2. 1. Создание одной сигнатуры для семейства
вирусов - Уменьшение размера баз антивируса -
Улучшение обобщения.
2. Исследование изменения конкретного вируса в
целом - отслеживание источника.
Сейчас выполняется "вручную":
IDA, ProcessExplorer, BinDiff.
Значительное время.
«Ручной» труд квалифицированных специалистов ->
Высокая стоимость анализа.
Актуальность 2
3. Задачи
Проанализировать существующие методы
классификации.
Разработать метод автоматической
классификации.
Реализовать и экспериментально
исследовать разработанный метод.
Цель исследования
Разработка метода автоматической
классификации вредоносного ПО на
основе поведенческих признаков.
3
4. Предыдущие исследования
Работы по статическому анализу
вредоносного кода:
V. Sai Sathyanarayan, Pankaj Kohli, Bezawada
Bruhadeshwar, Signature Generation and Detection of
Malware Families.
Lee H., Jeong K., Code graph for malware detection.
Stamp M., Wong W. Hunting for metamorphic engines.
F. Leder, B Steinbock, P Martini,Classification and
detection of metamorphic malware using value set
analysis.
4
5. Предыдущие исследования
Работы по динамическому анализу
вредоносного кода :
Christodorescu M., Jha S., Kruegel C., Mining specifications of
malicious behavior.
Vinod P., Harshit Jain, Yashwant K. Golecha MEDUSA:
MEtamorphic malware Dynamic Analysis Using Signature
from API.
Sun H., Lin Y., Wu M., Api monitoring system for defeating
Worms and exploits in ms-windows system
Vladislav V. Martynenko”System and method for
detection of complex malware”
5
6. Формулировка задачи
Разработать метод классификации
вредоносного ПО согласно следующим
требованиям:
6
1
• Исследование поведенческих признаков.
2
• Необходимость не менее одного образца
известного вируса. Больше – можно :)
3
• Возможность визуально
интерпретировать результаты анализа.
7. Разработанный метод 7
Получение поведенческих признаков –
трасс WinAPI и созданных файлов.
Вычисление меры близости трасс.
Вычисление меры близости файлов.
Формирование пространства признаков.
Кластеризация признаков.
Анализ результатов.
12. d23
*
d12
*
d13
*
YT
3 образец (F3,T3)
2 образец (F2,T2)
1 образец (F1,T1)
F
Методы снижения размерности.
Норма вектора и МНШ
12
Fi = ||Df
i ||
Ti = ||Dt
i||
3 образец
2 образец
1 образец
X
по трассам
* - учет влияния функции
стресса
13. Кластерный анализ признаков 13
Стандартная нечеткая кластеризацияМодифицированная нечеткая кластеризация
T
F