Промышленные АСУ и контроллеры Аннотация к статье << Назад Исследование эффективности мер защиты при выявлении признаков наличия активности вредоносного программного обеспечения А.С. Смирнов, Н.Р. Пандыклы, А.В. Душкин, Н.И. Гончаров В статье производится сравнение методов защиты информации в информационных системах при использовании только автоматизированных средств работы с индикаторами сетевой активности вредоносного программного обеспечения и при их совместном использовании с экспертными методами выявления признаков наличия такой активности. Для этого рассматривается исследовательский комплекс, построенный на платформе Oracle VM VirtualBox. Разработана методика моделирования заражений информационной системы вредоносным программным обеспечением. В примерах используется Metasploit Framework, позволяющий повысить права непривилегированного пользователя до уровня администратора. После успешного заражения хоста, берутся сетевые дампы и анализируются TCP-потоки на предмет выявления мест вероятной активности вредоносного программного обеспечения. На основании данного анализа составляются сигнатуры Yara Rules, позднее внедряемые в средства автоматического мониторинга состояния системы. Далее проводится оценка эффективности мер защиты информации, при использовании только автоматизированных средств работы с индикаторами и при их совместном использовании с экспертными методами выявления признаков наличия активности вредоносного программного обеспечения. Ключевые слова: автоматический мониторинг; вредоносное программное обеспечение; индикатор сетевой активности; сигнатура; экспертный метод. Контактная информация: E-mail: w-nekit-p@mail.ru, E-mail: a_dushkin@mail.ru, E-mail: nikigoncharov@ya.ru Стр. 40-52.