Никита Шахулов - Обнаружение вариантов вредоносных программ на основе чувствительных системных вызовов с использованием многослойных нейронных сетей

Обнаружение вариантов вредоносных программ на основе чувствительных системных вызовов с использованием многослойных нейронных сетей
Название: Обнаружение вариантов вредоносных программ на основе чувствительных системных вызовов с использованием многослойных нейронных сетей
Автор:
Жанры: Руководства | Книги о компьютерах | Математика
Серии: Нет данных
ISBN: Нет данных
Год: Не установлен
О чем книга "Обнаружение вариантов вредоносных программ на основе чувствительных системных вызовов с использованием многослойных нейронных сетей"

Обнаружение вредоносных программ стало чувствительным к задачам, поскольку их угрозы распространяются от компьютерных систем до систем Интернета вещей. Современные варианты вредоносных программ, как правило, оснащены сложными упаковщиками, которые позволяют им обходить современные системы обнаружения, основанные на машинном обучении.

Бесплатно читать онлайн Обнаружение вариантов вредоносных программ на основе чувствительных системных вызовов с использованием многослойных нейронных сетей


© Никита Шахулов, 2021


ISBN 978-5-0055-5330-0

Создано в интеллектуальной издательской системе Ridero

Обнаружение вредоносных программ стало чувствительным к задачам, поскольку их угрозы распространяются от компьютерных систем до систем Интернета вещей. Современные варианты вредоносных программ, как правило, оснащены сложными упаковщиками, которые позволяют им обходить современные системы обнаружения, основанные на машинном обучении. Для обнаружения упакованных вариантов вредоносных программ можно использовать методы распаковки и динамический анализ вредоносных программ. Однако методы распаковки не всегда могут быть полезны, поскольку существуют некоторые упаковщики, такие как частные упаковщики, которые трудно распаковать. Хотя динамический анализ вредоносных программ может получить информацию о поведении исполняемых файлов, поведение упаковщиков при распаковке добавляет шумную информацию к реальному поведению исполняемых файлов, что плохо сказывается на точности. Чтобы преодолеть эти проблемы, в этой книге я предлагаю новый метод, который сначала извлекает серию системных вызовов, чувствительных к вредоносному поведению, затем использует анализ главных компонентов для извлечения функций этих чувствительных системных вызовов и, наконец, использует многоуровневые нейронные сети для классификации функций вариантов вредоносных программ и законных. Теоретический анализ и результаты экспериментов в реальной жизни показывают, что моя методика обнаружения упакованных вариантов вредоносных программ сопоставима с современными методами с точки зрения точности. мой подход позволяет достичь более 95,6% точности обнаружения и 0,048 с затрат времени на классификацию.

Введение

Вредоносное ПО сегодня является одной из основных угроз безопасности в Интернете, механизмы защиты от обнаружения, такие как морфизм кода, превращают вредоносное ПО во множество вариантов, из-за которых схемы обнаружения на основе подписи работают плохо. Обнаружение вариантов вредоносных программ улучшает методы обнаружения на основе сигнатур. В последние годы исследователи сосредоточились на обнаружении вариантов вредоносных программ с помощью методов машинного обучения, которые превращают проблему обнаружения вариантов вредоносных программ в проблему поиска сходства программ. Когда новая программа достаточно похожа на любую подписанную вредоносную программу в наборе обучающих данных, программа проверяется как вредоносная программа.

Поскольку анализ вредоносных программ включает в себя два вида способов: статический анализ и динамический анализ. Некоторые исследования, такие как (Сантос и соавт. 2011; Чезаре и соавт. 2014; Nataraj соавт. 2011; Чжан и соавт. 2016; Чжан и соавт. 2016; Ян и соавт. 2015; Раман и соавт. 2012), предлагаю использовать статический анализ, который извлекает объекты из двоичных файлов без фактического выполнения программ, таких как коды операций, контроль передачи графической и т. д. для обнаружения вариантов вредоносных программ. Однако, когда варианты вредоносного ПО уже упакованы, это предотвращает дальнейший анализ с помощью инструментов разборки, инструментов синтеза и других инструментов статического анализа.

