способ анализа вредоносной активности в сети интернет, выявления вредоносных узлов сети и ближайших узлов-посредников
Классы МПК: | |
Автор(ы): | Голованов Сергей Юрьевич (RU) |
Патентообладатель(и): | Закрытое акционерное общество "Лаборатория Касперского" (RU) |
Приоритеты: |
подача заявки:
2012-04-06 публикация патента:
20.07.2014 |
Настоящее изобретение относится к антивирусной области, а именно к способам выявления инфраструктуры злоумышленников. Технический результат - выявление инфраструктуры злоумышленника за счет исследования связей между узлами сети, построения графа связи между узлами сети и автоматического анализа силы связи между узлами. Способ обнаружения узлов-посредников в вычислительной сети, через которое распространяется вредоносное ПО, при этом узлы-посредники подключены к сети Интернет, к которой также подключены вредоносные узлы. В данном способе используется комплекс вычислительных средств, сервисы выяснения маршрута следования трафика в сети, сервис WHOIS доступа к регистрационной информации о владельце домена или IP-адреса с последующим построением графа распространения вредоносного ПО от вредоносного сайта по информационным каналам связи, выполняют оценку интенсивности использования канала связи для распространения вредоносного ПО, выявляют и блокируют промежуточный узел-посредник, используемый для неправомерных действий, дополнительно предусмотрена разблокировка узла-посредника, если со временем значительно снижается интенсивность распространения вредоносного ПО или перестает представлять угрозу сайт, который непосредственно содержал вредоносное ПО. 16 з.п. Ф-лы, 9 ил., 3 табл.
Формула изобретения
1. Способ обнаружения узлов-посредников в вычислительной сети, через которые распространяется вредоносное ПО, при этом узлы-посредники подключены к сети Интернет, к которой также подключены вредоносные узлы, способ состоит из этапов:
а) в контролируемой среде исполнения получают URL адрес для анализа;
б) в контролируемой среде исполнения анализируют URL адрес путем запроса объекта информации по URL адресу посредством сетевого интерфейса с последующей загрузкой объекта информации с узла сети по полученному URL адресу;
в) действия по загрузке объекта информации из сети записывают в журнал событий;
г) исследуют URL адрес путем получения информации из сервисов, доступных в сети, полученные ответы на запросы к сервисам сохраняют в таблицу результатов исследования URL адресов, заполняют таблицу результатов исследования URL адресов с использованием журнала событий;
д) повторяют этапы а)-г) по крайней мере один раз;
е) если в контролируемой среде после исследования сайта по указанному URL не обнаружено вредоносных файлов и изменений системного реестра, то сайт считается безопасным;
ж) иначе сайт по указанному URL распространяет вредоносное ПО и является вредоносным узлом сети, строят граф распространения вредоносных данных от вредоносного узла к контролируемой среде исполнения, согласно информации из таблицы результатов исследования URL, при этом узлы графа - это адреса промежуточных узлов сети, а дуги - канал связи между узлами, имеющий вес, соответствующий частоте использования канала для передачи вредоносного трафика от узла сети, который известен как вредоносный;
з) обнаруживают узел-посредник, через который распространяется вредоносное ПО, если частота использования канала связи от известного вредоносного узла сети к узлу-посреднику превышает соответствующую частоту использования канала связи для передачи вредоносного трафика, заносят в антифишинговую базу данных адрес обнаруженного узла-посредника, соединенного с каналом связи, используемым для передачи вредоносного трафика от узла сети, который известен как вредоносный;
и) рекурсивно повторяют этап з) обнаружения узлов-посредников в сети и заносят в антифишинговую базу данных адрес узла-посредника, связанного с каналом связи, используемым для передачи вредоносного трафика от ранее обнаруженного узла-посредника.
2. Способ по п.1 формулы, в котором контролируемая среда исполнения реализована в виртуальной машине, или в песочнице на компьютере пользователя, или межсетевом устройстве - маршрутизаторе или межсетевом экране.
3. Способ по п.1 формулы, в котором на этапе г) используют по меньшей мере один из сервисов traceroute, WHOIS, nslookup.
4. Способ по п.1 формулы, в котором на этапе г) запись в таблице результатов исследования URL содержит поля «Доменное имя», «IР адреса», «Е-mail адрес владельца», «Маршрут traceroute».
5. Способ по п.1 формулы, в котором контролируемая среда исполнения является виртуальной машиной.
6. Способ по п.5 формулы, в котором после этапа г) дополнительно выполняют этапы:
делают снимок результирующего состояния виртуальной машины и выявляют отличия от исходного состояния виртуальной машины;
если выявлены характерные для вредоносного ПО отличия результирующего состояния виртуальной машины, узел сети помечается как вредоносный.
7. Способ по п.1 формулы, в котором этапы з), и) дополнительно используют критерий оценки частоты использования канала для передачи вредоносного трафика, который заключается в минимум десятикратном посещении исследуемого URL адреса и в фиксации не менее 90% случаев передачи через канал связи вредоносного трафика.
