ПРИКАСПИЙСКИЙ ЖУРНАЛ

УПРАВЛЕНИЕ И ВЫСОКИЕ ТЕХНОЛОГИИ

Выявление поведенческих признаков работы вируса-шифровальщика на основе анализа изменений значений параметров компьютерной системы

Читать Назаров А. В., Марьенков А. Н., Калиев А. Б. Выявление поведенческих признаков работы вируса-шифровальщика на основе анализа изменений значений параметров компьютерной системы // Прикаспийский журнал:  управление и высокие технологии. — 2018. — №1. — Стр. 196-204.

Назаров А. В. - студент, Астраханский государственный университет, 414056, Российская Федерация, г. Астрахань, ул. Татищева, 20а, anton_25.10@mail.ru

Марьенков А. Н. - кандидат технических наук, доцент, Астраханский государственный университет, 414056, Российская Федерация, г. Астрахань, ул. Татищева, 20а, marenkovan17@gmail.com

Калиев А. Б. - студент, Астраханский государственный университет, 414056, Российская Федерация, г. Астрахань, ул. Татищева, 20а, arthur19970824@gmail.com

Обоснованы актуальность и практическая значимость задачи выявления признаков работы вирусов-шифровальщиков в компьютерных системах. Описаны основные этапы заражения компьютерных систем со стороны вирусов-шифровальщиков. Показана низкая эффективность существующих методов поиска вредоносного программного обеспечения в отношении выявления новых версий вирусов-шифровальщиков, которые еще не исследованы, и информация о которых не внесена в базы антивирусных программных средств. Для выявления таких вирусов, которые еще не обнаруживаются существующими антивирусными программными средствами, предложен новый подход. Он основан на эвристическом анализе изменений параметров компьютерной системы в момент осуществления на нее атаки со стороны вирусов-шифровальщиков. Подробно описаны результаты практических экспериментов, заключавшихся в изучении работы вирусов и их влиянии на различные параметры компьютерной системы. Целью экспериментов являлось выявление тех параметров, величины которых значимо изменяются под влиянием работы вирусов-шифровальщиков по сравнению с их значениями при нормальном функционировании компьютерной системы. В частности, были исследованы параметры работы физического и логического дисков, памяти, процессора, общие системные параметры (всего 197 параметров). Статистическая значимость различий для исследованных параметров была оценена с помощью критериев Колмогорова - Смирнова и t-критерия Стьюдента. Обосновано, что те параметры компьютерной системы, значения которых при работе вирусов-шиф-ровальщиков изменяются статистически значимо (по указанным выше критериям), могут быть использованы при мониторинге функционирования компьютерной системы; для выявления признаков начавшегося шифрования жесткого диска такими вирусами, которые не обнаруживаются антивирусными программными средствами; прерывания на ранних этапах процесса заражения компьютерной системы со стороны вирусов-шиф-ровальщиков.

Ключевые слова: компьютерная система, информационная безопасность вредоносные программы, выявление вирусов, вирусы-шифровальщики, поведенческие признаки, эвристический анализ, вычислительные эксперименты, статистическая значимость, computer system, information security,