Академия Федеральной Службы Охраны Российской Федерации Докладчик: курсант Козачок А.В. Орел 2009 Прототип системы автоматической кластеризации машинного кода кластеризации машинного кода
Существующие механизмы распознавания вирусов сигнатурный поиск эвристический поиск "проактивные" механизмы поведенческие блокираторы
Структурный метод распознавания вирусов 1.Два класса машинного кода: незараженные файлы и файловые вирусы. 2.Стохастические грамматики, характеризующие каждый класс: 3.Принятие решения о принадлежности исследуемой цепочки машинных команд к одному из классов.
Качество распознавания файловых вирусов при применении структурного подхода При распознавании файловых вирусов (L = 195 команд): P ош.1 = 0,036 (вероятность ложного срабатывания) P ош.2 = 0,023 (вероятность пропуска цели)
Прототип системы автоматической кластеризации машинного кода Задачи: 1) разработать процедуру автоматической внутриклассовой кластеризации цепочек машинных команд; 2) сформировать модели каждого подкласса программного кода; 3) разработать механизм определения принадлежности цепочки машинных команд к новому классу (подклассу) машинного кода.
Предварительные результаты исследования 1.При N = 2: P ош.1 = 0,02 2.При N = 3: P ош.1 = 0,019 3.При N = 4: P ош.1 = 0,017 4.При N = 5: P ош.1 = 0,015 Направлением дальнейших исследований является задача автоматического выделения новых подклассов машинного кода Ограничение: априорно задается число формируемых подклассов N, для каждого класса машинного кода (незараженных файлов, файловых вирусов)
Спасибо за внимание !