8. Способ по п.1 формулы, в котором снимок состояния виртуальной машины отражает все изменения системного диска, системного реестра и оперативной памяти на тот момент времени, когда был сделан снимок состояния виртуальной машины.
9. Способ по п.1 формулы, в котором если в виртуальной машине после исследования сайта по указанному URL не обнаружено вредоносных файлов и изменений системного реестра, то сайт считается безопасным.
10. Способ по п.4 формулы, в котором после этапа загрузки страницы с узла сети в виртуальной машине выжидают некоторое время для того, чтобы вредоносное ПО проявило себя путем записи новых файлов, или изменения веток системного реестра, или изменения оперативной памяти.
11. Способ по п.3 формулы, в котором на этапе ж) граф распространения вредоносных данных от вредоносного сайта к контролируемой среде исполнения строят путем соединяя маршрутов из поля «Маршрут traceroute» таблицы результатов исследования URL к одному и тому же вредоносному сайту.
12. Способ по п.1 формулы, в котором после загрузки объекта с узла сети загружают все ссылки, указанные в загруженном объекте.
13. Способ по п.12 формулы, в котором все ссылки, указанные в загруженном объекте, загружают рекурсивно с глубиной вложенности 5 переходов по ссылкам.
14. Способ по п.12 формулы, в котором на этапе ж) граф распространения вредоносных данных от вредоносного узла сети к контролируемой среде исполнения строят путем соединения маршрутов переходов и переадресаций, приведших к посещению узла сети, известного как вредоносный.
15. Способ по п.3 формулы, в котором дополнительно после этапа и) из таблицы результатов исследования URL получают E-mail адреса владельцев адресов всех выявленных узлов-посредников, занесенных в антифишинговую базу данных, после чего дополнительно приравниваются к узлам-посредникам также и все остальные узлы, имеющие совпадающий E-mail адреса владельца, заносят в антифишинговую базу данных адрес узла-посредника.
16. Способ по любому из пп.1-15 формулы, в котором дополнительно клиенты антифишинговой базы данных блокируют весь сетевой трафик, направленный к любому из адресов узлов-посредников.
17. Способ по п.16 формулы, в котором дополнительно предусмотрена разблокировка адресов узлов-посредников и удаление соответствующей записи в антифишинговой базе данных, если снизилась частота использования канала связи для распространения вредоносного ПО, опускается ниже заданного порога, или перестал представлять угрозу сайт, с которого распространялось вредоносное ПО.
Описание изобретения к патенту
Область техники
Настоящее изобретение относится к антивирусной области, а именно к способам выявления вредоносных узлов в сети и узлов-посредников, через которые происходит распространение подозрительных программ.
Уровень техники
Современная антивирусная индустрия сталкивается с постоянным противодействием злоумышленников на техническом уровне. Любые методы, способы и системы обнаружения вредоносных объектов анализируются злоумышленниками с целью затруднить обнаружение или блокировать системы защиты. Таким образом, постоянно изменяются пути распространения вредоносного программного обеспечения (ПО), используются новые уязвимости для закрепления в скомпрометированной системе.
Существуют примеры неправомерного использования полезного ресурса сети, например популярного сайта средств массовой информации (СМИ) в целях распространения вредоносного ПО. Допустим, в руки злоумышленника попали данные учетной записи (логин, пароль) редактора сайта СМИ. Злоумышленник периодически вносит вредоносные изменения в материалы сайта. При этом посетитель сайта СМИ переадресовывается на другой ресурс, с которого происходит загрузка вредоносного ПО на компьютер посетителя и заражение компьютера. Спустя пару часов злоумышленник восстанавливает исходное состояние материалов сайта СМИ. После чего становится невозможным воспроизвести вектор атаки на посетителей сайта. Дополнительно ситуация осложняется тем, что антивирусные средства компьютеров посетителей за время нахождения вредоносной ссылки на сайте СМИ автоматически категоризируют сайт СМИ как фишинговый ресурс и добавляют соответствующий адрес в список запрещенных. Однако не предусмотрены автоматические средства исключения адреса сайта из списка запрещенных ресурсов. В силу чего вручную исключенный из запрещенного списка ресурс на следующий день вновь будет помещен в список как фишинговый ресурс из-за изменений материалов сайта злоумышленником.
В опубликованной заявке US 20080244744 A1 описан способ сбора дополнительной информации об узлах вычислительной сети с последующим выявлением вредоносных узлов сети. Способ предусматривает проверку сетевого трафика от узлов сети к веб-сайту. Проверка трафика позволяет выявить вредоносный узел, подключенный к сети. Выполняют дополнительное исследование вредоносного узла сети путем сбора дополнительной информации, такой как данные аппаратного обеспечения вредоносного узла. Собранную информацию сохраняют в базу данных. Впоследствии блокируют другой узел сети, имеющий другой IP адрес и обращающийся к другому веб-сайту, если такой другой узел сети имеет те же параметры аппаратного обеспечения, как у вредоносного узла из базы данных.