Современные варианты вредоносных программ всегда оснащены сложными пакерами, такими как ASPack (2017), ASProtect (2017), UPX (2017), VMProtect (2017), ZProtect (2017) и т.д., Которые позволяют вариантам вредоносных программ обходить традиционные и современные системы обнаружения. Эти упаковщики включают два вида упаковщиков: упаковщики шифрования и упаковщики сжатия, которые работают, беря существующее приложение, упаковывая его, а затем оборачивая вокруг него утилиту распаковки. Утилита распаковки работает для распаковки внутреннего исполняемого файла в памяти и передает ему выполнение. Проблема заключается в том, что в упаковщике или коде распаковки нет ничего изначально вредоносного (Treadwell et al. 2009). При игнорировании упаковщиков трудно определить, является ли исполняемый файл вредоносным из-за шифрования или сжатия исполняемого файла, что не позволяет системам обнаружения получать оригинальные функции, особенно для статического анализа.

Такая ситуация вынуждает исследователей применять методы распаковки или динамического анализа вредоносных программ для обнаружения упакованных вариантов вредоносных программ. Однако все еще существуют некоторые проблемы. С одной стороны, некоторые исследователи предпочитают распаковывать упакованные программы, а затем обнаруживать распакованные. Но методы распаковки не всегда могут быть полезны, поскольку крекеры могут писать своим частным упаковщикам, которые трудно распаковать. С другой стороны, другие исследования, такие как (Чжан и др. 2016; Хуан и др. 2014; Сюй и др. 2016; Кумар и др. 2012; Конрад и др. 2011; Бай и др. 2014; Сантос и др. 2013), предпочитают использовать динамический анализ, который отслеживает взаимодействие между операционной системой и программами в изолированных средах или виртуальных машинах для сбора таких функций, как системные вызовы, трафик и т.д.. Хотя динамический анализ может получить поведение упакованного исполняемого файла при выполнении, поведение при выполнении не только включает исходное поведение, но также включает поведение упаковщиков исполняемого файла, которое запутывает исходное поведение. Существующие методы не учитывают запутанность, вызванную поведением упаковщиков.

Чтобы преодолеть эти проблемы, в этой книге я стремлюсь предложить новый подход, который может обнаруживать упакованные варианты вредоносных программ без процесса распаковки. Поскольку динамический анализ может определять поведение при выполнении, мы получаем последовательность выполняемых системных вызовов, отслеживая системные взаимодействия в безопасной среде.

В последнее время существует несколько связанных работ по анализу на основе системных вызовов. Некоторые из них предпочитают использовать n-грамм для представления временных последовательных взаимосвязей системных вызовов и используют классификаторы для классификации вредоносных исполняемых файлов и законных, таких как (Конрад и др. 2011; Канзанезе и др. 2015) и т. Д.

Однако, чтобы обнаружить упакованные варианты вредоносных программ с помощью этих системных вызовов, нам необходимо решить несколько сложных проблем. Одна из проблем заключается в том, что системные вызовы упаковщиков запутывают исходный дистрибутив и скрывают реальные злонамеренные намерения. Кроме того, как представитель исполняемых файлов высокого уровня, системный вызов является грубым и разреженным, что приводит к плохому обобщению функций. Более того, это обостряет проблему запутывания, вызванную упаковщиками.


