Методики выявления потенциально вредоносных файловых объектов на основе интеллектуального анализа данных
- Автор:
Комашинский, Дмитрий Владимирович
- Шифр специальности:
05.13.19
- Научная степень:
Кандидатская
- Год защиты:
2013
- Место защиты:
Санкт-Петербург
- Количество страниц:
180 с. : ил.
Стоимость:
700 р.499 руб.
до окончания действия скидки
00
00
00
00
+
Наш сайт выгодно отличается тем что при покупке, кроме PDF версии Вы в подарок получаете работу преобразованную в WORD - документ и это предоставляет качественно другие возможности при работе с документом
Страницы оглавления работы
Содержание
Введение
1 Системный анализ проблемы выявления потенциально вредоносных файловых объектов на основе интеллектуального анализа данных
1.1 Тенденции развития вредоносных программ и методов их выявления
1.2 Место и роль эвристических средств в задаче выявления потенциально вредоносных файловых объектов
1.3 Модель процесса использования методов интеллектуального анализа данных для выявления потенциально вредоносных файловых объектов
1.4 Сравнительный анализ существующих подходов к выявлению потенциально вредоносных файловых объектов
1.5 Требования к системам выявления потенциально вредоносных файловых объектов
1.6 Постановка задачи исследования
Выводы по главе
2 Методики выявления потенциально вредоносных файловых объектов на основе интеллектуального анализа данных
2.1 Обобщенная методика выявления потенциально вредоносных исполняемых программных модулей
2.2 Методика выявления потенциально вредоносных исполняемых программных модулей на основе анализа статических позиционно-зависимых данных
2.3 Методика выявления потенциально вредоносных исполняемых программных модулей на основе анализа динамических низкоуровневых данных
2.4 Методика выявления потенциально вредоносных электронных документов на основе анализа статических структурных данных
Выводы по главе
3 Система оценивания методик выявления потенциально вредоносных файловых объектов и ее использование для оценки эффективности
3.1 Архитектура системы выявления потенциально вредоносных файловых объектов
3.2 Программная реализация системы выявления потенциально вредоносных файловых объектов
3.3 Оценка эффективности методики выявления потенциально вредоносных исполняемых программных модулей на основе анализа статических позиционно-зависимых данных
3.4 Оценка эффективности методики выявления потенциально вредоносных исполняемых программных модулей на основе анализа динамических низкоуровневых данных
3.5 Оценка эффективности методики выявления потенциально вредоносных электронных документов на основе анализа статических структурных данных
3.6 Предложения по практическому применению
Выводы по главе
Заключение
Словарь терминов
Список литературы
Приложение А Примеры к экспериментам по разделу 3.
Приложение Б Примеры к экспериментам по разделу 3.
Приложение В Примеры к экспериментам по разделу 3.
Приложение Г Копии документов, подтверждающих внедрение
Введение
Актуальность темы диссертации. Проблема своевременного выявления новых, ранее неизвестных, вредоносных программ (ВП) является одним из важнейших направлений исследований в области информационной безопасности. В силу очевидных причин, в решении данной задачи анализ файловых объектов (ФО) имеет определяющее значение. Наряду с традиционными, сигнатурными методами выявления вредоносных ФО, в последнее десятилетие активно используются эвристические подходы. Данная группа подходов опирается на формально недоказуемые правила (эвристики), чье практическое использование показало свою применимость для выявления образцов потенциально вредоносных файловых объектов (ПВФО), имеющих явное сходство с известными вредоносными ФО.
Разработка и , использование эвристических подходов продолжает оставаться объектом активных дискуссий на специализированных конференциях и в тематических изданиях. Вызвано это, в первую очередь, сложностью и изменчивостью ВП и, как следствие, их общей методологии выявления. Одним из перспективных направлений в эвристическом выявлении ПВФО является поиск устойчивых структурных и поведенческих паттернов ФО, косвенно идентифицирующих программные средства, используемые для их автоматического создания злоумышленниками. Это сопряжено с необходимостью накопления и обработки больших массивов данных, представляющих структуру и заложенный в ФО функционал с различных сторон.
Одним из способов решения задачи выделения из больших массивов данных эвристик для выявления ПВФО является использование методов интеллектуального анализа данных (НАД). Эта концепция впервые была обозначена Кефартом и др. [82] в середине 90-х годов XX века, а исследования Столфо, Шульца и др. [129] в начале 2000-х годов задали направление дальнейших поисков в этом направлении.
Несмотря на получение в последние десять лет рядом авторских коллективов ценных результатов, данная тема продолжает оставаться объектом интенсивных исследований. В последние годы наблюдается, с одной стороны, взрывной рост количества ВП, развитие методов реализации вредоносного функционала, усложнение средств доставки ВП на атакуемые объекты, а, с другой стороны, эволюция подходов к пассивному и активному противодействию программно-аппаратными средствами защиты информации.
Кепхарта и др. [82] 1995 года, посвященная актуальной на тот момент задаче обнаружения зараженных загрузочных секторов ПК. Одной из основных работ, в которых исследовалась применимость N-грамм для построения СВВП формата РЕ32, является работа Шульца, Столфо и др. [129]. Авторы применили эту группу признаков с длиной, равной двум (т.е. в качестве признаков использовалось наличие байтовых последовательностей длины 2).
В дальнейшем эффективность N-грамм часто поднимается снова другими исследовательскими коллективами. Так, Колтер и Малуф [85] в 2004 году продолжили исследование вопроса обнаружения вредоносных РЕ32-файлов с помощью N-грамм с длиной в диапазоне от 1 до 10, извлеченных только из областей, содержащих машинный код (секции кода). Они сообщили, что при выполнении экспериментов было выявлено оптимальное для задачи соотношение длины N-граммы и количества N-грамм в виде 4 к 500. В 2007 - 2008 годах Масуд, Кхан и др. [98, 99, 102] активно использовали N-граммы для построения общего подхода к обнаружению ВП за счет комбинирования групп признаков. Менахем и др. [104] в 2009 году применили данную подгруппу признаков для обоснования применимости иерархических методов комбинирования средств классификации. В 2010 году в ряде работ [87, 125] N-граммы использовались для продолжения экспериментов. В частности, Сантос и др. [125] выполнили исследование применимости метода к ближайших соседей (kNN) и выявления оптимальных значений N и к для задачи выявления ВП. В другой работе [87] преимущественно рассматривалась проблема минимизации начального количества N-грамм за счет введения понятия позиции N-граммы в рамках значимого региона анализируемого объекта.
Одним из преимуществ N-грамм, как признаков ВП, является исключительная простота процесса их извлечения и наглядность. Однако, эта группа признаков обладает и недостатками, определяемыми в первую очередь их потенциально большим количеством [87], что усложняет проведение процедур выделения значимых признаков. Кроме того, системы, использующие только N-граммы, уязвимы по отношению к использованию разнообразных методов обфускации контента (применительно к исполняемым файлам, ими являются упаковка, обфускация, установка дополнительных защитных программных слоев и т.д.).
Строки. Строковые данные, также часто упоминаемые как интерпретируемые (читаемые) строки, можно рассматривать в качестве группы
Рекомендуемые диссертации данного раздела
| Название работы | Автор | Дата защиты |
|---|---|---|
| Модели оценки структурных решений по защите компьютерных сетей от вирусных атак | Бабанин, Дмитрий Владимирович | 2011 |
| Модели и метод экспертного аудита информационной безопасности в системе облачных вычислений | Сенцова, Алина Юрьевна | 2016 |