МОДЕЛЬ ИДЕНТИФИКАЦИИ АГРЕССИВНЫХ ПРОГРАММНЫХ ЭЛЕМЕНТОВ

ВВЕДЕНИЕ

Определение агрессивных программных элементов в исследуемом программном средстве может быть осуществлено с помощью некоторой семантической модели, ориентированной на интерпретацию общих свойств программ, предположительно содержащих разрушающие функции. Основной задачей, решаемой такой моделью разрушающего программного средства (РПС), является выявление состояния вычислительного процесса, нарушающего безопасность и целостность программной среды в результате выполнения программы или отдельных ее участков. Кроме того, следует выделить и ряд дополнительных задач, способствующих решению основной задачи:

1) определение аномалий потока управления: «мертвого» (неисполняемого) [1] кода;

2) определение аномалий потока данных: побочного эффекта функций программного средства – изменения значений глобальных переменных в подпрограммах [1][2], неинициализированных переменных.

Исходя из специфики задач будем использовать конструктивный подход в теории семантики языков программирования. В соответствии с конструктивной точкой зрения язык определяется тем действием, которое он оказывает на машину, т. е. языком называется множество таких программ, выполнение которых на машине имеет совершенно определенные последствия. Построим семантическую модель анализа программы, используя основные идеи Венского метода, разработанного сотрудниками Венской лаборатории фирмы IBM [3].

МАТЕРИАЛЫ И МЕТОДЫ

Введем основные соглашения и обозначения.

В общем случае будем использовать символы для обозначения следующих компонент программы:

x – переменные;

v – выражения;

b – логические выражения;

Q – операторы;

C – списки операторов.

Пусть Х – множество всех возможных переменных, а Z – множество всех возможных значений переменных. Каждое из них может быть конечным или счетным. Неопределенное значение Λ также принадлежит Z: Λ ∈ Z.

Состояние памяти s определим как конечную функцию из Х в Z. Множество всех значений памяти обозначим через S, а его элементы – символами s, s₁ и т. д. Множество S включает три подмножества состояний: S_л, S_н, S` – соответственно легитимное, нелегитимное и неустойчивое состояние (одновременное присутствие S_л и S_н).

Введем частичную функцию change:

Change: S × X × Z → S,

такую, что для всех s, s₁, x и z:

s₁ = change (s, x, z) ≡ s₁ (x) = z & s =^× s₁.

Функция change описывает эффект изменения значения переменной х = z, когда машина находится в состоянии s. Эффект заключается в том, что переменной x теперь приписывается значение z, а значения остальных переменных не изменяются.

Семантическую структуру каждого оператора q представим в виде:

q = {f_i; x₁, …, x_n; y₁, …, y_m}, (1)

где f_i – одна из следующих функций (тип оператора):

function q:

x: = v → f₁ (x, v);

b * q → f₂ (b, q);

(C) → f₃ (C).

f₁, f₂, f₃ – выражения, определяющие желаемый результат в каждом случае;

x₁, x₂, …, x_n – множество переменных, получающих новые значения при выполнении оператора q;

y₁, y₂, …, y_m – множество переменных, используемых в операторе q и не изменяющих своего значения.

Условное выражение b может быть записано в виде:

(b → …

d → …).

Если b – истина, то результат берется из первой строчки, а в противном случае – из второй. Пустой оператор обозначим как Ω.

Опишем процесс вычисления программы в терминах модели-вычислителя [4][5]. В этой модели состояние машины не включает состояние «управление» как в модели-интерпретаторе. Состояние «управление», представляющее собой список операторов, которые предстоит выполнить после q, не влияет на семантику состояния s_i , получаемого в результате выполнения q. Модель определяется заданием функции, отображающей программу в ее вычислении. Под вычислением понимается конечная последовательность состояний памяти. Функция имеет следующий вид:

comp: S×Q → S^* (S^* = S_л ⋃ S_н ⋃ S`) (2)

comp: (s, Q) =

function Q:

Λ → (s`)

x: = v → (s; change (s, x, v_s))

b * q → (b_s → comp (s, Q),

d → (s))

(C) → comp (s, C)

Ω → (s).

Модель-вычислитель является основой построения операционной семантики языков программирования. Операционная семантика задается, как уже было показано, определением абстрактного «состояния машины» и смыслом конструкций языка с точки зрения их влияния на состояние, т. е. функции переходов из состояния в состояние:

Comp: S → S.