Предложенный вариант является эффективным инструментом в борьбе с бот-сетями, как утверждают авторы на страницах описания. Однако недостатком системы борьбы с бот-сетями является то, что следует противостоять попыткам построения бот-сети. Таким образом, является предпочтительным противостоять источнику заражения вредоносным ПО.
Материалы заявки раскрывают способ, который не подвержен недостаткам известных ранее решений.
Раскрытие изобретения
Настоящее изобретение реализует способ выявления узлов-посредников в вычислительной сети, через которые осуществляется распространение вредоносного ПО. Технический результат, заключающийся в выявлении компьютерных систем, подконтрольных злоумышленнику, достигается за счет исследования связей между узлами сети, построения графа связи между узлами сети и автоматического анализа числа использований канала связи между узлами для передачи информации.
Компьютерные системы, подконтрольные злоумышленнику - система вычислительных сетей, компьютеров, подсистем, объектов и средств, подконтрольных злоумышленнику, обеспечивающих функционирование и развитие информационного пространства, контролируемого злоумышленником. В контексте изобретения это понятие включает в себя в первую очередь тот набор серверов и узлов, которые имеют сетевой интерфейс с сетевым адресом, участвуют в решении противозаконных задач и других противозаконных действиях, осуществляемых злоумышленником с помощью этих объектов и средств. Выявление инфраструктуры злоумышленника подразумевает определение адреса сетевого интерфейса объекта инфраструктуры злоумышленника. После чего указанный адрес, который используется для доступа в сеть и выполнения задач злоумышленника, блокируют для доступа, что обеспечивает невозможность распространения вредоносных программ.
Для работы способа необходимо собрать исходные данные для анализа узлов сети. Объективность исследования достигается за счет использования различных источников информации, имеющих точку доступа в сеть через различных провайдеров в разных странах, физически или логически обособленных частях вычислительной сети. Поскольку информация о маршрутизации в сети является динамической, т.е. постоянно меняется, то нужно стремиться иметь источники информации во всех сетях, подключенных к Интернет. Такими источниками исходной информации для анализа могут выступать виртуальные машины, специализированные агенты на компьютерах пользователей (осуществляющих предварительную проверку узлов сети при запросе пользователя), межсетевые экраны (устройства защиты сетей от неправомерных действий, нежелательного трафика и пр.). Указанные средства представляют собой контролируемую среду исполнения и способны обнаруживать вредоносное ПО, имеют доступ к адресам отправителя и получателя сетевых пакетов, что позволяет собрать дополнительную информацию об источнике распространения нежелательного или вредоносного ПО, например записать маршрут следования трафика до вредоносного узла или выяснить в реестре доменов информацию о хозяине адреса узла сети. Контролируемая среда исполнения получает URL адрес для анализа, который заключается в запросе объекта информации по URL адресу посредством сетевого интерфейса с последующей загрузкой объекта информации с узла сети по URL адресу. Действия по загрузке объекта информации из сети записывают в журнал событий. Дополнительно исследуют URL адрес путем получения информации из сервисов, доступных в сети. Полученные ответы на запросы к сервисам сохраняют в таблицу результатов исследования URL адресов, заполняют таблицу результатов исследования URL адресов с использованием журнала событий. При необходимости повторяют анализ объекта информации по URL адресу и исследование того же URL адреса или следующего в очереди URL адреса.
Упомянутые данные собирают для анализа в центральном сервере в виде таблицы, содержащей, по крайней мере, доменное имя узла; IP адреса, соответствующие доменному имени; e-mail адреса, на которые зарегистрирован домен согласно реестру доменов; маршрут следования трафика. Если в контролируемой среде после исследования сайта по указанному URL не обнаружено вредоносных файлов и изменений системного реестра, то сайт считается безопасным. Иначе сайт по указанному URL распространяет вредоносное ПО и является вредоносным узлом сети. Строят граф распространения вредоносных данных от вредоносного узла к контролируемой среде исполнения. Графы анализируют с помощью эвристических алгоритмов и выявляют используемые каналы связи между узлами сети. Обнаружение узла-посредника состоит в автоматической блокировке тех из узлов, которые связаны с вредоносными узлами сети, т.е. являются узлами-посредниками. При необходимости рекурсивно повторяют обнаружение следующего в цепочке узла-посредника, так, если бы обнаруженный на предыдущей итерации узел-посредник был вредоносным и распространял нежелательное вредоносное ПО. Если со временем заблокированный узел-посредник перестает использоваться для распространения нежелательного или вредоносного ПО, то автоматически снимают блокировку узла, более не связанного с вредоносным узлом.
Краткое описание чертежей
Фиг.1 отображает примерную компьютерную систему пользователя.
Фиг.2 отображает блок-диаграмму вычислительной системы общего назначения, которая реализует основные функциональные модули в соответствии с предпочтительным вариантом изобретения.
Фиг.3 отображает пример построения маршрутов следования данных из двух разных точек входа в сеть Интернет (Фиг.3а - Австралия: telstra.net; Фиг.3б - Италия: sysnet.it) к сайту www.kaspersky.com.