С этой книгой читают
QR-коды (Quick Response) – это двухмерные штрих-коды с возможностью кодирования различных типов информации. Благодаря высокой плотности информации и надежности QR-коды приобрели популярность в различных областях применения. Несмотря на то, что они предлагают широкий спектр преимуществ, QR-коды представляют собой значительную угрозу безопасности. Злоумышленники могут зашифровать вредоносные ссылки, ведущие, например, на фишинговые сайты.
Этичный хакер (пентестер) – это специалист в сфере кибербезопасности, который профессионально занимается выискиванием «дыр» в коде и помогает устранить утечки данных. Название специальности происходит от англоязычного термина pentest (penetration test), то есть «тест на проникновение». Имеется в виду проникновение в систему через скрытые уязвимости.
При наблюдении земной поверхности с низкоорбитальной спутниковой платформы (НОО) с оптическим датчиком на восходящий путь распространения света от земли к спутнику влияет атмосферная рефракция.
Разработка точной оценки положения бортовой камеры является одной из основных задач спутниковых систем, и попытки улучшить точность положения камеры дистанционного зондирования никогда не прекращаются. Положение камеры может быть восстановлено путем выравнивания захваченного 2D-изображения и 3D-цифровой модели поверхности соответствующей сцены.
Чтобы успешно организовывать вопрошание других, надо иметь личный опыт постановки вопросов и работы с ними, поэтому авторы предлагают выполнить больше 50 профессиональных техник. Вы найдете в книге методические рекомендации для организации работы с собственными вопросами других людей и новый опыт использования интерактивного вопрошания в образовании. Книга будет полезна тьюторам, учителям, игротехникам, фасилитаторам, коучам, модераторам и всем,
Для экспериментального определения скоростных характеристик глинозема, глиноземных сметок и песка была смонтирована лабораторно промышленная установка, в которой рабочими частями являются конусный вертикальный воздуховод для определения скоростей витания, который имеет три цилиндрических участка диаметрами 70, 135, 180 мм, в которых благодаря различию скоростей витания происходит разделение дисперсных частиц по фракциям.
В современном мире, где конкуренция и стремление к успеху становятся нормой, умение добиваться желаемого становится важным навыком. Этот гайд предназначен для тех, кто хочет научиться уверенно и эффективно достигать своих целей, используя стратегии, которые помогут вам стать «супер-стервой» в позитивном смысле этого слова. Мы рассмотрим различные аспекты этого подхода, включая уверенность в себе, целеполагание, коммуникацию, управление временем и
Хотите зарабатывать, делясь своими знаниями? Книга «Бизнес-идея: онлайн-репетиторство и вебинары» раскроет вам секреты успешного онлайн-обучения. Узнайте, как создать свой курс, привлечь учеников, организовать вебинары и построить прибыльный бизнес. От идеи до реализации – все шаги к успеху в ваших руках!
Находить новые идеи, чтобы улучшить рабочий проект или выгодно отличиться от конкурентов, развивать и применять свои творческие способности вам поможет Стив Роулинг, бывший журналист BBC, продюсер и коуч. Благодаря уникальному подходу «два в одном» вы сможете учиться в удобном для себя формате. Если вы нетерпеливы и хотите сэкономить время, воспользуйтесь первой частью каждой главы – «Обзором». Во второй части – «Разборе» – можно найти чуть больш
Прибор, позволяющий перенести сознание человека в вымышленную реальность. Но чей мир более вымышленный?.. Вампиры, маги, современный спецназ – все это переплетается по мере развития сюжета.Содержит нецензурную брань.
Двойняшки Марк и Фия попадают в удивительную Метаполию, которая соединила между собой тысячи вселенных. Им предстоит изучить новый захватывающий мир, учиться в Академии Метаполии, завести друзей, а также побывать в чаще Высоколесья и глубинах Аквариона. Однако двойняшки не знают, что над Академией нависла тень опасности, развеять которую могут только они.
Хотите ИДЕЮ? Тогда скорее открывайте эту книгу – она там! Розовый Садовник или просто тетя Роза расскажет, как она сварила целую кухню варенья и зачем покрасила стены своего дома в розовый цвет. Эта история о том, что иногда даже самая невероятная идея может воплотиться в жизнь и сделать жизни других лучше.