- •Компьютерные вирусы как вид информационно-программного оружия
- •Общее описание компьютерных вирусов
- •Видовая классификация компьютерных вирусов
- •Методы и средства антивирусной защиты
- •Невосприимчивость к заражению вирусами
- •Защита от вирусов в статике процессов
- •Защита от вирусов в динамике процессов
- •Организационно-правовые меры
Защита от вирусов в динамике процессов
Предотвратить нежелательные действия вируса (репродуцирование, разрушения) в ходе функционирования АС можно, используя различные меры ограничения и изоляции:
защиту от записи;
разделение на логические диски;
защиту от НСД и т.д.
Однако, из-за недостаточной надёжности этих методов:
разрабатывают специализированные программы-мониторы;
реализуют технико-методические решения при построении АС в целом.
Программы-сторожа.
Программы-сторожа – это резидентные программы, которые ставят своей целью не пропустить вирус в систему, перехватить различные «подозрительные» действия, используемые вирусами для репродуцирования и разрушений.
Программы-сторожа:
контролируют обращения к дискам с помощью средств операционной системы;
запрещают производить записи в определённую группу файлов, в некоторые сектора дисков;
выполняют другие системные функции.
Фактически предпринимается попытка включить в операционную систему отсутствующие дополнительные средства защиты, усилить их.
Программы такого рода имеют ряд слабостей:
|
Интеллектуальные антивирусные методики и средства.
Недостатки методов и средств определения заражения вирусами в статике процессов (программы ревизоры, детекторы и фаги) и динамического мониторинга с помощью программ-сторожей потребовали поиска более совершенных подходов к построению антивирусных систем на основании соответствующих методик и технических решений по построению АС в целом.
Ситуационные методики (возможные варианты).
При использовании ситуационных методик обнаружение вирусов осуществляется путём оценки общей картины поведения системы в целом или её части. При возникновении аномалий, которые не свойственны нормальному поведению системы или компьютера (нештатные ситуации, присущие заражению вирусом), включаются защитные механизмы.
В качестве средств обнаружения аномалий используются программы-агенты, которые эмулируют существующие части системы (фиктивные процессы, фиктивные файлы .doc, .exe). В случае появления вируса в системе возникают возмущения, которые определяются программами-агентами. Сама программа-агент может быть источником возмущения (например, заражённый вирусом фиктивный файл .doc).
Из зафиксированных возмущений выявляется их первопричина. |
Когда источником возмущения является сама программа-агент, антивирусная система имеет возможность провести её анализ и выявить изменения, на основе которых уже классическими средствами выявляются заражённые объекты системы. Затем программа-агент уничтожается.
Ситуационные методики могут быть функционально расширены путём введения памяти:
Создаётся память на виды возмущения системы и исследование изменений программ-агентов.
|
В этом случае повышается адаптивность в отношении вновь появляющихся вирусов, в результате чего антивирусная система может реагировать на вирусы, ранее ей не известные.
В реализации подобного вида методик существуют сложности, связанные с человеческим фактором. Имеется постоянный источник возмущения – человек (пользователь, оператор и т.д.). Поэтому для её эффективной работы необходимо встраивать анализатор поведенческих функций человека.
|
Демилитаризованные зоны.
Распределённая обработка информации при клиент-серверных технологиях на базе локальных вычислительных сетей (ЛВС) требует отдельных архитектурных технических решений в целях антивирусной защиты при взаимодействии системы с внешними телекоммуникационными сетями. В особенности это касается взаимодействия с открытой глобальной сетью ИНТЕРНЕТ.
Для того, чтобы воспрепятствовать внедрению вирусов в рабочую (боевую) область ЛВС, которая предназначена для решения задач АС, ЛВС разделяют на две зоны:
рабочую зону;
демилитаризованную зону.
Взаимодействие между зонами осуществляется через межсетевой экран, который позволяет реализовать набор правил, определяющих условия прохождения пакетов из одной зоны в другую.
В демилитаризованной зоне размещают почтовый сервер и Web-сервер системы, необходимые автоматизированные рабочие места (АРМ), оснащают их мощными антивирусными средствами и определяют жёсткую антивирусную политику работы в этой зоне. Таким образом, демилитаризованная зона является эффективным комплексным средством предотвращения проникновения вирусов в рабочую зону.
|