Zararli dasturlarni o'rganish - Malware research

O'z-o'zini takrorlaydigan kompyuter dasturi tushunchasini murakkab avtomatlarning ishlashi haqidagi dastlabki nazariyalardan kelib chiqish mumkin.[1] Jon fon Neyman nazariy jihatdan dastur o'zini o'zi ko'paytirishi mumkinligini ko'rsatdi. Bu mantiqiy natijani keltirib chiqardi hisoblash nazariyasi. Fred Koen kompyuter viruslari bilan tajriba o'tkazdi va Neyman postulatini tasdiqladi va zararli dasturlarning boshqa xususiyatlarini tekshirdi, masalan, ibtidoiy shifrlash yordamida o'z-o'zini obfuskatsiya qilish. 1988 yil doktorlik dissertatsiyasi kompyuter viruslari mavzusida edi.[2]

Koenning fakultet maslahatchisi, Leonard Adleman, umuman olganda, virus mavjudligini algoritmik aniqlash ekanligini qat'iy isbotladi hal qilib bo'lmaydigan.[3] Ushbu muammoni keng dastur sinfida virus mavjud emasligini aniqlashda xato qilmaslik kerak. Ushbu muammo barcha viruslarni tanib olish qobiliyatini talab qilmasligi bilan farq qiladi.

Adlemanning isboti, ehtimol zararli dasturlarning eng chuqur natijasidir hisoblash nazariyasi sanaga qadar va u ishonadi Kantorning diagonal argumenti shuningdek muammoni to'xtatish. Ajablanarlisi shundaki, keyinchalik Adlemanning ishi Young va Yung tomonidan ko'rsatildi kriptografiya a tushunchasini taqdim etib, teskari muhandislikka yuqori darajada chidamli virusni yaratishda idealdir kriptovirus.[4] Kriptovirus - bu ochiq kalitni o'z ichiga olgan va ishlatadigan va tasodifiy ravishda yaratilgan virus nosimmetrik shifr boshlash vektori (IV) va sessiya kaliti (SK).

Kriptovirusli tovlamachilik hujumida virus gibrid shifrlaydi Oddiy matn tasodifiy hosil bo'lgan IV va SK yordamida qurbonning mashinasidagi ma'lumotlar. Keyin IV + SK virus yozuvchisi yordamida shifrlanadi ochiq kalit. Nazariy jihatdan jabrlanuvchi shifrini ochish uchun virus yozuvchisi bilan IV + SK ni qaytarib olish to'g'risida muzokara olib borishi kerak shifrlangan matn (zaxira nusxalari yo'q deb hisoblasangiz). Virusni tahlil qilishda shifrni ochish uchun zarur bo'lgan IV va SK emas, balki IV va SK ni tiklash uchun zarur bo'lgan shaxsiy kalit aniqlanadi. Bu natija buni birinchi bo'lib ko'rsatdi hisoblash murakkabligi nazariyasi teskari muhandislikka qarshi kuchli zararli dasturlarni ishlab chiqish uchun ishlatilishi mumkin.

Kompyuter viruslarini tadqiq qilishning o'sib borayotgan yo'nalishi bu kabi modellardan foydalanib qurtlarni yuqtirish xatti-harakatlarini matematik modellashtirishdir Lotka-Volterra tenglamalari biologik virusni o'rganishda qo'llanilgan. Tadqiqotchilar tomonidan virus tarqalishining turli xil stsenariylari o'rganilgan, masalan, kompyuter virusini ko'paytirish, yirtqich kodlar singari virus bilan kurashish,[5][6] yamoqning samaradorligi va boshqalar.

Yaqinda xatti-harakatlarning zararli dasturlarini aniqlash bo'yicha tadqiqotlar o'tkazildi. Xulq-atvorni aniqlashning aksariyat yondashuvlari tahlilga asoslangan tizim qo'ng'irog'i bog'liqliklar. Amalga oshirilgan ikkilik kod yordamida kuzatiladi strace yoki aniqroq bo'yoqlarni tahlil qilish ma'lumotlar oqimiga bog'liqlikni hisoblash uchun tizim qo'ng'iroqlari. Natijada a yo'naltirilgan grafik tugunlar shunday tizim qo'ng'iroqlari va qirralar bog'liqlikni anglatadi. Masalan, agar natija tizim qo'ng'irog'i bilan qaytarilsa (to'g'ridan-to'g'ri natijada yoki bilvosita chiqish parametrlari orqali) keyinchalik tizim chaqiruvi parametri sifatida ishlatiladi . Dasturiy ta'minotni tahlil qilish uchun tizim qo'ng'iroqlaridan foydalanish g'oyasining kelib chiqishi Forrest va boshqalarning ishlarida uchraydi.[7] Christodorescu va boshq.[8] shuni ta'kidlash kerakki, zararli dastur mualliflari dasturning semantikasini o'zgartirmasdan tizim qo'ng'iroqlarini osongina tartibga sola olmaydi, bu zararli dasturlarni aniqlash uchun tizim qo'ng'iroqlariga bog'liqlik grafikalarini moslashtiradi. Ular zararli dastur va dasturiy ta'minot tizimining qo'ng'iroqlariga bog'liqlik grafikalari o'rtasidagi farqni hisoblashadi va natijada olingan grafikalarni aniqlash uchun foydalanadilar va yuqori aniqlash darajalariga erishadilar. Kolbitsch va boshq.[9] ramziy ifodalarni oldindan hisoblash va ularni ish vaqtida kuzatilgan syscall parametrlari bo'yicha baholash.

