О новом подходе к организации защиты от компьютерных вирусов
АрхивМассовое распространение компьютерных вирусов, а также активное обсуждение в прессе планов информационной войны с привлечением хакеров для подавления вражеских систем управления и передачи данных привели к тому, что вопрос о создании средств противодействия и защиты приобретает новое качество.
Введение в проблему
Массовое распространение компьютерных вирусов, а также активное обсуждение в прессе планов информационной войны с привлечением хакеров для подавления вражеских систем управления и передачи данных привели к тому, что вопрос о создании средств противодействия и защиты приобретает новое качество. По мнению ряда зарубежных экспертов, государство, проигравшее в информационной войне, будет отброшено в своем развитии на многие десятилетия.
Сегодня уже ясно, что традиционные методы построения систем защиты информации не принесут желаемого результата. Надо искать принципиально новые подходы к решению этой проблемы. Настоящая статья призвана дать «информацию к размышлению» для разработчиков антивирусных систем, чтобы они смогли взглянуть на свою предметную область с иной стороны, а именно - со стороны Природы, создавшей, наверное, самую совершенную систему защиты - иммунную систему организма.
Приношу извинения за стиль: он скорее медико-биологический, чем компьютерный, и довольно труден для восприятия технаря - на техническом сленге проблематично описать другую предметную область. Я хотел лишь показать новое направление развития систем антивирусной защиты, а для этого достаточно общего представления о генетике и иммунологии.
Тех же, кого очарует красота функционирования столь сложной системы, коей является иммунная система организма, автор приглашает к сотрудничеству в деле развития принципиально нового направления в информатике - эволюционной программотехники, в основу которой положено предположение о функциональном и структурном подобии компьютерной программы и органического белка.
Следует заметить, что в части иммунологии и микробиологии этот материал базируется на работе [1].
Вирусные технологии XXI века
Уже разработан ряд алгоритмов, позволяющих писать вирусы, которые принципиально нельзя обнаружить ни одним из существующих способов. Многие отмечают, что самомодифицирующийся произвольным образом код получить просто невозможно, по крайней мере - для архитектуры Intel [2]. В любом случае, есть жесткие рамки, которые позволяют одну и ту же операцию реализовать ограниченным числом способов. Способы эти известны заранее, что, в принципе, позволяет перечислить все ключевые фрагменты вирусов, а значит - безошибочно их распознать.
Однако если предположить, что архитектура процессора может быть произвольной, или даже динамически синтезируемой в процессе выполнения, как это сделано в работе [2], то достаточно написать эмулятор соответствующего процессора - некоторую виртуальную машину, которая будет выполнять код вируса, построенный на определенных принципах. Важно, что реализация виртуальной машины может быть произвольной. Сегодня можно найти программные эмуляторы многих популярных в 1980-е годы машин: от «Спектрума», до БК-0010. Учитывать надо и то, что эмуляторы можно генерировать автоматически.
Как отмечается в [2], вирус, написанный на виртуальной машине, требует очень много времени для анализа традиционными методами. Значит, нужны средства автоматической борьбы с такого рода деструктивными программами. Вопрос лишь в том, на каких принципах должна базироваться такая антивирусная система? Ответ оказывается удивительно простым: на принципах иммунной системы человека. Действительно, в нашем организме функционирует превосходная система, способная бороться с миллиардами болезнетворных антигенов. А уж ей-то по плечу и не такие «полиморфики»!
Немного теории
Иммунная система, сформировавшаяся в процессе эволюции как средство защиты от заражения микроорганизмами, есть у всех позвоночных (в том числе и у человека). У беспозвоночных защитные системы более примитивны: обычно их основу составляют клетки, растворяющие болезнетворные антигены.
Высокая специфичность - фундаментальная особенность всех иммунных реакций. Способность отличать чужое от своего - второе фундаментальное свойство иммунной системы.
Почти любая макромолекула, чуждая организму реципиента, может вызвать иммунный ответ. Вещество, способное вызвать иммунный ответ, называют антигеном (то есть генератором антител). Самое удивительное, что иммунная система может различать даже очень похожие антигены, например два белка, различающиеся только одной аминокислотой.
