next up previous
Next: Реализация On-Access Сканера Интегрированного Up: Методы Интегрированного Обнаружения и Previous: Методы Интегрированного Обнаружения и

Введение

В нашем сетевом сообществе, злонамеренный код (malware) - серьезная угроза защите, секретности и целостности системы. Главные угрозы - это вирусы, которые могут импортировать из Интернет в локальные рабочие станции злонамеренный код и Троянских коней, способных использоватьособенности или слабые места служб Интернет. Макровирусы (вирусы, написанные в интерпретируемом коде используемом приложениями) - это значительный риск, потому что они являются платформо-независимыми, создаются проще, чем 'традиционные' файловые вирусы и содержатся в том, что каждый обычно рассматривает как документы, которыми обмениваются гораздо более часто, чем исполняемыми файлами. Особую угрозу для пользователя представляют технологии которые используют загружаемый код, например ActiveX или Java. Загруженные злонамеренные программы могут воспользоваться брешами в защиты для доступа к жесткому диску пользователя или сети, в поисках важной информации, и заниматься "контрабандой" данных во внешний мир используя сетевое подключение компьютера.

Для того, чтобы иметь дело со злонамеренным кодом необходим специальный механизм защиты и, кроме того, он также требуется в соответствии с законодательством: Статья 17, Директивы ЕС по Защите Данных, например, требуют соблюдения мер защиты, в целях предотвращения случайного или преднамеренного разрушения, нарушения целостности или изменения личных данных.

В реализации официальной политики безопасности, [Fischer-Hubner 1997], [Fischer- Hubner/Ott 1998], в соответствии с Generalized Framework for Access Control (GFAC, смотри [Abrams et al. 1990]) были представлены методы для систем Linux. Следуя этой документации мы получим интегрированный, реализованный в ядре on-access сканер, путём расширения нашей GFAC-системы за счёт правил сканирования файлов на запросы открытия/выполнения. Интеграция нашего on-access сканера в ядро создаст большую надёжность чем традиционные, не встроенные on-access сканеры.

В этом документе мы покажем как в Generalized Framework for Access Control мы реализовали политику on-access защиты от вирусов при доступе, подобно методике входящей в IBM AntiVirus, включая то, что это реализовано в ядре и, следовательно, лучше защищено от манипуляций. Модель в состоянии сканировать и отказывать в доступе к данным сетевым соединениям происходящим из определенных сетей, путём контроля UNIX-подобных сокетов. В экспериментальной установке Linux мы реализовали оба из этих методов. Мы включили в дальнейшую дискуссию о реализации контроля доступа в области программ различные проблемы, проявившиеся при использовании этих технологий на макровирусах.

В этом документе мы представляем концепцию on-access сканера, реализованного в ядре, с использованием методики GFAC. Между тем, on-access сканеры не могут защитить от злонамеренно реализованного кода, такого как клиентские приложения Java, когда они загружены в память интерпретатора, так как нет субъекта для контроля доступа. Следовательно, далее в этом документе рассматриваются два различных подхода к обнаружению злонамеренного кода: один способ заключается в сканировании передачи данных, позволяя GFAC-системе контролировать доступ на чтение к коммуникационным сокетам. Другой способ кроется в организации мониторинга над окружением программ, защищенным GFAC-системой против манипуляций и контролем/сканированием выполняемого кода.


next up previous
Next: Реализация On-Access Сканера Интегрированного Up: Методы Интегрированного Обнаружения и Previous: Методы Интегрированного Обнаружения и