МЕТОД ИДЕНТИФИКАЦИИ ИСПОЛНЯЕМЫХ ФАЙЛОВ ПО ИХ СИГНАТУРАМ
Аннотация
В статье рассматривается метод защиты программных средств автоматизированных информационных систем на речном и морском транспорте на основе идентификации исполняемых elf-файлов программ, установленных на различных Linux ОС, по их сигнатурам специальной структуры. Под идентификацией следует понимать процесс распознавания некоторого файла как его отождествление с той или иной программой. Многообразие ОС Linux и открытость их исходного кода затрудняют использование стандартных методов анализа и инвентаризации исполняемых файлов. Предлагается новый метод решения этой задачи, который включает три этапа: построение архива сигнатур; фильтрация сигнатур; непосредственная идентификация файла. Сигнатуры как включаемых в архив программ, так и идентифицируемых файлов, имеют специальную структуру, основанную на частотных характеристиках. Фильтрация сигнатур осуществляется с использованием критерия Фишера (φ*-критерия) на уровне значимости p= 0,01. Для более точной идентификации выполняется анализ частотных характеристик сигнатур, хранящихся в архиве, и сигнатур, полученных в результате фильтрации, по значению углового коэффициента при уровне различия менее 20 %.
Ключевые слова
информационная безопасность, исполняемый elf-файл, сигнатура файла, статистический критерий Фишера (φ*-критерий), идентификация файлов, Fisher’s ratio test
Читать полный текст статьи: PDF
Список литературы
Krsul I. Authorship analysis: identifying the author of a program / I. Krsul, E. H. Spafford // Computers & Security. - 1997. - Vol. 16. - № 3. - Pp. 233-257. DOI:10.1016/S0167-4048(97)00005-9.
Rosenblum N. Who wrote this code? identifying the authors of program binaries / N. Rosenblum, X Zhu, B. P. Miller // Computer Security-ESORICS 2011. - Springer Berlin Heidelberg, 2011. - Pp. 172-189.
Bai J. Malware detection through mining symbol table of Linux executables / J. Bai, Y. Yang, S. Mu, Y. Ma // Information Technology Journal. - 2013. - Vol. 12. - Is. 2. - Pp. 380-384. DOI: 10.3923/itj.2013.380.384.
McKemmish R. What is Forensic Computing? / R. McKemmish // Trends and Issues in Crime and Criminal Justice. - 1999. - No. 118. - Pp. 1-6.
Belkasoft Evidence Center. [Электронный ресурс]. - Режим доступа: http://ru.belkasoft.com/ru/ (дата обращения - 08.05.2015).
EnCase Forensic Guidance Software. [Электронный ресурс]. - Режим доступа: https://www. guidancesoftware.com (дата обращения - 08.05.2015).
Forensic Toolkit (FTK) AccessData. [Электронный ресурс]. - Режим доступа: http://accessdata.com (дата обращения - 08.05.2015).
Brian C. The sleuth kit and autopsy: Forensics tools for Linux and other Unixes. [Электронный ресурс]. - Режим доступа: http://www.sleuthkit.org/index.php (дата обращения - 08.05.2015).
Gloe T. Forensic analysis of video file formats / T. Gloe, A. Fischer, M. Kirchner // Digital Investigation. - 2014. - Vol. 11. - Pp. S68-S76. DOI: 10.1016/j.diin.2014.03.009.
Wang W. Exposing digital forgeries in video by detecting double MPEG compression / W. Wang, Farid // Proceedings of the 8th workshop on Multimedia and security. - ACM, 2006. - Pp. 37-47. DOI: 10.1145/1161366.1161375.
Wang W. Exposing digital forgeries in interlaced and deinterlaced video / W. Wang, H. Farid // IEEE Trans Inf Forensics Security. - 2007. - Vol. 2 - № 3. - Pp. 438-449. DOI:10.1109/TIFS.2007.902661.
Kee E. Digital image authentication from thumbnails / E. Kee, H. Farid // SPIE Symposium on Electronic Imaging. - San Jose, CA, 2010.
Kee E. Digital image authentication from JPEG headers/ E. Kee, M. K. Johnson, H. Farid // IEEE Trans Inf Forensics Security. - 2011. - Vol. 6 - № 3. - Pp. 1066-1075 DOI: 10.1109/TIFS.2011.2128309.
Popescu A. C. Statistical tools for digital forensics / Popescu A., Farid H. // Information Hiding. - Springer Berlin Heidelberg, 2005. - Pp. 128-147. DOI: 10.1007/978-3-540-30114-1_10.
Хихин Р. Установка программ в Linux. [Электронный ресурс]. - Режим доступа: http://www. opennet.ru/docs/RUS/linux_beg_faq/Linux-FAQ-7.html (дата обращения - 9.04.2015).
Shved V. The method of an audit of software containing in digital drives / V. Shved, P. Kuzmich, V. Korzhuk // Application of Information and Communication Technologies (AICT), 2014 IEEE 8th International Conference on. - IEEE, 2014. - Pp. 1-5. DOI: 10.1109/ICAICT.2014.7035927.
Myles G. K-gram based software birthmarks / G. Myles, C. Collberg // Proceedings of the 2005 ACM symposium on Applied computing. - ACM, 2005. - Pp. 314-318. DOI:10.1145/1066677.1066753.
Khoo W. M. Rendezvous: A search engine for binary code / W. M. Khoo, A. Mycroft, R. Anderson // Proceedings of the 10th Working Conference on Mining Software Repositories. - IEEE Press, 2013. - Pp. 329-338. DOI: 10.1109/MSR.2013.6624046.
Moody S. J. Sádi-statistical analysis for data type identification / S. J. Moody, R. F. Erbacher // Systematic Approaches to Digital Forensic Engineering, 2008. SADFE’08. Third International Workshop on. - IEEE, 2008. - Pp. 41-54. DOI: 10.1109/SADFE.2008.13.
Haggerty J. FORSIGS: Forensic Signature Analysis of the Hard Drive for Multimedia File Fingerprints / Haggerty, M. Taylor // IFIP TC11 International Information Security Conference. - Boston: Springer, 2006. DOI: 10.1007/978-0-387-72367-9_1.
Executable and linkable format. 2014.[Электронный ресурс] - Режим доступа: http://wiki.osdev.org/ ELF (дата обращения - 9.04.2015).
Сидоренко Е. В. Методы математической обработки в психологии / Е. В. Сидоренко. - СПб.: Речь, 2010. - 350 с.
Наследов А. Д. Математические методы психологического исследования. Анализ и интерпретация данных: учеб. пособие; 3-е изд. / А. Д. Наследов. - СПб.: Речь, 2008. - 392 с.
Брылевская Л. И. Элементы теории линейных пространств: учеб. пособие / Л. И. Брылевская, И. А Лапин, Л. С. Ратафьева, О. Л. Суслина. - СПб.: СПбГИТМО (ТУ), 2001. - 140 c.
Clapham C. Oxford Concise Dictionary of Mathematics, Gradient / C. Clapham, J. Nicholson. - Addison- Wesley, 2009. - 876 p.
Об авторах
Кривцова Ирина Евгеньевна - старший преподаватель
Санкт-Петербургский университет информационных технологий, механики и оптикиСалахутдинова Ксения Иркиновна - соискатель
Санкт-Петербургский университет информационных технологий, механики и оптикиЮрин Игорь Валентинович - кандидат военных наук, доцент
9402015@mail.ru. kaf_koib@gumrf.ru
ФГБОУ ВО "ГУМРФ имени адмирала С.О. Макарова"
