Способ и система контроля за выполнением программ с помощью трассировки

Изобретение относится к вычислительной технике и может быть использовано в системах обнаружения атак с целью оперативного выявления несанкционированных воздействий на автоматизированную систему.

Известен способ формирования и передачи файла трассировки, описанный в патенте US 6988263, опубликованном 17.01.2006, и патенте US 6754890, опубликованном 22.06.2004.

Данный способ включает следующие действия. Разработчик на своей стороне разрабатывает продукт и как результат собирает исполняемый модуль, который содержит данные, необходимые для трассировки работы этого модуля. Затем разработчик выпускает продукт или другим способом передает пользователю свои модули. На стороне пользователя данные трассировки видны в читабельном виде. Во время исполнения модуль создает трассировку своей работы. Пользователь отсылает трассировку разработчику, где полученные данные анализируются.

Недостатком данного способа является то, что данные трассировки содержат не только информацию о действиях, выполненных во время работы модуля, но также и о последовательности их выполнения, и об объектах, над которыми производились действия во время работы, а также относительно низкая достоверность формирования файлов трассировки, так как не учитывается информация о выполнении программы в случае ее использования на нескольких ЭВМ.

Наиболее близким по технической сущности к предлагаемому способу является способ контроля за выполнением программ с помощью трассировки бинарных приложений по Пат. RU №2385485, МПК G06F 11/34, G06F 9/44. Опубл. 27.03.2010 г., бюл. №9.

Способ формирования и передачи файла трассировки заключается в следующем. На стороне разработчика в скомпилированном программном модуле осуществляют замену текстовых строк трассировки на соответствующие идентификаторы. Программный модуль передается на сторону пользователя. После того как на стороне пользователя сформирован файл трассировки, этот файл передается на сторону разработчика, где осуществляется восстановление текстовых строк по идентификаторам, содержащимся в этом файле. В результате получается текстовый файл, который может быть легко проанализирован разработчиком.

Недостатком способа-прототипа является относительно низкая достоверность формирования файлов трассировки, так как не учитывается информация о выполнении программы в случае ее использования на нескольких ЭВМ.

Наиболее близким по своей технической сущности к заявленной системе является «Система контроля за выполнением программ с помощью трассировки бинарных приложений» по Пат. RU №2385485, МПК G06F 11/34, G06F 9/44. Опубл. 27.03.2010 г., бюл. №9. В системе контроля за выполнением программ с помощью трассировки содержится средство формирования исполняемого программного модуля, который содержит данные, необходимые для трассировки работы этого модуля и база данных для хранения текстовых строк трассировки и соответствующих им идентификаторов. Средство для замены имеющихся текстовых строк трассировки в сформированном программном модуле на соответствующие идентификаторы, хранящиеся в упомянутой базе данных. Средство передачи программы с формированным программным модулем, в котором заменены строки трассировки на соответствующие идентификаторы. Средство формирования файла трассировки, которое предназначено для сохранения информации о ходе работы программы в файл трассировки во время исполнения программы. Средство передачи сформированного файла трассировки на сторону разработчика. Средство замены идентификаторов строк в упомянутом файле трассировки на соответствующие текстовые строки, хранящиеся в базе данных. Средство вывода разработчику полученных замененных текстовых строк и упомянутой информации, сохраненной в упомянутый файл трассировки на стороне пользователя, для осуществления анализа разработчиком этих текстовых строк и упомянутой информации.

Недостатком системы-прототипа является относительно низкая достоверность формирования файлов трассировки. Указанный недостаток обусловлен тем, что при функционировании автоматизированной системы осуществляется выполнение программ одновременно на нескольких ЭВМ. При этом для достоверного формирования фалов трассировки при выполнении нескольких программ на нескольких ЭВМ потребуется дополнительная информация.

Достоверность - степень объективного соответствия результатов диагностирования (контроля) действительному техническому состоянию объекта [Кузнецов В.Е. и др. Телекоммуникации. Толковый словарь основных терминов и сокращений. - СПб.: Издательство МО РФ, 2001].

Защита информации от несанкционированного воздействия - защита информации, направленная на предотвращении несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Одним из способов определения сбоя функционирования элементов автоматизированной системы является формирование файлов трассировки, так как она позволяет протоколировать работу программы при ее выполнении на ЭВМ.

Целью заявленных технических решений является разработка способа и системы контроля за выполнением программ с помощью трассировки, позволяющих обеспечить повышение достоверности формирования файлов трассировки и повышение защищенности автоматизированной системы за счет определения дополнительной информации о выполнении программ при их использовании на нескольких ЭВМ и использования файлов трассировки при обнаружении атаки.

