Введение к работе
В настоящее время эпидемии компьютерных вирусов и других вредоносных программ наносят огромный ущерб различным организациям и отдельным пользователям компьютеров. За последние 15-20 лет распространение вредоносного кода, носившее локальный характер, превратилось в глобальные эпидемии сетевых червей, не требующих для распространения участия пользователей. Работа и функционирование многих структур и организаций тесно связана или полностью зависит от глобальных сетей. Сетевые черви, размножающиеся в неограниченном количестве, забивают каналы передачи информации, тем самым нанося огромные убытки, не говоря уже о том, что код современного червя как правило содержит деструктивную нагрузку, что приводит к потере или утечке важной и конфиденциальной информации.
Современное программное обеспечение также не способствует снижению числа новых эпидемий вредоносных программ. Новые уязвимости в различных программах находят практически каждый день, производители программного обеспечения не всегда оперативно их устраняют, а готовые заплатки устанавливаются очень медленно. Некоторые пользователи и технический персонал сетей никак не заботятся о безопасности собственных компьютеров. Определенную роль в распространении вирусов играет и человеческий фактор: неопытные пользователи, не задумываясь, открывают все почтовые вложения, через которые распространяются многие вредоносные программы. Также многие пользователи не заботятся о регулярном обновлении антивирусных программ.
Однако, без сомнения, одним из основных факторов, стимулирующих распространение вредоносного кода (ВК), является трудность поиска автора - в бинарном объекте трудно найти улики в классическом их понимании. В результате, у вирусописателей создаётся ощущение абсолютной безнаказанности. Новые вредоносные программы появляются каждый день, а случаи обнаружения их создателей единичны и связаны только с наиболее известными образцами вредоносного кода. Безнаказанность, возможность прославиться и применить свои навыки программирования привлекают многих в создании и распространении вредоносных программ. Для применения к ним соответствующих мер, предусмотренных законодательством необходимо доказать причастность конкретного человека к созданию вредоносной программы. В качестве одного из доказательств в судебных процессах применяется графологическая экспертиза. Было бы удобно, если нечто подобное можно было применить к исполняемому коду.
Проблема определения авторства, распределения различных текстов по заданным категориям с помощью машины и другие подобные задачи достаточно давно интересуют различных ученых: математиков, лингвистов, специалистов по компьютерным технологиям и проблемам искусственного интеллекта. Для естественных языков были разработаны различные методы, позволяющие, в частности, определить авторство того или иного текста. Таких методов несколько, но все они так или иначе сводятся к анализу авторства представленного текста с одним или несколькими текстами, авторство которых заранее известно. Эти методы, после соответствующей доработки, можно применить для исполняемого кода. При наличии образцов кода различных авторов, можно с некоторой степенью вероятности определить, какому автору принадлежит исследуемая вредоносная программа.
Помимо правоохранительной сферы, проблема определения авторства вредоносного кода также остро стоит перед антивирусными компаниями. Одной из основных проблем, стоящих перед современными антивирусными компаниями является обработка так называемого "входного потока" - объектов, поступающих на вход вирусной лаборатории, по каждому из которых необходимо в максимально короткое время вынести вердикт - вредоносный ли это объект. В случае положительного вердикта объект добавляется в вирусную коллекцию, с него снимается сигнатура, которая попадает в антивирусную базу. В современном мире время от появления вредоносного объекта в "дикой среде" до появления его сигнатуры в антивирусной базе на компьютере конечного пользователя исчисляется всего лишь десятками минут и этот параметр - один из основных, за которых борются антивирусные компании. Проблема заключается в том, что основная часть входного потока - это объекты от авторов, чьи более ранние вредоносные программы уже присутствуют в вирусной коллекции - зачастую аналитику приходится детектировать лишь небольшую модификацию уже имеющегося образца ВК. Для решения данной проблемы создаются утилиты, осуществляющие поиск по коллекции схожих с исследуемым объектом образцов кода. Однако данные утилиты обладают серьёзными недостатками - прежде всего, они ищут крупные участки сходного бинарного кода, в результате чего их эффективность не очень высока, в результате основную работу всё равно выполняет эксперт (аналитик).