Фиг.4 отображает пример объединения маршрутов в графы для анализа количества выявленных фактов распространения вредоносного ПО.
Фиг.5 отображает последовательность выполнения способа при проверке принадлежности узла сети злоумышленнику по регистрационной информации, т.е. E-mail, который используется злоумышленником для управления доменной записью.
Фиг.6 отображает блок-диаграмму реализации модуля анализа, который приведен в общем виде на Фиг.2.
Фиг.7 отображает пример графа, построенного из маршрутов, где дуги представляют каналы связи, имеющие вес в соответствии с количеством выявленных фактов распространения вредоносного ПО.
Фиг.8 отображает примерный граф обследования переходов по ссылкам и автоматических переадресаций с сайта www.kaspersky.com.
Фиг.9 отображает рекурсивный алгоритм блокирования узлов-посредников.
Осуществление изобретения
Система реализована на основе компьютеров клиентов и системы серверов, объединенных между собой вычислительной сетью. При этом система серверов обеспечивает функционирование облака.
Предпочтительным вариантом реализации изобретения является организация контролируемых средств исполнения программ. Контролируемой средой исполнения является виртуальная машина с установленной операционной системой (ОС), песочница (sandbox), эмулятор или любая другая среда исполнения, собирающая информацию о действиях, которые выполнены приложением в компьютере.
Рассмотрим пример работы системы с контролируемой средой исполнения в виде виртуальных машин, при этом в ОС и программном обеспечении (ПО) виртуальной машины не установлены критические обновления безопасности. В одном из вариантов реализации на виртуальные машины устанавливают те из критических обновлений, о которых известно, что они усложняют проникновение в систему, но оставляют возможность проникновения в компьютерную систему аналогичным или другим векторам атаки. В одном из вариантов реализации на виртуальные машины устанавливают все доступные обновления безопасности. На вход виртуальной машины передают список URL-адресов для исследования. Список URL-адресов для исследования получают из наиболее часто посещаемых страниц сети Интернет согласно статистике любой работающей системы поиска в сети. Альтернативным вариантом получения списков URL-адресов для исследования является получение от основных регистраторов (reg.ru, verisigninc.com и т.п.) дифференциальных обновлений изменений в списках зарегистрированных доменных адресов или получение данных о подозрительных посещаемых страницах от компонента антивирусной защиты «Проверка ссылок» (Web Tool Bar) антивирусного продукта. При помощи веб-браузера в виртуальной машине загружают последовательно все сайты, которые находятся в списке URL-адресов для исследования. Дополнительно предусмотрена возможность рекурсивной загрузки ссылок, указанных на загруженной веб-странице по заданному URL-адресу с заданной глубиной вложенности, например до 5 переходов по ссылкам. Все выполненные действия по загрузке данных из сети записывают в журнал событий для каждой отдельной виртуальной машины. В таком режиме виртуальная машина работает некоторое время, 5-10 минут, после чего делают снимок состояния виртуального системного диска, системного реестра и оперативной памяти. Виртуальную машину приводят в исходное состояние и перезапускают с поданным на вход следующим URL-адресом ресурса в сети для исследования. Выполненные снимки состояния виртуального системного диска, системного реестра и оперативной памяти сравнивают с исходным их состоянием. Если исследуемый сайт по указанному URL содержит вредоносное ПО, то на виртуальной машине без установленных критических обновлений безопасности можно обнаружить новые исполняемые файлы, программные модули или изменение в ветках системного реестра. Сайт считается безопасным, если в виртуальной машине после исследования сайта по указанному URL не обнаружено вредоносных файлов и изменений системного реестра.
По итогам исследования списка URL-адресов составляется таблица результатов исследования URL, содержащая кроме исследованных URL адресов так же и URL-адреса из ссылок в материалах исходного сайта (см. таблицу № 1). Каждая запись содержит, по крайней мере: доменное имя узла в сети; указание о содержании вредоносного ПО (т.е. выявленный факт появления в виртуальной машине нежелательных файлов или изменений в системном реестре); IP-адреса, соответствующие указанному доменному имени, полученные с использованием поиска на сервере имен; информация об e-mail владельца домена согласно регистрационной записи в реестре доменов; и IP-адреса промежуточных узлов по маршруту следования данных в сети к сайту по указанному URL. Указанная информация собирается либо непосредственно виртуальной машиной, либо отдельными исследовательскими модулями с использованием общедоступных сервисов. Доступ к информации сервера имен осуществляется с использованием утилиты nslookup (англ. name server lookup поиск на сервере имен - утилита, предоставляющая пользователю интерфейс командной строки для обращения к системе DNS). E-mail владельца домена получают путем использования сервиса WHOIS - сетевого протокола прикладного уровня, базирующегося на протоколе TCP (порт 43), который применяют для получения регистрационных данных о владельцах доменных имен, IP-адресов и автономных систем. IP-адреса промежуточных узлов по маршруту следования данных в сети к сайту по указанному URL получают путем использования утилит tracert или traceroute.
