Математические модели и алгоритмы распознавания упакованных вредоносных программ
- Автор:
Сорокин, Иван Витальевич
- Шифр специальности:
05.13.19
- Научная степень:
Кандидатская
- Год защиты:
2013
- Место защиты:
Санкт-Петербург
- Количество страниц:
124 с. : ил.
Стоимость:
700 р.499 руб.
до окончания действия скидки
00
00
00
00
+
Наш сайт выгодно отличается тем что при покупке, кроме PDF версии Вы в подарок получаете работу преобразованную в WORD - документ и это предоставляет качественно другие возможности при работе с документом
Страницы оглавления работы
ОГЛАВЛЕНИЕ
ОГЛАВЛЕНИЕ
ВВЕДЕНИЕ
1 Классификация подходов к распознаванию упакованных вредоносных программ
1Л Способы описания энтропийных характеристик файлов компьютерных программ
1.2 Алгоритмы распознавания вредоносных программ с учетом энтропийных характеристик файлов
1.3 Выводы
2 Система распознавания упакованных вредоносных программ
2.1 Энтропийный подход к синтаксическому анализу файлов
2.2 Принципы построения системы синтаксического распознавания вредоносных программ
2.3 Компоненты системы распознавания упакованных вредоносных программ
2.4 Выводы
3 Сегментация файла с использованием вейвлет-анализа энтропийных характеристик
3.1 Этап предварительной обработки энтропийных характеристик файла с использованием метода скользящего окна
3.2 Этап вейвлет-анализа энтропийных характеристик файла
3.2.1 Непрерывное вейвлет-преобразование дискретного сигнала
3.2.2 Диадное вейвлет-преобразовение (кратномасштабный анализ)
3.2.3 Дискретное избыточное вейвлет-преобразование
3.3 Этап сегментации файла с учетом локальных экстремумов вейвлет-коэффициентов
3.4 Выводы
4 Векторная модель описания и сравнения сегментированных файлов
4.1 Описание сегмента файла с учетом размера и энтропии сегмента
4.2 Описание сегмента файла с учетом частоты появления байтов
4.3 Описание сегмента файла с учетом нейросетевой модели
4.4 Выводы
5 Сравнения файлов с использованием взвешенного расстояния редактирования с функцией штрафа от двух переменных
5.1 Функция штрафа от двух переменных
5.2 Алгоритм сравнения в общем виде
5.3 Локальное выравнивание последовательностей сегментов упакованных вредоносных программ
5.4 Глобальное выравнивание последовательностей сегментов упакованных вредоносных программ
5.5 Алгоритм определения процентного соотношения при глобальном выравнивании подпоследовательностей сегментов двух файлов
5.6 Выводы
6 Оценка эффективности предлагаемых подходов для распознавания упакованных вредоносных программ
6.1 Пример постепенного изменения вредоносной программы
6.2 Пример многократного изменения вредоносной программы за короткий промежуток времени
6.3 Пример невыгодного использования энтропийных характеристик файлов для обнаружения вредоносных программ
6.4 Пример одного упаковщика для разных типов файлов вредоносных программ
6.5 Пример разных упаковщиков для одной вредоносной программы
6.6 Пример обнаружения вредоносных программ с использованием модели неокогнитрона
6.7 Выводы
ЗАКЛЮЧЕНИЕ
СПИСОК ЛИТЕРАТУРЫ
ВВЕДЕНИЕ
Под термином вредоносные программы подразумевается широкий класс программ, которые специально созданы для нанесения вреда отдельному компьютеру или компьютерной сети. Расширенная трактовка этого термина представлена в статье 273 Уголовного Кодекса Российской Федерации [23] «Создание, использование и распространение вредоносных компьютерных программ»:
«Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации...»'
Существующее многообразие вредоносных программ принято разбивать по классам на основе различных критериев: по специализированным целям использования, по способу распространения, по уровню интеграции в операционной системе, по формату файлов и т.п. В качестве объекта исследования рассматриваются упакованные вредоносные программы, представленные в виде файлов формата Portable Executable (РЕ) для операционной системы Microsoft Windows. Выбор такого рода вредоносных программ, обусловлен двумя основными причинами. Во-первых, на сегодняшний момент основная масса вредоносных программ создается для операционной системы Microsoft Windows, где основным форматом скомпилированных программ является РЕ-формат [65]. Во-вторых, признак упакованности вредоносных программ означает наличие защитных механизмов для противодействия обнаружению вредоносного кода.
’Уголовный кодекс РФ от 13 июня 1996 г. № 63-ФЗ (ред. от 23.07.2013) (с нзм. и доп., вступающими в силу с 01.09.2013) // Собрание законодательства РФ. 1996 г. -№ 25. -2954 с. (с послед, изм. и доп.)
notepad.exe, а второй график V - упакованная версия этой же программы, с использованием программы-упаковщика ЦРХ. По оси абсцисс отложены 256 возможных значений байта, а по оси ординат - частота появления байта на всем протяжении файла (для наглядности отображения, частота нормирована с использованием логарифма). Из рисунка можно заметить, что сжатие данных ведет к уравниванию частоты появления всех байтов, т.е. вероятность появления каждого байта становится примерно одинаковой и как следствие увеличение энтропии. Частота появления байта, или модель 14-грамм, построенная для всего файла, действительно позволяет выявить уникальные характеристики файла в целом, но она не позволяет обнаружить локальные особенности на протяжении всего файла, строится только общая картина используемых байтов. В некоторых случаях этого вполне достаточно, например, для обнаружения самого факта использования программ-упаковщиков, но не более того.
Таблица 3.1 - Коды Хаффмана для нескольких байтов программы notepad.exe
№ Байт Частота Код
1 0 0.29420
2 255 0.08195 0
3 1 0.03181 10
4 77 0.01713 001
5 101 0.01227 110
6 116 0.01172 110
7 32 0.00907 0010
255 39 0.00048 10011000
256 26 0.00046 10011000
Для оценки неоднородности содержимого файла, также может использоваться алгоритм Хаффмана [8, с. 459]. Этот алгоритм кодирования информации имеет непосредственную связь с энтропией и частотой появления отдельных символов. Чтобы подсчитать, сколько минимально информации необходимо для записи последовательности байтов, необходимо определить код переменной длины для каждого байта. Другими словами, чем чаще встречается байт в последовательности, тем короче соответствующий
Рекомендуемые диссертации данного раздела
| Название работы | Автор | Дата защиты |
|---|---|---|
| Модели и средства обеспечения управления информационной безопасностью медицинских информационных систем | Зыков, Владимир Дмитриевич | 2010 |
| Модели и метод экспертного аудита информационной безопасности в системе облачных вычислений | Сенцова, Алина Юрьевна | 2016 |
| Обнаружение аномальных сетевых соединений на основе гибридизации методов вычислительного интеллекта | Браницкий, Александр Александрович | 2018 |