В заявленном способе поставленная цель достигается тем, что в известном способе в сформированном программном модуле заменяют имеющиеся текстовые строки трассировки на соответствующие идентификаторы, хранящиеся в базе данных, содержащей базу программных модулей и базу строк, передают программу с программным модулем, в котором заменены строки трассировки на соответствующие идентификаторы, во время исполнения программы упомянутый программный модуль сохраняет информацию о ходе работы модуля, формируя тем самым файл трассировки, передают файл трассировки, дополнительно формируют базы данных идентификаторов ЭВМ и установленных на них программ, имеющихся в автоматизированной системе в блоке контроля. После замены текстовых строк трассировки в программном модуле на соответствующие идентификаторы считывают идентификатор ЭВМ и установленных на них программ. Вычисляют временные интервалы формирования файлов трассировки для каждой ЭВМ. Передачу на ЭВМ контролируемой автоматизированной системы программы с программным модулем осуществляют по определенным идентификаторам ЭВМ и установленных на них программ. После выполнения программ и формирования файлов трассировки осуществляют переду файлов трассировки о выполнении j-й программы с i-й ЭВМ автоматизированной системы блоку контроля. Запоминают идентификатор ЭВМ и установленных на них программ при интеграции программ. Формируют базу данных эталонных файлов трассировки для каждой j-й программы, выполняемой на i-ой ЭВМ.

Формируют файлы трассировки через определенные интервалы времени. Передают файлы трассировки о выполнении j-й программы с i-й ЭВМ автоматизированной системы модулю контроля. Сравнивают полученные файлы трассировки с эталонными значениями. Запоминают j-ю программу, выполненную i-й ЭВМ при несовпадении файла трассировки. Выдают сигнал обнаружения атаки на автоматизированную систему.

В заявленной системе поставленная цель достигается тем, что в известной системе контроля за выполнением программ с помощью трассировки, содержащей базу данных для хранения текстовых строк трассировки и соответствующих им идентификаторов и базу данных для хранения программных модулей и соответствующих им идентификаторов; средство для замены имеющихся текстовых строк трассировки в сформированном программном модуле на соответствующие идентификаторы, хранящиеся в упомянутых базах данных; средство передачи программы сформированным программным модулем, в котором заменены строки трассировки на соответствующие идентификаторы; средство формирования файла трассировки, которое предназначено для сохранения информации о ходе работы программы в файл трассировки во время исполнения программы; средство передачи сформированного файла трассировки, дополнительно введены база данных ЭВМ и установленных на них программ, имеющихся в автоматизированной системе, и соответствующих им идентификаторов, информационный вход и выход которой подключены к средству считывания идентификаторов ЭВМ и установленных на них программ, которое входит в состав блока контроля. База данных для хранения эталонных файлов трассировки и соответствующих им значений для каждой программы каждой ЭВМ, информационный вход и выход которой подключены к средству сравнения эталонных значений файлов трассировки с получаемыми значениями от каждой ЭВМ, находящейся в автоматизированной системе, которое также входит в состав блока контроля. Блок контроля, состоящий из средства сравнения эталонных значений файлов трассировки со значениями, получаемыми при выполнении программ на ЭВМ, средства считывания идентификаторов ЭВМ и установленных на них программ, средства вычисления временных интервалов формирования файлов трассировки, средство выдачи сигнала атаки на автоматизированную систему. Блок контроля позволяет осуществлять в автоматизированной системе обнаружение и выдачу сигнала атаки, информационные входы и выходы которого соответственно подключены к информационным выходам и входам базы данных эталонных файлов трассировки, базы данных идентификаторов ЭВМ и установленных на них программ, а также ко всем ЭВМ, входящим в состав автоматизированной системы.

Новая совокупность существенных признаков способа и системы позволяет достичь указанного технического результата за счет определения дополнительной информации о выполнении программ при их использовании на нескольких ЭВМ и использовании файлов трассировки при обнаружении атаки.

Заявленный способ поясняется чертежами, на которых:

на Фиг.1 - блок-схема алгоритма контроля за выполнением программ с помощью трассировки;

на Фиг.2 - схема, поясняющая порядок контроля за выполнением программ с помощью трассировки.

Реализация заявленного способа поясняется алгоритмом (фиг.1), схемой (фиг.2) и объясняется следующим образом:

1. Формируют базу данных идентификаторов программных модулей (ПМ) где N - количество ПМ; S_j - идентификаторы ПМ, соответствующих программ.

2. Формируют базу данных идентификаторов строк для каждого программного модуля , где - идентификаторы k-й строки j-го ПМ; М- количество строк в j-м ПМ.

3. Формируют базу данных идентификаторов ЭВМ и установленных на них программных модулей , где L - количество ЭВМ в автоматизированной системе, - идентификаторы ЭВМ и установленных на них программ.