Таблица № 1 | ||||
Результаты исследования URL | ||||
№ | Доменное имя | IP-адреса | E-mail адрес владельца | Маршрут traceroute |
1 | Kaspersky.com | 91.103.64.139, | ripencc@kaspersky.com | 212.102.36.3, |
91.103.64.90, | 151.11.91.1, | |||
91.103.64.138, | 151.5.150.5, | |||
91.103.64.6, | 151.6.65.194, | |||
91.103.64.140 | 151.6.7.233, | |||
151.6.1.118, | ||||
151.6.1.210, | ||||
149.6.152.205, | ||||
130.117.3.17, | ||||
130.117.0.193, | ||||
130.117.2.41, | ||||
154.54.37.82, | ||||
154.54.28.93, | ||||
154.54.7.213, | ||||
38.104.159.226, | ||||
38.117.98.208 | ||||
2 |
Traceroute - это служебная компьютерная утилита, предназначенная для определения маршрутов следования данных в сетях TCP/IP. Traceroute основана на протоколе ICMP. Программа traceroute выполняет отправку данных указанному узлу сети, при этом отображая сведения обо всех промежуточных маршрутизаторах, через которые прошли данные на пути к целевому узлу. В случае проблем при доставке данных до какого-либо узла программа позволяет определить, на каком именно участке сети возникли неполадки (см. Таблицы № 2, 3, Фиг.1а, б). Таблица № 2 отражает результат определения маршрута из Австралии (сайт Telstra.net) до сайта www.kaspersky.com[91.103.64.6].
Таблица № 2 | |
Результат определения маршрута из Австралии (сайт Telstra.net) до сайта www.kaspersky.com[91.103.64.6] | |
№ | http7/http://www.telstra net/cqi-bin/trace?91.103 64.6 |
Tracing route to kaspersky.com [91.103.64.6] | |
over a maximum of 30 hops: | |
1 | http://TenGigabitEthernetO-12-0-2.exi-corel.Melbourne.telstra.net (203.50.80.1) 4 msec 0 msec 4 msec |
2 | Bundle-Pos3.chw-core2.Sydney.telstra.net (203.50.11.14) 16 msec 16 msec 16 msec |
3 | Bundle-Ether1.oxf-gw2.Sydney.telstra.net (203.50.6.90) 16 msec 16 msec 16 msec |
4 | 203.50.13.130 16 msec 16 msec 16 msec |
5 | i-0-3-2-0.tlot-core01.bx.reach.com (202.84.140.225) [AS 4637] 244 msec 248 msec 248 msec |
6 | i-1-1.eqla01.bi.reach.com (202.84.251.194) [AS 4637] 308 msec 312 msec 308 msec |
7 | cogent-peer.eqla01.pr.reach.com (134.159.63.198) [AS 4637] 204 msec 204 msec 216 msec |
8 | te0-3-0-5.mpd22.lax01.atlas.cogentco.com (154.54.44.141)248 msec |
9 | te0-1-0-6.mpd21.iah01.atlas.cogentco.com (154.54.5.101) 240 msec |
10 | te9-3.mpd01.dfw01.atlas.cogentco.com (154.54.25.97) 344 msec |
11 | te0-3-0-0.mpd21.mci01.atlas.cogentco.com (154.54.3.18) 256 msec |
12 | te0-0-0-3.mpd21.ord01.atlas.cogentco.com (154.54.2.234) 376 msec |
13 | te0-2-0-2.mpd21.yyz02.atlas.cogentco.com (154.54.27.250) 376 msec |
14 | 38.104.159.226 396 msec 392 msec 384 msec |
15 | 91.103.64.6 128 msec 133 msec 130 msec |
Согласно Таблице № 3 все промежуточные узлы от сайта sysnet.it до сайта www.kaspersky.com успешно ответили на запрос. На 16 итерации получен ответ от узла с IP-адресом 38.117.98.208, который обеспечивает работу сайта для европейского направления.