Поразительная способность к узнаванию делает иммунную систему почти уникальной среди клеточных систем, сложнее только нервная система. Обе системы состоят из большого числа клеток, организованных в сложные сети. В такой сети между отдельными клетками возможны как положительные, так и отрицательные взаимодействия, причем ответ одной клетки распространяется в системе и сказывается на многих других клетках.
В отличие от нейронов, относительно жестко фиксированных в пространстве, клетки, составляющие иммунологическую сеть, непрерывно перемещаются и лишь кратковременно взаимодействуют друг с другом.
Существует два основных типа иммунных ответов: гуморальные ответы и иммунные ответы клеточного типа.
Гуморальные ответы связаны с выработкой антител - белков, называемых также иммуноглобулинами. Связывание с антителами деактивирует вирусы. Связанные антитела служат метками для микроорганизмов, подлежащих уничтожению.
Ответ клеточного типа - второй вид иммунных реакций. Он состоит в образовании специализированных клеток, реагирующих с чужеродным антигеном на поверхности других собственных клеток организма. Реагирующая клетка может убить клетку, зараженную вирусом и имеющую на своей поверхности вирусные белки, то есть уничтожить инфицированную клетку до завершения процесса репликации. В других случаях реакция клетки состоит в генерации химических сигналов, стимулирующих разрушение внедрившихся микроорганизмов макрофагами.
За специфичность иммунного ответа ответственны лимфоциты - одна из групп лейкоцитов. Общее число лимфоцитов в организме человека составляет около 2 1012; по клеточной массе иммунная система человека сравнима с головным мозгом. Два основных класса иммунных реакций определяются двумя классами лимфоцитов: Т-клетки ответственны за клеточный иммунитет, а В-клетки вырабатывают антитела.
Большая часть Т-лимфоцитов играет в иммунитете регулирующую роль, усиливая или подавляя реакции других лейкоцитов. Эти клетки, называемые соответственно Т-хелперами и Т-супрессорами, объединяют в группы регуляторных клеток. Другие Т-лимфоциты, которые называют цитотоксическими Т-клетками, убивают клетки, инфицированные вирусами. Поскольку и цитотоксические Т-лимфоциты, и В-лимфоциты непосредственно участвуют в защите организма от инфекции, эти два типа лимфоцитов называют эффекторными клетками.
Самое поразительное свойство иммунной системы - то, что она может реагировать на миллионы чужеродных антигенов, вырабатывая антитела, специфически взаимодействующие с антигенами. Кроме того, иммунная система способна вырабатывать антитела к молекулам, созданным человеком и не существующим в природе. Этот и ряд других интересных фактов удалось объяснить при помощи так называемой теории клональной селекции [1]. Согласно вышеназванной теории, каждый лимфоцит в процессе своего развития приобретает способность реагировать с определенным антигеном, еще ни разу с ним не встретившись. Это обусловлено тем, что на поверхности клетки появляются белки-рецепторы, которые специфически соответствуют какому-то антигену. Если клетка встретится с таким антигеном, то его связывание с рецепторами активирует клетку - вызовет ее размножение и созревание ее потомков.
Таким образом, чужеродный антиген селективно стимулирует те клетки, у которых окажутся подходящие ему специфические рецепторы и которые поэтому неизбежно будут реагировать именно на этот антиген.
Те участки антигена, которые взаимодействуют с антигенсвязывающим участком молекулы антитела или же рецептора на лимфоците, называются антигенными детерминантами.
Большая часть лимфоцитов находится в непрерывной циркуляции.
Постоянная циркуляция не только обеспечивает встречу соответствующих лимфоцитов с антигеном, но и позволяет нужным лимфоцитам встретиться друг с другом: взаимодействие между специфическими лимфоцитами играет решающую роль в большинстве иммунных ответов.
Иммунная система, как и нервная, обладает памятью. Именно поэтому возможно приобретение пожизненного иммунитета к некоторым болезням.
Каким образом иммунная система отличает собственные клетки организма от «чужих»? Одна из возможных причин в том, что организм наследует гены, кодирующие рецепторы для чужих, но не для собственных антигенов, и поэтому его иммунная система запрограммирована таким образом, чтобы отвечать только на чужеродные антигены.