Ular baholash natijasida olingan natijaning ish vaqtida kuzatilgan parametr qiymatlariga mos kelishini kuzatish orqali bog'liqliklarni aniqlaydilar. Zararli dastur o'quv va test to'plamlarining qaramlik grafikalarini taqqoslash orqali aniqlanadi. Fredrikson va boshq.[10] zararli dasturiy ta'minot tizimining qo'ng'iroqlarga bog'liqlik grafikalarida farq qiluvchi xususiyatlarni ochib beradigan yondashuvni tavsiflang. Ular yordamida muhim xatti-harakatlar paydo bo'ladi kontseptsiya tahlili va tog'-kon qazish.[11] Babic va boshq.[12] yaqinda zararli dasturlarni aniqlash va unga asoslangan tasniflash uchun yangi yondashuvni taklif qildi grammatik xulosa ning daraxt avtomatlari. Ularning yondashuvi avtomat qaramlik grafikalaridan va ular zararli dasturlarni aniqlash va tasniflash uchun bunday avtomatdan qanday foydalanish mumkinligini ko'rsatadi.

Statik va dinamik zararli dasturlarni tahlil qilish usullarini birlashtirish bo'yicha tadqiqotlar hozirda ikkalasining ham kamchiliklarini minimallashtirish maqsadida olib borilmoqda. Islom va boshqalar kabi tadqiqotchilar tomonidan olib borilgan tadqiqotlar.[13] zararli dastur va zararli dasturlarning variantlarini yaxshiroq tahlil qilish va tasniflash uchun statik va dinamik usullarni birlashtirish ustida ishlamoqda.

Shuningdek qarang

Adabiyotlar

  1. ^ Jon fon Neyman, "O'z-o'zini ko'paytirish avtomatlari nazariyasi", 1-qism: Illinoys Universitetida o'qilgan ma'ruzalar stenogrammasi, 1949 yil dekabr, muharriri: A. W. Burks, Illinoys universiteti, 1966 yil.
  2. ^ Fred Koen, "Kompyuter viruslari", doktorlik dissertatsiyasi, Janubiy Kaliforniya universiteti, ASP Press, 1988 y.
  3. ^ L. M. Adleman, "Kompyuter viruslarining mavhum nazariyasi", Kriptologiyaning yutuqlari --- Kripto '88, LNCS 403, 354-374 betlar, 1988 y.
  4. ^ A. Young, M. Yung, "Kriptovirologiya: tovlamachilikka asoslangan xavfsizlik tahdidlari va qarshi choralar", IEEE xavfsizlik va maxfiylik bo'yicha simpoziumi, 129-141 betlar, 1996 y.
  5. ^ H. Toyoizumi, A. Qora. Yirtqichlar: Yaxshi iroda mobil kodlari kompyuter viruslariga qarshi kurashadi. Proc. 2002 yilgi yangi xavfsizlik paradigmalari bo'yicha seminar, 2002 yil
  6. ^ Zakiya M. Tamimi, Javed I. Xon, Ikkita kurashuvchi qurtlarni model asosida tahlil qilish, IEEE / IIU Proc. ICCCE '06, Kuala-Lumpur, Malayziya, 2006 yil may, Vol-I, p. 157-163.
  7. ^ S. Forrest, S. A. Hofmeyr, A. Somayaji, T. A. Longstaff, Tomas A.: Unix jarayonlari uchun o'zlik hissi, Proc. 1996 yil IEEE simptomi. xavfsizlik va maxfiylik to'g'risida, 1996, p. 120-129.
  8. ^ M. Kristodoresku, S. Jha, C. Kruegel: Zararli xatti-harakatlarning konchilik xususiyatlari, Proc. Evropa dasturiy ta'minot muhandisligi konf-ning 6-qo'shma yig'ilishining va ACM SIGSOFT simp. Dasturiy injiniring asoslari to'g'risida, 2007, p. 5-14
  9. ^ C. Kolbitsch, P. Milani, C. Kruegel, E. Kirda, X. Chjou va X. Vang: Yakuniy xostda zararli dasturlarni samarali va samarali aniqlash, 18-USENIX xavfsizlik simpoziumi, 2009 yil.
  10. ^ M. Fredrikson, S. Jha, M. Kristodoresku, R. Seylor va X. Yan: Shubhali xatti-harakatlardan zararli dasturlarning deyarli optimal ko'rsatkichlarini sintez qilish, Proc. Xavfsizlik va maxfiylik bo'yicha 2010 yil IEEE simpoziumi, 2010 yil, p. 45-60.
  11. ^ X. Yan, X. Cheng, J. Xan va P. S. Yu: Sichqoncha izlash orqali muhim grafik naqshlarni qazib olish Ma'lumotlarni boshqarish bo'yicha 2008 yilgi ACM SIGMOD xalqaro konferentsiyasi (SIGMOD'08) materiallari. Nyu-York, NY, AQSh: ACM Press, 2008, 433-444-betlar
  12. ^ D. Babic, D. Reynaud va D. Song: Daraxtlarni avtomatizatsiya qilish bilan zararli dasturlarni tahlil qilish, 23-chi Int. Kompyuter yordamida tekshirish bo'yicha konferentsiya, 2011 yil, Springer.
  13. ^ R. Islom, R. Tian, ​​L. M. Batten va S. Versteeg: zararli dasturlarni integral staik va dinamik xususiyatlarga qarab tasniflash, Network Computer Applications Journal, 2013, p. 646-656.