Таблица № 3 | ||||
Результат определения маршрута от сайта sysnet.it до сайта kaspersky.com [38.117.98.208] | ||||
http://www.svsnet.it/cqi-bin/traceroute. cgi?dominio=kaspersky.com | ||||
Traceroute per http://kaspersky.com: trcsys to http://kasperskv.com (38.117.98.208), 30 hops max; 40 byte packets | ||||
1 | bgp2 (212.102.36.3) | 0.207 ms | 0.176 ms | 0.238 ms |
2 | 151.11.91.1 (151.11.91.1) | 0.904 ms | 0.933 ms | 0.917 ms |
3 | 151.5.150.5 (151.5.150.5) | 9.177 ms | 9.161 ms | 9.172 ms |
4 | FICI-B01-Ge2-0.71.wind.it (151.6.65.194) | 10.429 ms | 9.262 ms | 13.041 ms |
5 | 151.6.7.233 (151.6.7.233) | 18.927 ms | 18.922 ms | 20.231 ms |
6 | 151.6.1.118 (151.6.1.118) | 32.155 ms | 24.905 ms | 28.050 ms |
7 | 151.6.1.210 (151.6.1.210) | 45.889 ms | 28.482 ms | 43.160 ms |
8 | gi9-6.ccr01.mil01.atlas.cogentco.com (149.6.152.205) | 40.991 ms | 42.597 ms | 45.717 ms |
9 | te2-2.ccr01.str01.atlas.cogentco.com (130.117.3.17) | 33.623 ms | 34.743 ms | 31.874 ms |
10 | te0-0-0-2.mpd21.fra03.atlas.cogentco.com (130.117.0.193) | 36.494 ms | 36.307 ms | 36.742 ms |
11 | te0-3-0-2.mpd21.ams03.atlas.cogentco.com (130.117.2.41) | 47.372 ms | 69.952 ms | 83.358 ms |
12 | te0-1-0-7.ccr21.lpl01.atlas.cogentco.com (154.54.37.82) | 141.664 ms | 56.299 ms | 56.711 ms |
13 | te0-0-0-4.ccr21.ymq02.atlas.cogentco.com (154.54.28.93) | 124.991 ms | 123.853 ms | 123.844 ms |
14 | te0-2-0-7.mpd21.yyz02.atlas.cogentco.com (154.54.7.213) | 132.376 ms | 129.581 ms | 131.348 ms |
15 | 38.104.159.226 (38.104.159.226) | 148.488 ms | 147.103 ms | 147.491 ms |
16 | 38.117.98.208 (38.117.98.208) | 132.555 ms | 130.087 ms | 130.849 ms |
На Фиг.2 отображена блок-схема функциональных модулей системы анализа сети 200, которая защищает распространение вредоносного контента через вычислительную сеть. Система сбора информации использует контролируемую среду исполнения 202 программ для сбора информации о топологии сети и об источниках распространения вредоносного ПО.
Среда исполнения 202 - это устройство, состоящее из компонент или ряда компонент, реализованных в реальных устройствах. Примером таких устройств могут быть интегральные схемы специального назначения или программируемые логические интегральные схемы в комбинации с программным обеспечением. Таким образом, каждый модуль может быть реализован в нескольких вариантах, например с использованием различных архитектур процессоров. Приведенные примеры реализации не являются ограничивающими, а задуманный для исполнения системой функционал может быть исполнен на различной элементной базе.
Следует понимать, что контролируемые среды исполнения 202 установлены в различных вычислительных системах и возможно установить в различные вычислительные сети и подсети различных географических местоположений. Каждая контролируемая среда исполнения 202 способна работать автономно. При этом контролируемая среда исполнения 202 получает список 206 URL-адресов для исследования. Список 206 URL-адресов для исследования состоит из адресов, подозреваемых в распространении вредоносного ПО.
В контролируемой среде 202 модуль загрузки 204 последовательно загружает или просматривает данные с хостов, которые перечислены в списке 206 URL-адресов для исследования. Дополнительно предусмотрена возможность рекурсивной загрузки всех ссылок, указанных на загруженной веб-странице по заданному URL-адресу с заданной глубиной вложенности, например до 5 переходов по ссылкам. Все выполненные действия по загрузке данных из сети записывают в таблицу 212 результатов исследования для каждой отдельной контролируемой среды исполнения.
В одном из вариантов реализации модуль настройки безопасности 218 использует данные антифишинговой базы данных 216 для настройки системы защиты 220. Примером реализации защитных мер могут служить такие системы защиты 220, как: фильтры пути к объектам сети (которые блокируют доступ к ресурсам по заданной в антифишинговой базе данных маске) и фильтры адресов ресурсов сети (которые блокируют доступ к узлу сети при совпадении формализованного адреса ресурса сети с записью в антифишинговой базе данных 216).
В альтернативном варианте формирования таблицы результатов исследования URL в качестве контролируемой среды исполнения используются специализированные агенты на компьютерах пользователей, осуществляющие предварительную проверку узлов сети при запросе пользователя. При этом в таблицу результатов исследования URL, которая хранится на центральном сервере, отправляются данные о вредоносных страницах, доменное имя и IP-адрес узла сети, содержащий вредоносное ПО. Недостающая информация, необходимая для заполнения таблицы 212 результатов исследования URL, собирается центральным сервером или облаком 200 аналогично тому, как было описано выше.
Информация о маршрутах следования трафика от одного из узлов сети к разным пользователям объединяется, и формируется граф со взвешенными дугами. Вес дуги означает количество раз, которое данный канал связи между узлами сети был использован для передачи вредоносного ПО или для доступа к известному вредоносному ресурсу (см. Фиг.4).