Уточним содержание понятия состояния памяти. S представляет собой вектор состояния, определяемый совокупностью множеств переменных X. В нашем случае вектор состояния S выглядит следующим образом:

S = {X_д, X_з, X_и, X_п},

где X_д = {x_д1, x_д2, …, х_дn} – множество контролируемых глобальных системных переменных по критерию доступа (системные адреса, таблицы данных и т. п.);

X_з = {x_з1, x_з2, …, х_зm} – множество контролируемых глобальных системных переменных по критерию запуска (значения системных регистров, размера свободной оперативной и виртуальной памяти, появления дополнительных переменных программы и т. п.);

X_и = {x_и1, x_и2, …, х_иw} – множество контролируемых глобальных системных переменных по критерию использования ресурсов среды;

X_п = {x_п1, x_п2, …, х_пt} – множество переменных программы.

Операционное определение исследуемой программы дадим в терминах функции Comp от двух аргументов – текста программы и вектора состояния, представляющего текущее состояние вычислений. Кроме того, введем дополнительно следующие функции:

1. Znach, дающая значение выражения, соответствующего текущему состоянию: Znach: S× V → Z;
2. End, дающая заключительный вектор состояния конечной последовательности состояний.

Подстановку значения в вектор состояния будем записывать следующим образом: если z – это значение, то вектор состояния s [x ← z] определяется как:

s [x ← z] {x} = z,

s [x ← z] {y} = s (y) для всех y ≠ x.

Смысл записи – «присвоить компоненте х вектора s значение z».

Функция Comp определяется для каждого из типов f_i операторов:

Comp (x: = v, s) = s [x ← Znach (v, s)]; (3)

Comp (s_л, s_н; s) = Comp (s_л, s) || Comp (Comp (s_н, s), s);

Comp (s₁; s₂, s) = Comp (s₁, s) || Comp (s₂, End (Comp (s₁, s))),

где || используется для обозначения конкатенации последовательностей состояний. Использование функцией Comp векторов состояний позволяет достаточно просто описать процесс функционирования программного средства.

Таким образом, основное преимущество операционной модели заключается в том, что операционное определение семантики программы может дать приемлемую реализацию [5][6].

РЕЗУЛЬТАТЫ И ИХ ОБСУЖДЕНИЕ

Цель эксперимента: идентификация конструкций, характерных для разрушающих программных средств с последующим формированием множества первичных признаков РПС.

В основе эксперимента лежит гипотеза о том, что разрушающие программные средства и обычные программы отличаются между собой по частоте использования некоторых конструкций применяемого языка программирования [7][8], характерного для человеко-машинных систем, например систем «умный дом», систем оценки уровня информационной экологичности информации в учебном процессе [8] и т. д. Исходя из специфики функций, выполняемых РПС, часть операторов и служебных идентификаторов (операндов), отвечающих за их реализацию, редко используется при написании обычных программ. При этом под обычными программами здесь будем понимать программы, не выполняющие совокупность указанных выше разрушающих функций и не имеющих механизмов исследования и маскировки в программной среде. Выявление такого различия позволяет определить первичные признаки РПС в программах, ориентируясь на которые можно повысить эффективность поиска, при этом получая минимальные временные затраты. От определения множества первичных признаков зависит результат идентификации разрушающих функций в программе.

План проведенного эксперимента:

1. Выбор языка программирования, конструкции которого будут контролироваться в процессе анализа программ.
2. Получение статистики применения операторов в программах на заданном множестве разрушающих программных средств и случайной выборки обычных программ.
3. Обработка результатов анализа программ.
4. Формирование множества первичных признаков – операторов программ.

Результаты выполнения программы характеризует гистограмма (рисунок), отображающая среднее арифметическое частот реализаций тех операторов, которые наиболее часто встречались в РПС по сравнению с обычными программами.

Столбцы диаграммы темного цвета характеризуют результаты эксперимента на множестве разрушающих программных средств. Столбцы светлого тона – соответственно результаты эксперимента на обычных программных средствах.

Таким образом, эксперимент подтвердил предположение из [9] о том, что существует различие в реализации на операторном уровне между разрушающими программными средствами и обычными программами. Следует полагать, что данные операторы являются основой построения разрушающих программных конструкций и могут быть использованы в качестве «опорных» точек в методике идентификации программных закладок.

ЗАКЛЮЧЕНИЕ

1. Разработанная методика идентификации программных закладок позволяет определять в исходных текстах программ неизвестные разрушающие функции (агрессивные программные элементы) на основе описанной логической системы распознавания.
2. Предложенные методы семантического анализа программы, ее моделирования в рамках квантового представления являются универсальными с точки зрения стилистики программ, их реализации на любых языках программирования, особенностей ВС.
3. Эксперимент с контрольной группой разрушающих программных средств позволил сформировать множество первичных признаков РПС и показал отличительные особенности реализации разрушающих функций в РПС.