Другая причина - в том, что иммунная система первоначально могла быть способна отвечать и на свои, и на чужие антигены, но на ранней стадии развития могла обучиться не отвечать на свои. Таким образом, иммунная система потенциально способна реагировать на антигены собственного организма, но обучается не делать этого.
Полагают, что обучение иммунной системы проходит путем уничтожения лимфоцитов, реагирующих на антигены собственного организма.
Антитела представляют собой белки, а белки кодируются генами. Поэтому разнообразие антител ставит сложную генетическую проблему: каким образом число видов вырабатываемых антител может превышать число генов в геноме организма? Одним из важных моментов, касающихся создания многообразия антител, заключается в том, что в ходе развития В-клеток ДНК организма подвергается перестройке.
Экспериментально показано, что частота соматических мутаций в генных последовательностях, кодирующих V-области, оценивается в 10-3 на одну пару нуклеотидов, что примерно в миллион раз чаще спонтанного мутирования в других генах. Этот процесс получил название соматического гипермутирования. При этом в V-областях после повторной иммунизации быстро накапливаются точечные мутации.
Направляемое антигеном соматическое гипермутирование осуществляет тонкую подстройку образования антител в результате созревания сродства. Таким образом, созревание сродства - это результат повторяющихся циклов соматического гипермутирования, за которым следует направляемая антигеном селекция в процессе гуморального ответа.
Антитела не только защищают организм от инфекций, но и играют важную роль в регуляции самих иммунных ответов. Подобно нейронам в нервной системе, многие лимфоциты, возможно, в большей степени взаимодействуют друг с другом, чем с окружающим миром, и тогда иммунный ответ можно было бы рассматривать не как ответ независимых реагирующих с антигеном лимфоцитов, а как реверберирующее возмущение иммунологической сети.
Размеры такой идиотопической сети в принципе могут быть огромными.
Искусственная иммунная система ISC фирмы IBM
Одним из успешных проектов использования изложенной выше теоретической концепции является создание компанией IBM иммунной системы киберпространства (Immune System for Cyberspace, ISC), действующий макет которой был продемонстрирован еще в октябре 1997 года на проходившей в Сан-Франциско конференции «Virus Bulletin’97».
Антивирусная технология IBM построена на основе модели иммунной системы человека. Несмотря на получение нескольких патентов, непосредственно касающихся ISC, работа пока не завершена.
Есть и другое подтверждение актуальности этого направления работ: в 1999 году американская корпорация RAND, известная как мозговой центр ряда силовых ведомств Америки, провела исследование, результатом которого стали рекомендации по выбору технологий, способных обеспечить необходимый уровень информационной безопасности национальной информационной инфраструктуры и оборонительной информационной инфраструктуры Министерства обороны США. В качестве самых перспективных технологий создания систем защиты информации нового поколения были выбраны именно технологии формирования искусственной иммунной системы.
Заключение
Очевидно, что создать систему защиты информации компьютерной сети по прямому подобию иммунной системы человека практически невозможно, да в этом и нет необходимости. Однако тот факт, что иммунная система достигла совершенства в борьбе с болезнетворными и чужеродными антигенами, говорит о том, что многие принципы, сформировавшие иммунную систему, весьма эффективны и могут быть использованы с тем допущением, что работать они будут не с биохимическими антигенами, а с антигенами программными, то есть информационными.
Наряду с этим последние достижения в области создания многоагентных интеллектуальных систем позволяют надеяться, что в ближайшее время искусственная иммунная система будет создана и ее эффективность не опустится ниже эффективности ее природного прототипа.
Литература
[1] Албертс Б., Брей Д., Льюис Дж., Рэфф М., Робертс К., Уотсон Дж. Молекулярная биология клетки: В 3-х т. 2-е изд., перераб. и доп. Пер. с англ. - М.: Мир, 1994.
[2] Крис Касперски, «Вирусы: вчера, сегодня, завтра» // «Byte Россия», № 6, 1999, с. 52-55.