4. Производят замену текстовых строк в программном модуле с использованием баз данных идентификаторов ПМ и идентификаторов строк.

5. Считывают идентификаторы ЭВМ и установленных на них программ и соответствующие базы данных. Полученные идентификаторы используются для определения соответствия файлов трассировки и j-го ПМ, выполняемого на i-й ЭВМ.

6. Вычисляют временные интервалы Δt формирования файлов трассировки. Определение данных временных интервалов зависит от количества ЭВМ (L) и количества установленных на них программ (М).

7. Передают на i-ю ЭВМ j-го ПМ программу.

8. Выполняют j-ю программу на i-й ЭВМ и входе работы программы формируются файлы трассировки.

9. Проверяют, произведен ли контроль всех программ на всех ЭВМ при интеграции программ в автоматизированную систему. Если i=L и j=N, то формируют и передают файлы трассировки j-го программного модуля с i-й ЭВМ. В случае если i≠L и j≠N, производят выполнение оставшихся программ на соответствующих ЭВМ.

Интеграция является процессом объединения программ с объектным компьютером (ЭВМ) с целью создания интегрированной системы. Процесс интеграции является завершенным, когда программы корректно загружены в объектный компьютер с учетом информации о редактировании связей в системе [ГОСТ Р 51904-2002 «Программное обеспечение встроенных систем. Общие требования к разработке и документированию», стр.21-22].

10. Запоминают и формируют базы данных эталонных файлов трассировки j-го ПМ с i-й ЭВМ, которая в дальнейшем будет использоваться для обнаружения атаки на автоматизированную систему.

11. Формируют файл трассировки через время Δt.

12. Передают файл трассировки о выполнении j-й программы с i-й ЭВМ на блок контроля при функционировании автоматизированной системы.

13. Сравнивают полученные файлы трассировки с эталонными Если , то проверяют, произведен ли контроль всех программ на всех ЭВМ. В случае если i≠L и j≠N, то осуществляется формирование файлов трассировки при выполнении всех программ на всех ЭВМ через время Δt.

14. Если , то запоминают идентификатор j-го программного модуля i-й ЭВМ, файл трассировки которой не совпал, и выдают сигнал обнаружения атаки на автоматизированную систему.

Описанный выше способ контроля за выполнением программ с помощью трассировки реализуется с помощью системы контроля за выполнением программ с помощью трассировки.

Эта система содержит взаимосвязанные между собой базу данных для хранения текстовых строк трассировки и соответствующих им идентификаторов, а также базу данных для хранения ПМ и соответствующих им идентификаторов; средство для замены имеющихся текстовых строк трассировки в программном модуле на соответствующие идентификаторы, хранящиеся в упомянутых базах данных; средство передачи программы с программным модулем, в котором заменены строки трассировки на соответствующие идентификаторы; средство формирования файла трассировки, которое предназначено для сохранения информации о ходе работы программы в файл трассировки во время исполнения программы; средство передачи сформированного файла трассировки на блок контроля.

После этого, как видно из чертежа (фиг.2), формируется база данных ЭВМ и установленных на них программ, имеющихся в автоматизированной системе, и соответствующих им идентификаторов, информационный вход и выход которой подключены к средству считывания идентификаторов ЭВМ и установленных на них программ, входящее в состав блока контроля.

Далее средство считывания идентификаторов ЭВМ и установленных на них программ определяет соответствующий идентификатор по имеющемуся номеру ЭВМ и идентификатору ПМ и строк .

Средство считывания идентификаторов ЭВМ и установленных на них программ может быть реализовано в виде блока селекции, приведенного в Пат. RU №2313128, МПК G06F 17/30, H04L 12/56. Опубл. 20.12.2007 г., бюл. №35.

После средством передачи передаются программы с ПМ на определенные ЭВМ. Средство формирования файла трассировки при выполнении j-й программы на i-й ЭВМ осуществляет сохранение информации о ходе работы программы в файле трассировки . Данные файла трассировки будут являться эталонными, так как сформированы на этапе интеграции (начальный этап функционирования автоматизированной системы), которые используются в базе данных эталонных файлов трассировки .

В дальнейшем файлы трассировки формируются через определенные интервалы времени за счет работы средства вычисления временных интервалов формирования файлов трассировки, которое вычисляет временные интервалы в зависимости от количества ЭВМ (L) и количества установленных на них программ (М).

Средство вычисления временных интервалов может быть реализовано в виде формирователя временных интервалов, приведенного в Пат.RU №2313128, МПК G06F 17/30, H04L 12/56. Опубл. 20.12.2007 г., бюл. №35.

После того как сформированы файлы трассировки, средство передачи осуществляет передачу данных файлов трассировки в средство сравнения.

Далее в блоке контроля средством сравнения происходит сравнение эталонных и полученных файлов трассировки в результате выполнения программ на ЭВМ.

