Найти

Расширенные фильтры
Опубликовано после
Опубликовано до

Результаты поиска

Найдено результатов: 2.

  • РАЗРАБОТКА АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ОБНАРУЖЕНИЯ ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

    Л.К. Бабенко , А.С. Кириллов
    153-167
    2021-10-05
    Аннотация

    При проведении исследований в области обнаружения вредоносного программного обеспечения основной фокус делается именно на методах, игнорируя то, как эти методы практически могли бы быть реализованы. С другой стороны, есть работы, которые раскрывают некоторые технические подробности реализации или оптимизации процесса анализа исследуемого образца и сбора данных о его работе. Однако, необходимо соединять результаты концепций экспериментальных систем и те возможности реализации, которые имеются. Целью работы является описание реализации автоматизированной системы обнаружения вредоносного программного обеспечения на основе предложенного ранее авторами метода, таким образом, дополняя результаты прошлых исследований и реализуя на практике предложенный метод обнаружения и кластеризации вредоносного программного обеспечения. В результате, раскрыты технические требования к проектируемой системе обнаружения вредоносного программного обеспечения, обусловленные предложенным ранее методом обнаружения и кластеризации. Произведено сравнение существующих средств поведенческого анализа, в качестве наиболее подходящей выбрана Сuckoo Sandbox, основным ее достоинством является открытость исходных текстов, что обеспечило возможность доработки как ее клиентской части, так и серверной части. В частности выполнено расширение списка контролируемых системных функций, определение модуля-источника вызова, определение контекста вызова. Так же, на основе Сuckoo Sandbox было разработано расширение, которое реализует предложенный авторами метод. Далее в статье раскрывается возможность портирования описанной системы для работы с образцами вредоносного программного обеспечения, разработанными под различные плат-формы. В частности, показано, что предложенные методы, могут быть адаптированы под такие платформы как .NET или Android, при этом доработки носят технический, а не принципиальных характер. С практический точки зрения, система представляет из себя программный комплекс для специалиста по безопасности и позволяет осуществлять оперативное обнаружение неизвестных ранее угроз и вместе с тем, за счет проведения кластеризации, идентифицировать конкретную угрозу для реализации наиболее подходящих мер защиты от этой угрозы. В предложенном виде, может быть использована как часть инфраструктуры предприятия для обеспечения антивирусной безопасности

  • КАСКАДНЫЙ АЛГОРИТМ КЛАССИФИКАЦИИ ДЛЯ ОБНАРУЖЕНИЯ ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ МЕТОДОМ СТАТИЧЕСКОГО АНАЛИЗА

    А.В. Козачок , А. В. Козачок , С.С. Матовых
    18-35
    2025-11-10
    Аннотация

    Представлено исследование, посвященное разработке и экспериментальной валидации двухуровневой каскадной архитектуры статической классификации исполняемых файлов формата Portable Executable (PE). Целью работы является разработка и экспериментальная оценка каскадного алгоритма статической классификации, направленного на снижение вычислительных затрат при сохранении качества обнаружения вредоносного программного обеспечения. На первом уровне каскада применяется модель дерево решений, обученная на десяти наиболее информативных признаках, обеспечивающая высокую полноту обнаружения Recall 0,990 при приемлемой ошибке 1 рода. Второй уровень реализован моделью случайный лес на сорока признаках и предназначен для уточняющей классификации, достигая метрик Precision 0,988 и Recall 0,987 при
    F1-мере 0,988. Порог классификации на первом уровне был установлен эмпирически с учётом минимизации ошибок второго рода, тогда как на втором уровне оптимальное значение порога определялось по индексу Юдена, обеспечивающему сбалансированное соотношение чувствительности и специфичности. Эксперименты на репрезентативной выборке показали, что при доле вредоносного трафика ≤ 20 % предложенный каскад сокращает среднее время анализа одного объекта на 5–12 % по сравнению с моделью на 40 признаках при сохранении сопоставимого качества классификации. Аналитически выведена граница применимости каскада по времени  = 20,6 %, подтвержденная эмпирическими данными. Практическая значимость работы заключается в возможности интеграции предложенного алгоритма в антивирусные шлюзы и средства защиты конечных точек, где требуются быстрый отклик и высокая полнота обнаружения при массовом сканировании преимущественно легитимного кода.

1 - 2 из 2 результатов