Защита от вирусов в динамике процессов
Предотвратить нежелательные действия вируса в ходе функционирования АС (репродуцирование, разрушения) можно, используя различные меры ограничения и изоляции:
· защиту от записи;
· разделение на логические диски;
· защиту от НСД и т.д.
Однако из-за недостаточной надёжности этих методов чаще разрабатывают специализированные программы-мониторы и реализуют технико-методические решения построения АС в целом.
Программы-сторожа. Это резидентные программы, которые ставят своей целью не пропустить вирус в систему, перехватить различные «подозрительные» действия, используемые вирусами для репродуцирования и разрушений.
Они контролируют обращения к дискам с помощью средств операционной системы, запрещают производить записи в определённую группу файлов, в некоторые сектора дисков, выполняют другие системные функции.
Фактически, это попытка добавить в операционную систему отсутствующие средства защиты, усилить их.
Программы такого рода имеют ряд слабостей:
· вирусы могут обходить их, обращаясь непосредственно к системе ввода/вывода (BIOS) минуя операционную систему;
· действия, которые программы-сторожа отслеживают и блокируют, являются стандартными для различных программ, что порождает множество сообщений, из которых трудно выделить сообщения, обусловленные действиями вируса;
· вирус сам может действовать как программа-сторож, перехватывая запросы со стороны программы защиты на опасные действия (особенно это касается резидентных вирусов).
Интеллектуальные антивирусные методики и средства. Недостатки методов и средств определения заражения вирусами в статике процессов (программы ревизоры, детекторы и фаги) и динамического мониторинга с помощью программ-сторожей потребовали поиска более совершенных подходов к построению антивирусных систем на основании соответствующих методик и технических решений по построению АС в целом.
При использовании ситуационной методики обнаружения вирусов их обнаружение осуществляется на основе оценки общей картины поведения системы в целом или её части. При возникновении аномалий, которые не свойственны нормальному поведению системы или компьютера (нештатные ситуации, присущие заражению вирусом), включаются защитные механизмы.
В качестве средств обнаружения аномалий используются программы-агенты, которые эмулируют существующие части системы (фиктивные процессы, фиктивные файлы .doc, .exe). В случае появления вируса в системе возникают возмущения, которые определяются программами-агентами. Сама программа-агент может быть источником возмущения (например, заражённый вирусом фиктивный файл .doc). Из зафиксированных возмущений выявляется их первопричина.
Когда источником возмущения является сама программа-агент, антивирусная система имеет возможность провести её анализ и выявить изменения, на основе которых уже классическими средствами выявляются заражённые объекты системы. Затем программа-агент уничтожается.
Ситуационная методика может быть функционально расширена путём введения памяти. Организуется память на виды возмущения системы и исследование изменений программ-агентов. Повышается адаптивность в отношении вновь появляющихся вирусов, в результате чего антивирусная система может реагировать на вирусы, ранее ей не известные.
В реализации подобного вида методик существуют сложности, связанные с человеческим фактором. Имеется постоянный источник возмущения – человек (пользователь, оператор и т.д.). Поэтому для её эффективной работы необходимо встраивать анализатор поведенческих функций человека.
Демилитаризованные зоны. Распределённая обработка информации при клиент-серверных технологиях на базе локальных вычислительных сетей (ЛВС) требует отдельных архитектурных технических решений в целях антивирусной защиты при взаимодействии системы с внешними телекоммуникационными сетями. В особенности это касается взаимодействия с открытой глобальной сетью ИНТЕРНЕТ.
Для того, чтобы воспрепятствовать внедрению вирусов в рабочую (боевую) область ЛВС, которая предназначена для решения задач АС, ЛВС разделяют на две зоны: рабочую и демилитаризованную. Взаимодействие между зонами осуществляется через межсетевой экран, который позволяет реализовать набор правил, определяющих условия прохождения пакетов из одной зоны в другую.
В демилитаризованной зоне размещают почтовый сервер и Web-сервер системы, необходимые автоматизированные рабочие места (АРМ), оснащают их мощными антивирусными средствами и определяют жёсткую антивирусную политику работы в этой зоне. Таким образом, демилитаризованная зона является эффективным комплексным средством предотвращения проникновения вирусов в рабочую зону.
Дата добавления: 2016-04-14; просмотров: 812;