ОЦЕНКА ТОЧНОСТИ АЛГОРИТМА РАСПОЗНАВАНИЯ ВРЕДОНОСНЫХ ПРОГРАММ НА ОСНОВЕ ПОИСКА АНОМАЛИЙ В РАБОТЕ ПРОЦЕССОВ

Предмет исследования.Предложен алгоритм, позволяющий находить аномалии в поведении процессов операционной системы, вызванные исполнением ранее неизвестных участков кода программы. Алгоритм реализован в рамках системы обнаружения и подавления вредоносных программ КОДА. Предложена методика тестирования алгоритма, позволяющая уменьшить время тестирования и повысить его точность. Метод.Предложенный метод основан на построении модели здорового процесса по последовательностям системных вызовов, совершенных его потоками. Выбраны оценки схожести между произвольным процессом и моделью, которые позволяют свести задачу поиска аномалий к задаче классификации векторов. Для оценки точности алгоритма предложено оценивать точность классификатора методом перекрестной проверки. В качестве классификатора была выбрана нейронная сеть типа персептрон. Основные результаты. Разработана и реализована платформа для массового распределенного запуска экземпляров вредоносных программ в виртуальных машинах. Платформа реализована с использованием открытой библиотеки для организации распределенных вычислений BOINC. В качестве базы для тестирования использована академическая база вредоносных экземпляров, а также открытая база Malwr,содержащие 60 тысяч вредоносных программ. Из общей базы корректно отработали 33,13% программ. Составлена модель легитимных процессов, запущенных в течение получаса. Оценки поведения вредоносных программ в рамках этой модели записаны как вектора. Для классификации этих векторов произведен поиск наилучшей по точности нейронной сети. На основе перебора нейронных сетей с различными параметрами обучения и количеством нейронов на скрытом слое выбран наилучший классификатор, точность которого составила 91%. Практическая значимость. Результаты работы могут быть полезны при обнаружении вредоносных программ. Для работы алгоритма не требуется подключение к сети Интернет. Алгоритм позволяет находить как известные, так и новые угрозы.

1. Nachenberg C. Computer virus-antivirus coevolution // Communications of the ACM. 1997. V. 40. N 1. P. 46–51. doi: 10.1145/242857.242869
2. Barat M., Prelipcean D.-B., Gavrilu D.T., A study on common malware families evolution in 2012 // Journal in Computer Virology. 2013. V. 9. N 4. P. 171–178. doi: 10.1007/s11416-013-0192-5
3. Denning D.E. An intrusion-detection model // IEEE Transactions on Software Engineering. 1987. V. SE-13, N 2. P. 222–232. doi: 10.1109/TSE.1987.232894
4. Forrest S., Hofmeyr S., Somayaji A., Longstaff T.A. Sense of self for Unix processes // Proc. IEEE Symposium on Security and Privacy. Oakland, USA, 1996. P. 120–128.
5. Hofmeyr S.A., Forrest S., Somayaji A. Intrusion detection using sequences of system calls // Journal of Computer Security. 1998. V. 6, N 3. P. 151–180.
6. Warrender C., Forrest S., Pearlmutter B. Detecting intrusions using system calls: alternative data models // Proc. IEEE Symposium on Security and Privacy. Oakland, USA, 1999. P. 133–145.
7. Wespi A., Dacier M., Debar H. Intrusion detection using variable-length audit trail patterns // Lecture Notes in Computer Science. 2000. V. 1907. P. 110–129.
8. Wespi A., Dacier M., Debar H. An intrusion-detection system based on the Teiresias pattern discovery algorithm // Proc. EICAR '99. Aalborg, Germany, 1999. P. 1–15.
9. Sekar R., Bendre M., Dhurjati D., Bollineni P. A fast automation-based method for detecting anomalous program behaviors // Proc. IEEE Symposium on Security and Privacy. Oakland, USA, 2001. P. 144–155.
10. Mutz D., Valeur F., Vigna G., Kruegel C. Anomalous system call detection // ACM Transactions on Information Systems Security. 2006. V. 9. N 1. P. 61–93.
11. Maggi F., Matteucci M., Zanero S. Detecting intrusions through system call sequence and argument analysis // IEEE Transactions on Dependable and Secure Computing. 2010. V. 7. N 4. P. 381–395. doi: 10.1109/TDSC.2008.69
12. Milea N.A., Khoo S.C., Lo D., Pop C. NORT: runtime anomaly-based monitoring of malicious behavior for Windows // Lecture Notes in Computer Science. 2012. V. 7186. P. 115–130. doi: 10.1007/978-3-642-29860-8_10
13. Оладько В.С., Садовник Е.А. Алгоритм выявления процессов с аномальной активностью // Вестник компьютерных и информационных технологий. 2015. № 8. С. 35–39. doi: 10.14489/vkit.2015.08.рр.035-039
14. Садовник Е.А., Оладько В.С., Ермакова А.Ю., Микова С.Ю. Функции и задачи системы обнаружения вторжений на основе анализа активности вычислительных процессов // Инновационная наука. 2016. № 1-2. С. 121–124.
15. Ваганов М.Ю. Гибридная искусственная иммунная система защиты компьютера от процессов с аномальной активностью: дис. … канд. техн. наук. СПб., 2012. 92 с.
16. Прохоров Р.С. Бихевиористическая идентификация процессов // Математические структуры и моделирование. 2013. Т. 27. № 1. С. 103–112.
17. Одеров Р.С., Тенсин Е. Способы размещения своего кода в ядре ОС Microsoft Windows Server 2008 // Сборник трудов межвузовской научно-практической конференции «Актуальные проблемы организации и технологии защиты информации». СПб.: НИУ ИТМО, 2011. С. 100–102.
18. Баклановский М.В., Ханов А.Р. Поведенческая идентификация программ // Моделирование и анализ информационных систем. 2014. Т. 21. №6. С. 120–130.
19. Karkkainen J., Sanders P., Burkhardt S. Linear work suffix array construction // Journal of the ACM. 2006. V. 53. N 3. P. 918–936. doi: 10.1145/1217856.1217858
 

This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License