbu texnologik tamoyil hozirgi vaqtda eng faol ishlab chiqilmoqda. U bir nechta yirik antiviruslarning tarkibiy qismlaridan biri sifatida va asos sifatida - tizim monitoringiga ixtisoslashgan alohida yordamchi dasturlarda (ular "HIPS utilitlari", "HIPS" deb nomlanadi - bular Prevx, CyberHawk va boshqa bir qatorlar) . Biroq, har qanday himoyani chetlab o‘tish mumkinligini hisobga olsak, zararli dasturlarni qidirishning bu usuli eng istiqbolli ko‘rinmaydi, chunki dastur haqiqiy muhitda ishga tushirilganda, xavf himoya samaradorligini sezilarli darajada kamaytiradi.
5. Tizim anomaliyalarini qidirish
Bu infektsiyalangan tizim haqida ma’lumot to‘plashning eng mavhum usuli. Biz buni bu erda birinchi navbatda yuqoridagi texnologiyalar ro‘yxatidagi abstraktsiyaning mantiqiy davomi va chegarasi sifatida eslatib o‘tamiz.
Ushbu usul quyidagi qoidalarga asoslanadi:
operatsion muhit unda ishlaydigan barcha dasturlar bilan birgalikda integral tizimdir;
u ma’lum bir “tizimli holat” ga ega;
agar zararli kod muhitda ishlayotgan bo‘lsa, u holda tizimning holati “nosog‘lom” va zararli kod mavjud bo‘lmagan “sog‘lom” tizim holatidan farq qiladi.
Ushbu qoidalarga asoslanib, biz tizimning holatini (va, demak, unda zararli dasturlarning mavjudligini) standart bilan taqqoslash (tizimning “sog‘lom” holati standart sifatida qabul qilinadi) yoki uning individual parametrlarining umumiyligini tahlil qilish.
Anomaliyalarni tahlil qilish orqali zararli kodni samarali aniqlash uchun ekspert tizimi yoki neyron tarmog‘iga o‘xshash ancha murakkab tahliliy tizim kerak bo‘ladi.
6. Qiziqarli metafora
“Sandbox” bo‘limida berilgan bolaga o‘xshatishni shunday davom ettirish mumkin: emulyator bolani haddan tashqari ko‘p ish qilmasligi uchun doimiy ravishda kuzatib turadigan enagaga o‘xshaydi, tizim hodisalarini kuzatish o‘qituvchiga o‘xshaydi. butun bolalar guruhi, tizimli anomaliyalarni qidirish - bolalarga to‘liq erkinlik berish, faqat ularning kundaligidagi baholarni tekshirish bilan cheklangan. Bunday holda, faylning bayt tahlili faqat bolaning rejalashtirishidir, aniqrog‘i, da'vo qilingan ota-onaning tabiatida o‘ynoqilik belgilarini izlash.