Средство сравнения может быть реализовано на устройствах сравнения, известных и широко освещенных в литературе (Вениаминов В.Н., Лебедев О.Н. и др. Микросхемы и их применение. Справочное пособие, 3-е изд. М., «Радио и связь», 1989 г. - 235 с.).

Если в результате сравнения определено, что файлы трассировки не совпадают с полученными значениями, то происходит их запоминание и выдача сигнала обнаружения атаки на автоматизированную систему средством выдачи сигнала атаки.

Средство выдачи сигнала атаки на автоматизированную систему может быть реализовано в виде устройств индикации, известных и широко освещенных в литературе (Вениаминов В.Н. и др. Микросхемы и их применение. Справочное пособие, 3-е изд. М., «Радио и связь», 1989 г. - 235 с.).

Таким образом, заявленный способ и система за счет определения дополнительной информации о выполнении программ при их использовании на нескольких ЭВМ и использования файлов трассировки при обнаружении атаки позволяет повысить достоверность формирования файлов трассировки и повысить защищенности автоматизированной системы.

1. Способ контроля за выполнением программ с помощью трассировки, заключающийся в том, что в сформированном программном модуле заменяют имеющиеся текстовые строки трассировки на соответствующие идентификаторы, хранящиеся в базе данных, содержащей базу программных модулей и базу строк, передают программу с программным модулем, в котором заменены строки трассировки на соответствующие идентификаторы, во время исполнения программы упомянутый программный модуль сохраняет информацию о ходе работы модуля, формируя тем самым файл трассировки, передают файл трассировки, отличающийся тем, что формируют базы данных идентификаторов ЭВМ и установленных на них программ, имеющихся в автоматизированной системе в блоке контроля, после замены текстовых строк трассировки в программном модуле на соответствующие идентификаторы считывают идентификатор ЭВМ и установленных на них программ, вычисляют временные интервалы формирования файлов трассировки для каждой ЭВМ, передачу на ЭВМ контролируемой автоматизированной системы программы с программным модулем, осуществляют по определенным идентификаторам ЭВМ и установленных на них программ, после выполнения программ и формирования файлов трассировки осуществляют передачу файлов трассировки о выполнении j-й программы с i-й ЭВМ автоматизированной системы блоку контроля, запоминают идентификатор ЭВМ и установленных на них программ при интеграции программ, формируют базу данных эталонных файлов трассировки для каждой j-й программы, выполняемой на i-й ЭВМ, формируют файлы трассировки через определенные интервалы времени, передают файлы трассировки о выполнении j-й программы с i-й ЭВМ автоматизированной системы модулю контроля, сравнивают полученные файлы трассировки с эталонными значениями, запоминают j-ю программу, выполненную i-й ЭВМ при несовпадении файла трассировки, выдают сигнал обнаружения атаки на автоматизированную систему.

2. Система контроля за выполнением программ с помощью трассировки, содержащая базу данных для хранения текстовых строк трассировки и соответствующих им идентификаторов и базу данных для хранения программных модулей и соответствующих им идентификаторов; средство для замены имеющихся текстовых строк трассировки в сформированном программном модуле на соответствующие идентификаторы, хранящиеся в упомянутых базах данных; средство передачи программы с формированным программным модулем, в котором заменены строки трассировки на соответствующие идентификаторы; средство формирования файла трассировки, которое предназначено для сохранения информации о ходе работы программы в файл трассировки во время исполнения программы; средство передачи сформированного файла трассировки, дополнительно введены база данных ЭВМ и установленных на них программ, имеющихся в автоматизированной системе и соответствующих им идентификаторов, информационный вход и выход которой подключены к средству считывания идентификаторов ЭВМ и установленных на них программ, которое входит в состав блока контроля; база данных для хранения эталонных файлов трассировки и соответствующих им значений для каждой программы каждой ЭВМ, информационный вход и выход которой подключены к средству сравнения эталонных значений файлов трассировки с получаемыми значениями от каждой ЭВМ, находящейся в автоматизированной системе, которое также входит в состав блока контроля; блок контроля, состоящий из: средства сравнения эталонных значений файлов трассировки со значениями, получаемыми при выполнении программ на ЭВМ, средства считывания идентификаторов ЭВМ и установленных на них программ, средства вычисления временных интервалов формирования файлов трассировки, средство выдачи сигнала атаки на автоматизированную систему; блок контроля позволяет осуществлять в автоматизированной системе обнаружение и выдачу сигнала атаки, информационные входы и выходы которого соответственно подключены к информационным выходам и входам базы данных эталонных файлов трассировки, базы данных идентификаторов ЭВМ и установленных на них программ, а также ко всем ЭВМ, входящим в состав автоматизированной системы.