Защита от вирусов в динамике процессов

Предотвратить нежелательные действия вируса в ходе функционирования АС (репродуцирование, разрушения) можно, используя различные меры ограничения и изоляции:

· защиту от записи;

· разделение на логические диски;

· защиту от НСД и т.д.

Однако из-за недостаточной надёжности этих методов чаще разрабатывают специализированные программы-мониторы и реализуют технико-методические решения построения АС в целом.

Программы-сторожа. Это резидентные программы, которые ставят своей целью не пропустить вирус в систему, перехватить различные «подозрительные» действия, используемые вирусами для репродуцирования и разрушений.

Они контролируют обращения к дискам с помощью средств операционной системы, запрещают производить записи в определённую группу файлов, в некоторые сектора дисков, выполняют другие системные функции.

Фактически, это попытка добавить в операционную систему отсутствующие средства защиты, усилить их.

Программы такого рода имеют ряд слабостей:

· вирусы могут обходить их, обращаясь непосредственно к системе ввода/вывода (BIOS) минуя операционную систему;

· действия, которые программы-сторожа отслеживают и блокируют, являются стандартными для различных программ, что порождает множество сообщений, из которых трудно выделить сообщения, обусловленные действиями вируса;

· вирус сам может действовать как программа-сторож, перехватывая запросы со стороны программы защиты на опасные действия (особенно это касается резидентных вирусов).

Интеллектуальные антивирусные методики и средства. Недостатки методов и средств определения заражения вирусами в статике процессов (программы ревизоры, детекторы и фаги) и динамического мониторинга с помощью программ-сторожей потребовали поиска более совершенных подходов к построению антивирусных систем на основании соответствующих методик и технических решений по построению АС в целом.

При использовании ситуационной методики обнаружения вирусов их обнаружение осуществляется на основе оценки общей картины поведения системы в целом или её части. При возникновении аномалий, которые не свойственны нормальному поведению системы или компьютера (нештатные ситуации, присущие заражению вирусом), включаются защитные механизмы.

В качестве средств обнаружения аномалий используются программы-агенты, которые эмулируют существующие части системы (фиктивные процессы, фиктивные файлы .doc, .exe). В случае появления вируса в системе возникают возмущения, которые определяются программами-агентами. Сама программа-агент может быть источником возмущения (например, заражённый вирусом фиктивный файл .doc). Из зафиксированных возмущений выявляется их первопричина.

Когда источником возмущения является сама программа-агент, антивирусная система имеет возможность провести её анализ и выявить изменения, на основе которых уже классическими средствами выявляются заражённые объекты системы. Затем программа-агент уничтожается.

Ситуационная методика может быть функционально расширена путём введения памяти. Организуется память на виды возмущения системы и исследование изменений программ-агентов. Повышается адаптивность в отношении вновь появляющихся вирусов, в результате чего антивирусная система может реагировать на вирусы, ранее ей не известные.

В реализации подобного вида методик существуют сложности, связанные с человеческим фактором. Имеется постоянный источник возмущения – человек (пользователь, оператор и т.д.). Поэтому для её эффективной работы необходимо встраивать анализатор поведенческих функций человека.

Демилитаризованные зоны. Распределённая обработка информации при клиент-серверных технологиях на базе локальных вычислительных сетей (ЛВС) требует отдельных архитектурных технических решений в целях антивирусной защиты при взаимодействии системы с внешними телекоммуникационными сетями. В особенности это касается взаимодействия с открытой глобальной сетью ИНТЕРНЕТ.

Для того, чтобы воспрепятствовать внедрению вирусов в рабочую (боевую) область ЛВС, которая предназначена для решения задач АС, ЛВС разделяют на две зоны: рабочую и демилитаризованную. Взаимодействие между зонами осуществляется через межсетевой экран, который позволяет реализовать набор правил, определяющих условия прохождения пакетов из одной зоны в другую.

В демилитаризованной зоне размещают почтовый сервер и Web-сервер системы, необходимые автоматизированные рабочие места (АРМ), оснащают их мощными антивирусными средствами и определяют жёсткую антивирусную политику работы в этой зоне. Таким образом, демилитаризованная зона является эффективным комплексным средством предотвращения проникновения вирусов в рабочую зону.