Академия Федеральной Службы Охраны Российской Федерации Докладчик: курсант Козачок А.В. Орел 2009 Прототип системы автоматической кластеризации машинного. - презентация

1 Академия Федеральной Службы Охраны Российской Федерации Докладчик: курсант Козачок А.В. Орел 2009 Прототип системы автоматической кластеризации машинного кода кластеризации машинного кода

2 Существующие механизмы распознавания вирусов сигнатурный поиск эвристический поиск "проактивные" механизмы поведенческие блокираторы

3 Структурный метод распознавания вирусов 1.Два класса машинного кода: незараженные файлы и файловые вирусы. 2.Стохастические грамматики, характеризующие каждый класс: 3.Принятие решения о принадлежности исследуемой цепочки машинных команд к одному из классов.

4 Качество распознавания файловых вирусов при применении структурного подхода При распознавании файловых вирусов (L = 195 команд): P ош.1 = 0,036 (вероятность ложного срабатывания) P ош.2 = 0,023 (вероятность пропуска цели)

5 Прототип системы автоматической кластеризации машинного кода Задачи: 1) разработать процедуру автоматической внутриклассовой кластеризации цепочек машинных команд; 2) сформировать модели каждого подкласса программного кода; 3) разработать механизм определения принадлежности цепочки машинных команд к новому классу (подклассу) машинного кода.

6 Предварительные результаты исследования 1.При N = 2: P ош.1 = 0,02 2.При N = 3: P ош.1 = 0,019 3.При N = 4: P ош.1 = 0,017 4.При N = 5: P ош.1 = 0,015 Направлением дальнейших исследований является задача автоматического выделения новых подклассов машинного кода Ограничение: априорно задается число формируемых подклассов N, для каждого класса машинного кода (незараженных файлов, файловых вирусов)

7 Спасибо за внимание !