В этом документе мы продемонстрировали как мы реализовали в Generalize Framework for Access Control on-access политику защиты от вирусов. Эта политика похожа на метод IBM AntiVirus защиты пользователей от вирусов, включая то, что это реализовано в ядре системы и, как следствие, лучше защищено от манипуляций.
Мы также расширили модель до включения сканирования и запрета доступа к данным, исходящего от сетевых соединений под управлением сокетов UNIX-типа. Это полезное, ставшее популярным в последнее время расширение на системах сетевой защиты для предохранения от вирусов. Это способ, превосходящий в некоторых случаях системы сетевой защиты в том, что он ограничивает распространение вирусов в пределах корпорации, вместо просто Интернет - Интранет. Это важный комплимент для политики on-access сканирования, которая предохраняет от вирусов не сохранённых на диске, но работают после загрузки непосредственно в памяти.
Мы реализовали оба этих метода поверх GFAC в экспериментальной установке Linux.
Мы также обсудили способ реализации мониторов контроля доступа на прикладном уровне, такой как принуждение программ к отказу от контроля и экспорту их объектов в операционную систему таким образом, что может быть назначена политика на все объекты системы, а не только на объекты файловой системы. Это работа прогрессирует, но необходимо урегулировать все более и более рискованные функциональные возможности в приложениях с требованиями защиты и секретности, задаваемыми правовой и общей политикой.
В дополнение к трем способам интегрированного обнаружения и предотвращения злонамеренного кода, для обнаружения такого кода в режиме реального времени, может быть использована технология Intrusion Detection Expert System. Концепция первой части для экспериментальной системы вирусного обнаружения была представлена в [Brunnstein/Fischer-Hubner/Swimmer 1991]. Эта система использовала правила априори, основанные на общем поведении вирусов, чтобы обнаруживать и предотвращать вирусоподобное поведение.
И, наконец, наша модель в конечном счете полагается на вирусный сканер, чтобы служить своеобразным "оракулом", для сообщения нам о том, что заданный объект содержит известный вирус. Качество и производительность в этой модели доведены до критических величин. Системы, подобные Computer Immune System [Kephart/Sorkin/Swimmer/White 1997][Kephart et al. 1992], разработанные IBM Research и дополненные Symantec выполнены таким образом, чтобы их реакция на новые вирусы была намного быстрее, чем у существующих в настоящий момент систем, полагающихся в анализе на ограниченные человеческие ресурсы. Часть исследований вошла в осуществляющий автоматический анализ самых высоких стандартов и систем также включающих части VIDES.