Целью диссертационной работы является разработка новой модели и метода определения авторства вредоносного кода. Этот метод должен учитывать особенности устройства компьютерных вредоносных программ и позволять выявить вероятность общего авторства образцов вредоносного кода без участия эксперта. Модель должна быть достаточно гибкой и универсальной, предоставлять различные параметры, с помощью которых можно настраивать модель для сравнения различных типов вредоносных программ.
Поставленная цель обуславливает необходимость решения следующих
задач:
-
Провести анализ предметной области, рассмотреть существующие методы определения авторства вредоносных программ, выявить перспективные направления в этой области.
-
Разработать новую математическую модель определения авторства ВК. Определить исходные положения, на которых будет построена новая модель, сформулировать модель, описать ее параметры. Сформулировать метод определения вероятности общего авторства двух образцов вредоносного кода.
-
Сравнить результаты анализа реальных образцов вредоносного кода, полученные с помощью существующих методов автоматического поиска схожих объектов, а также сформированного метода, с реальными статистическими данными об общем авторстве вредоносных программ, определённом экспертами в ручном режиме на большой выборке объектов.
В соответствие с целями и задачами диссертационной работы определены ее предмет и объект.
ПРЕДМЕТОМ работы является комплекс вопросов, связанных с определением общего авторства бинарных объектов, в частности, вредоносных программ. В качестве ОБЪЕКТА исследования выступают вирусные коллекции, статистические данные о распространении вредоносных программ и их общем авторстве, существующие методы поиска схожих образцов ВК и результаты, полученные с их помощью.
При решении поставленных задач были использованы: методы математической статистики и математического анализа, в частности теория Марковских случайных процессов, теория распознавания образов и корреляционный анализ.
В диссертационной работе представлена математическая модель определения авторства вредоносного кода на основе анализа матрицы переходных вероятностей цепи Маркова. В представленной модели бинарный исполняемый объект моделируется однородной цепью Маркова, а вероятность общего авторства двух объектов связана со схожестью рельефных образов, сформированных на основе матриц переходных вероятностей. Такой подход, в отличие от предыдущих разработок в этой области, позволяет адаптировать уже имеющиеся методы анализа авторства текстов к задаче анализа бинарных объектов, а также выявить схожие частотные характеристики у исследуемых объектов даже при отсутствии больших одинаковых участков бинарного кода. Вероятности общего авторства реальных образцов ВК, предсказанные с помощью модели на основе анализа матрицы переходных вероятностей Маркова, хорошо согласуется со статистическими данными.
Представленная в диссертационной работе модель и метод универсальны и обеспечивают определение факта общего авторства вредоносных программ с высокой степенью достоверности. Результаты анализа программной реализации метода на коллекциях выборке вредоносных объектов согласуются с имеющимися статистическими данными об общем авторстве конкретных образцов вредоносного кода. Метод пригоден как для поиска вероятного автора вредоносного кода при проведении следственных мероприятий, так и для поиска схожих образцов вредоносного кода в вирусной коллекции антивирусной компании для ускорения и повышения коэффициента автоматизации в процессе детектирования (установления факта вредоносности исследуемого объекта).
1. Бинарный исполняемый объект вредоносного кода может быть представлен однородной цепью Маркова. Дискретные ячейки памяти (байты)
формируют пространство состояний цепи, двухбайтные последовательности - переходы, последовательности произвольной длины - словарь над байтовым алфавитом.
-
-
Матрицы переходных вероятностей цепей Маркова, сформированные на основе объектов кода, могут быть представлены в виде рельефных образов, в которых возбуждение каждого одномерного рецептора представлено соответствующей переходной вероятностью.
-
Вероятность общего авторства объектов кода пропорциональна степени сходства образов, сформированных на основе данных объектов.
СТРУКТУРА И ОБЪЕМ ДИССЕРТАЦИИ
Похожие диссертации на Модель и метод определения авторства вредоносного кода
-
