Анализ безопасности программного обеспечения киберфизических систем с использованием методов
Download 1.46 Mb. Pdf ko'rish
|
autoref-analiz-bezopasnosti-kiberfizicheskikh-sistem-s-ispolzovaniem-metodov-mashinnogo-obucheniya
|
В третьей главе описан разработанный подход к выявлению потенциально опасных
функциональных возможностей в ПО КФС на основе многовариантного динамического анализа программы в контролируемом изолированном окружении с использованием технологии символьного выполнения и методов машинного обучения, включающий: — модель функционирования анализируемого процесса в вычислительной системе, учитывающую порождаемые им информационные потоки; — критерии опасности выполняемых ПО операций на основе анализа порождаемых ими информационных потоков с использованием показателей доверия и критичности; — метод оценки потенциальной опасности путей выполнения программы на основе кластерного анализа вызываемых системных функций; — алгоритм выявления СФВ в ПО с применением технологии динамического символьного выполнения; — метод оптимизации выбора путей выполнения при проведении динамического анализа ПО на основе использования алгоритма Q-обучения с подкреплением. Особенностью КФС является то, что выполняемые в ходе ЦА действия по нарушению штатного функционирования систем, с точки зрения средств защиты и подходов, на основе которых они реализованы, не классифицируются как вредоносные, так как чаще всего используют штатные возможности ПО КФС по управлению технологическими и иными критическими процессами. Возможным подходом к решению данной проблемы является анализ опасности информационных потоков, порождаемых анализируемым ПО, позволяющий выявить попытки взаимодействия недоверенных программ с компонентами, обеспечивающими функционирование критических процессов. Предложена модель функционирования анализируемого процесса в вычислительной системе, учитывающая информационные потоки, порождаемые им при выполнении операций (рисунок 1). Информационный поток (ИП) – взаимодействие объектов при выполнении операций в системе, характеризующееся передачей данных от источника к получателю . Информационные потоки обладают следующими атрибутами: источник данных , получатель данных , тип информационного потока ( , , ). Были определены следующие типы информационных потоков, зависящие от типа операции, в результате выполнения которой они были порождены, и направления передаваемых данных/управления относительно анализируемого процесса: 1. Информационный поток чтения данных . 2. Информационный поток передачи данных . 3. Информационный поток передачи управления данным . 9 Рисунок 1 – Пример анализа информационных потоков, порождаемых анализируемым процессом при выполнении системных операций Операция – совокупность действий, порождающих информационные потоки, в результате вызова анализируемым процессом системной функции. Системная функция – функция, выполнение которой приводит к передаче управления доверенному коду ОС, целостность которого обеспечивается в рамках реализации предложенной модели. Операция обладает следующими атрибутами: вызываемая системная функция , множество порождаемых информационных потоков чтения данных , множество порождаемых информационных потоков передачи данных , множество информационных потоков передачи управления данным . Для оценки опасности информационных потоков, порождаемых при выполнении операций предлагается использовать показатели доверия и критичности объектов взаимодействия. Показатель доверия – характеристика взаимодействующих объектов, обратно пропорциональная вероятности нарушения ИБ системы в результате выполнения операций с объектом . Показатель критичности – характеристика взаимодействующих объектов, связанная с оценкой степени влияния на ИБ системы информационных потоков указанного типа c объектом . Показатели доверия и критичности определяются на основе известной информации о существующих угрозах и распространенных техниках нарушения ИБ и динамически рассчитываются на основе следующей информации: 1. Права доступа к объекту в системе либо права объекта по отношению к другим объектам системы. 10 2. Воздействие на данный объект в известных техниках, применяемых в ЦА (MITRE ATT&CK). 3. Присутствие объекта в известных индикаторах компрометации систем (Indicator of Compromise). 4. Оценка доверия к объекту на основе анализа издателя электронно-цифровой подписи у файлов, ассоциированных с ним, либо ее отсутствие. 5. Наличие признаков защиты от анализа у файлов, ассоциированных с объектом. 6. Оценка критичности ПО, создавшего объект, на основе результатов кластеризации типов ПО с учетом их важности для функционирования системы. 7. Статистически значимое преобладание встречаемости операций с данным объектом в выборке вредоносных файлов, относительно легитимных. 8. Наличие потенциально опасных операций с данным объектом, уменьшающих показатель доверия к объекту. Download 1.46 Mb. Do'stlaringiz bilan baham: 
|