Realiojo laiko skenavimo antivirusinių sistemų našumo charakteristikų tyrimas

Abstract

Disertacijoje nagrinėjamas realiojo laiko antivirusinių sistemų efektyvumo didinimas naudojant taisyklėmis grįstą ekspertinę sistemą. Eksperimentams naudota iš realių vartotojų surinkta informacija apie vykdomų veiksmų sekas su bylų valdymo sistema. Darbas apima realiojo laiko antivirusinės sistemos projektavimo, kūrimo procesus ir eksperimentinį tyrimą. Disertaciją sudaro įvadas, trys skyriai, bendrosios išvados, naudotos literatūros ir autoriaus publikacijų disertacijos tema sąrašai. Įvadiniame skyriuje aptariamas problemos formulavimas, darbo aktualumas, aprašomas tyrimų objektas, formuluojamas darbo tikslas ir uždaviniai, aprašoma tyrimu metodika, darbo mokslinis naujumas, darbo rezultatų praktinė reikšmė ir ginamieji teiginiai. Pirmajame skyriuje analizuojama kenksmingo programinio kodo raida, jo sandara ir elgsenos pavyzdžiai. Analizuojami realiojo laiko skenavimo mechanizmų realizacijos būdai ir veikimo principai. Aptariama Windows API funkcijų sekų stebėjimo metodologija, analizuojamas jos pritaikymas realiojo laiko antivirusinėms sistemoms kurti. Daug dėmesio skiriama ekspertinių sistemų taikymo informacinėse saugos sistemose būdai ir galimybės. Aptariama kenksmingo programinio kodo techninė analizė, informacijos saugos sistemų projektavimo metodai. Antrajame skyriuje suformuluojami sistemai keliami funkciniai ir nefunkciniai reikalavimai, pateikiamas sistemos prototipo projektas, kurio svarbiausios dalys atvaizduojamos tiek UML, tiek UMLSec diagramomis. Trečiajame skyriuje aprašomas sukurtas realiojo laiko skenavimo sistemos prototipas, demonstruojamos jo galimybės, atskleidžiama ekspertinės sistemos struktūra. Daug dėmesio skiriama laboratorinėms sąlygoms, kuriomis buvo vykdomi tyrimai su KPK bei analizuojami vartotojų veiksmai dirbant su kompiuteriniais įrenginiais. Detaliai aptariama virtualios laboratorijos struktūra, aprašomi laboratorijos adaptacijos darbai ir pasiekti rezultatai. Remiantis atliktų tyrimų rezultatais daromos išvados, kad ekspertinių sistemų taikymas, siekiant pagerinti realiojo laiko skenavimo antivirusinės sistemos darbą, yra galimas. Disertacijos tema paskelbti penki straipsniai: trys straipsniai recenzuojamuose mokslo žurnaluose ir du straipsniai kituose leidiniuose. Disertacijos tema atliktų tyrimų rezultatai pristatyti keturiose mokslinėse konferencijose.

The dissertation analyses the issue of an improvement of the real-time antivirus systems efficiency via the use of a rule-based expert system. Information used for experiments was collected from the real users related to the sequences of actions carried out with the file management system. The paper includes design and development processes, as well as pilot testing of the real-time anti-virus system. The dissertation consists of an introduction, three chapters, general conclusions, a list of references and a list of the author’s publications on the theme of the thesis. The introductory chapter discusses the studied issue, the relevance of the work, provides a description of the study subject, formulates an objective and tasks of the paper, describes the study methodology, a scientific novelty of the paper, a practical value of the result of the thesis, as well as its hypotheses. The first chapter examines the development of malicious software code, its structure and behaviour patterns. The implementation methods and mechanisms for an operation of the real-time scanning methods are analysed. The monitoring methodology for the sequences of Windows API functions is discussed, its application for the creation of real-time anti-virus systems is analysed. Moreover, a considerable attention is paid to the methods and capabilities of the application of expert systems in the information security systems. A technical analysis of the malicious software code, as well as design techniques for the information security systems, is discussed. The second chapter formulates functional and non-functional requirements of the system, discloses the project of a system prototype, the key parts of which are displayed both by UML and UMLSec diagrams. The third chapter describes a created real-time scanning system prototype, shows its potential and discloses the structure of an expert system. Moreover, a considerable attention is paid to the laboratory conditions under which the studies on the malware are performed, and the user actions concerning dealing with computer-related devices are analysed. The structure of a virtual laboratory is discussed in detail, the laboratory adaptation tasks and the achieved results are described. Based on the study results, it is concluded that the application of expert systems to improve the scanning of a real-time antivirus system is possible. Five articles were published on the theme of the dissertation: three articles were published in refereed scientific journals, two articles – in other publications. The results of the studies performed on the theme of the dissertation were presented in four conferences.