Возможен вариант, в котором данные об обнаруженных вредоносных страницах собирают с помощью межсетевого экрана. При этом в таблицу результатов исследования URL, которая хранится на центральном сервере, отправляются данные о вредоносных страницах, доменное имя и IP-адрес узла сети, содержащий вредоносное ПО. Недостающая информация, необходимая для заполнения таблицы 212 результатов исследования URL, собирается центральным сервером или облаком 200 аналогично тому, как было описано выше. При необходимости системный администратор сети может увеличить степень защиты, если включит на межсетевом экране режим исследования узла 210, т.е. сбора всей информации, в том числе использование сервисов WHOIS, nslookup, traceroute. Собранная таким образом информация для таблицы результатов исследования URL будет в большей степени соответствовать действительной архитектуре сети.
Ниже приведен примерный вид регистрационной информации владельца доменного имени www.kaspersky.com согласно базе данных WHOIS
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=91,103.64.6&do_search=Search
В приведенном примере отражена регистрационная информация владельца доменного имени www.kaspersky.com. В соответствующем поле указан e-mail: ripencc@kaspersky.com. Изначально целью появления системы WHOIS на свет было дать возможность системным администраторам искать контактную информацию других администраторов IP-адресов или доменных имен. Базы данных, имеющие WHOIS-интерфейс, бывают централизованными и распределенными.
Полученная таблица 212 результатов исследования URL используется модулем анализа 214 для формирования графов связи узлов в сети. Схема модуля анализа приведена на Фиг.6. На следующем этапе по информации из таблицы 212 результатов исследования URL модуль 602 построения графов строит граф по одному из следующих принципов определения силы связи между узлами.
Первый вариант построения графа отражает действительную структуру информационных каналов между узлами сети и строится в соответствии с трассами маршрутов следования данных в сети. В узлах графа помещают IP-адреса промежуточных узлов по маршруту следования данных в сети к сайту по указанному URL, полученные путем использования утилит tracert или traceroute. Дуги между узлами обозначают наличие канала связи между соответствующими узлами, а вес дуги - частоту использования этого канала связи для передачи информации. Частота использования канала связи отражает, насколько часто данный канал связи используется для доступа к вредоносному сайту. Вес дуги может быть представлен относительной величиной в процентном отношении, или абсолютным значением количества использований этого канала связи для доступа к вредоносному сайту. Пример такого графа приведен на Фиг.7 (вес дуги соответствует количеству зафиксированных фактов использования данного канала связи для доступа к вредоносному узлу Фиг.7).
Согласно Фиг.6 модуль 604 оценки связи узлов анализирует связь между узлами, при этом связь отражает степень использования канала связи между узлами для передачи вредоносного ПО. Модуль 602 построения графов аккумулирует информацию об актуальных каналах связи между узлами сети Интернет. Если по данным истории 606 обращения к узлу-посреднику оказывается, что доступ к известному вредоносному сайту регулярно осуществляется через один и тот же узел-посредник, то такой узел-посредник блокируется. При блокировке адрес узла-посредника помещается в антифишинговую базу данных 608, следовательно, все пользователи решений компьютерной защиты получают информацию о таком узле. Весь трафик, отправляемый по адресам узлов из антифишинговой базы данных, блокируется всеми работающими подсистемами защиты: системой предотвращения вторжений, фильтром пути к объектам сети (блокирует доступ к ресурсам по заданной в антифишинговой базе данных маске) и фильтром адресов ресурсов сети (блокирует доступ к узлу сети при совпадении формализованного адреса ресурса сети с записью в антифишинговой базе данных 216).
На этом этапе построение графа не останавливается, статистика по интенсивности использования узлов-посредников продолжает собираться. Если по итогам собираемой статистики видно, что уровень интенсивности использования канала связи для распространения вредоносного ПО опускается ниже заданного порога, или перестал представлять угрозу сайт, то снимается блокировка с узла-посредника, через который распространялось вредоносное ПО. Статистика, которая учитывается для оценки интенсивности использования канала связи, выбирается по принципу скользящего окна, ограничивая временной промежуток, когда канал связи был использован для распространения вредоносного ПО или доступа к вредоносному узлу.
В альтернативном варианте реализации предусмотрена возможность оценки всей истории статистики наблюдений за каналом связи с применением относительного критерия оценки интенсивности (количество передач вредоносного ПО или обращений к вредоносному узлу, поделенное на общее количество всех попыток установки соединения через данный канал связи). Таким образом, удаляется запись в антифишинговой базе данных, соответствующая узлу-посреднику, и подсистемы безопасности открывают доступ к соответствующему узлу сети.
Аналогичным образом выполняется разблокировка нескольких промежуточных узлов-посредников, если интенсивность распространения вредоносного ПО через заблокированные узлы-посредники опустилась ниже заданного порога или перестал представлять угрозу сайт, с которого распространялось вредоносное ПО.
Следующий принцип формирования графов связи между узлами состоит в использовании ссылок и перенаправлений (redirection), которые встречаются на веб-сайтах. Нередко случается так, что загруженная страница сайта в Интернет содержит множество ссылок. Часть этих ссылок ведет на тот же ресурс того же сервера. Другая часть ссылок может вести на партнерские сайты или сайты других организаций, например, через баннерообменную сеть. Ранее упоминалось, что при исследовании списка URL адресов посредством виртуальных машин глубина вложенности переходов по ссылкам от начального URL-адреса может быть ограничена, например не превышает 5 (см. Фиг.8).
Согласно Фиг.8 вокруг каждого сайта из списка URL адресов формируется граф переходов по ссылкам и автоматическими переадресациями между узлами. Узел графа - это сайт, при этом переход от одного сайта к другому отражен на графе дугой между соответствующими этим сайтам узлами графа. Как видно на Фиг.8, количество узлов для исследования на современном сайте может расти достаточно быстро. Еще больше перекрестных ссылок на другие сайты можно наблюдать в случае, если ресурс участвует в баннерообменной сети.
Если обход какого-то количества из списка URL-адресов привел к заражению вредоносным ПО с одного и того же вредоносного веб-сайта на одной и более виртуальных машинах, то исследуют совместно все те графы переходов по ссылкам и автоматические переадресации, в которых присутствует вредоносный узел. Один граф накладывают на другой путем применения привил объединения графов соответствующего раздела теории графов дискретной математики и выявляют совпадения узлов и связей (см. Фиг.4). Если на вредоносный сайт регулярно происходит переадресация с одного и того же узла-посредника, то такой узел посредник блокируют путем добавления адреса узла-посредника в антифишинговую базу данных 608. Дополнительным необходимым условием блокировки узла является детальное исследование узла-посредника, например минимум десятикратное его посещение и зафиксированная в 90% случаев попытка заражения или успешное заражение вредоносным ПО виртуальной машины. Далее узел-посредник блокируется всеми работающими подсистемами защиты у пользователей антивирусных продуктов: системой предотвращения вторжений, фильтром пути к объектам сети и фильтром адресов ресурсов сети.
На этом этапе построение графа не останавливается, статистика по интенсивности использования узлов-посредников продолжает собирать модуль 604 оценки связи узлов. Если по итогам собираемой статистики видно, что использование канала связи для распространения вредоносного ПО опускается ниже заданного порога, или перестал представлять угрозу сайт, то снимают блокировку с узла-посредника, через который распространялось вредоносное ПО. Таким образом, удаляют запись в антифишинговой базе данных 608, соответствующую узлу-посреднику, а подсистемы безопасности открывают доступ к соответствующему узлу сети.
В дополнение следует отметить, что узлы-посредники могут выстраиваться в цепочку последовательно, передавая вредоносное ПО один другому. В таком случае сначала будет заблокирован узел-посредник, ближайший к вредоносному узлу (см. Фиг.9, позиции 901, 903). Далее будет блокирован следующий узел-посредник (см. Фиг.9, позиция 905) при условии, что следующий узел-посредник также регулярно применяется для доступа к уже заблокированному узлу-посреднику (см. Фиг.9, позиция 907). Таким образом, рекурсивно блокируются все промежуточные узлы-посредники, через которые интенсивно распространяется вредоносное ПО (см. Фиг.9).
Блокировка всех адресов в антифишинговой базе данных выполняется с помощью фильтра пути. Фильтр пути проверяет адреса узлов, к которым отправляется запрос через сеть или от которых пришел из сети ответ, т.е. сравнивает адрес узла с данными в антифишинговой базе данных. При совпадении адресов блокируется информационный обмен с каждым из адресов, указанных в антифишинговой базе данных.
Одним из вариантов добавления адресов узлов в антифишинговую базу данных с последующей блокировкой доступа к узлу фильтром пути является анализ регистрационной информации обо всех узлах (см. Фиг.5, позиция 501). Регистрационная информация, которая получена с использованием сервиса WHOIS и сохранена в таблице результатов исследования URL, содержит указание на e-mail адрес владельца домена (см. Фиг.5, позиция 503). Поскольку e-mail адрес применяется владельцем для переписки с провайдером и управления узлом в сети или комплексом узлов в сети, то такой e-mail адрес может служить признаком злоумышленника и может быть использован для выявления подконтрольных злоумышленнику доменов. Целесообразно на начальном этапе исследования после составления графа переходов по ссылкам и автоматических переадресаций выполнить проверку e-mail адреса владельца на наличие в антифишинговой базе данных (см. Фиг.5, позиция 505) и в случае совпадения e-mail адресов добавить в антифишинговую БД адрес узла сети, который также принадлежит злоумышленнику (см. Фиг.5, позиция 507).
Фиг.1 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который, в свою очередь, подсоединен к системной шине, но могут быть подключены иным способом, например при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47 персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.1. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
Настоящее описание излагает основной изобретательский замысел автора, который не может быть ограничен теми аппаратными устройствами, которые упоминались ранее. Следует отметить, что аппаратные устройства прежде всего предназначены для решения узкой задачи. С течением времени и с развитием технического прогресса такая задача усложняется или эволюционирует. Появляются новые средства, которые способны выполнить новые требования. В этом смысле следует рассматривать данные аппаратные устройства с точки зрения класса решаемых ими технических задач, а не чисто технической реализации на некой элементной базе.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.