Методы построения моделей штатной работы ПО и алгоритмы выявления аномального поведения ПО Жилкин Сергей Дмитриевич МИФИ, факу

Содержание

Слайд 2

Предпосылки

Хорошо поддаются обнаружению:
классические вирусы
вирусы-трояны
spyware/adware
прочие вирусы, содержащие вредоносный код
Меньше

Предпосылки Хорошо поддаются обнаружению: классические вирусы вирусы-трояны spyware/adware прочие вирусы, содержащие вредоносный
внимания уделено:
недекларированным возможностям (НДВ)
обнаружению кода ПО, не являющимся вредоносным, но приводящим к несанкционированному доступу (НСД)

Слайд 3

Задачи

Создание программного комплекса для:
моделирования работы ПО в режиме, который заведомо считается

Задачи Создание программного комплекса для: моделирования работы ПО в режиме, который заведомо
доверенным
использование построенной модели для анализа работы ПО на предмет нахождения аномалий поведения
Особенности:
отсутствие требований экспертных знаний о ПО
независимость от платформы и ОС моделируемого ПО
возможность тиражирования

Слайд 4

Целевое ПО

ПО пользовательского уровня можно поделить на:
специализированное алгоритмическое ПО
системные службы
службы, работающие в

Целевое ПО ПО пользовательского уровня можно поделить на: специализированное алгоритмическое ПО системные
фоновом режиме
ПО с пользовательским интерфейсом
прикладное ПО
офисные пакеты Microsoft Office, StarOffice
Решения для моделирования ПО 1-го класса:
ряд программ: ps-watcher, pwatch, pScan (для ОС Linux)
Для моделирования ПО 2-го класса:
пока нет законченного продукта

Слайд 5

Моделирование ПО

Предлагается отслеживать поведение по взаимодействию с ресурсами операционной системы:
работа с

Моделирование ПО Предлагается отслеживать поведение по взаимодействию с ресурсами операционной системы: работа
файловой системой
обращение к сетевым ресурсам
вызовы функций драйверов
прочее (реестр, принтеры, ОЗУ, …)
Система аудита, основывающаяся на:
журнальных файлах и внутреннем аудите ОС (например, «Snare LogAgent» от InterSect)
системных вызовах на уровне драйверов ОС (например, «Инсайдер» от ООО Праймтек)

Слайд 6

Описание поведения ПО

Предлагается описывать поведение процесса характеристиками трёх типов:

число файловых операций, число

Описание поведения ПО Предлагается описывать поведение процесса характеристиками трёх типов: число файловых
операций с реестром ОС, число сетевых соединений, прочее
были ли порождены другие процессы от имени ПО, является ли ПО системным приложением, прочее
выделения оперативной памяти, обращения к жёсткому диску за промежутки времени, прочее

Количественные

Статистические

Логические

Слайд 7

Профиль поведения ПО
поведение ПО описывается набором чисел (вектором), в дальнейшем называемым

Профиль поведения ПО поведение ПО описывается набором чисел (вектором), в дальнейшем называемым
профилем ПО
профиль описывает поведение ПО за некоторое время работы

количественные характеристики

логические характеристики

статистические характеристики

Слайд 8

Распознавание с помощью нейронных сетей

Используются для распознавания образов
Выходом является результат

Распознавание с помощью нейронных сетей Используются для распознавания образов Выходом является результат
соответствия поданного на вход образа эталонному, на который обучена сеть
Обучение методом обратного распростра-нения ошибки

Слайд 9

Итерации обучения нейронной сети

профили моделируемого ПО, описывающие работу в штатном режиме

Множество

Итерации обучения нейронной сети профили моделируемого ПО, описывающие работу в штатном режиме
профилей для различных запусков моделируемого ПО
Корректировка нейронной сети, чтобы на её выходе для каждого профиля был положительный результат (близкий к 1)




p ≈ 1

вероятность соответствия

Слайд 10

Разделение работы на фазы

Трудности:
заранее не определённая последовательность выполнения функций ПО
заранее

Разделение работы на фазы Трудности: заранее не определённая последовательность выполнения функций ПО
не определённое время работы ПО
Решение:
разделение данных о поведении на фазы следующих типов:
запуск ПО
специфические действия ПО
завершение работы ПО

Слайд 11

Специфические действия ПО

Автоматическое выявление специфических действий в поведении ПО
Может быть несколько специфических

Специфические действия ПО Автоматическое выявление специфических действий в поведении ПО Может быть
действий
Для каждого из них обучается специальная нейронная сеть

запуск

завершение

спец. действ. №1

спец. действ. №2

Слайд 12

Модель поведения

Модель поведения ПО состоит из:
нейронная сеть для запуска
набор нейросетей

Модель поведения Модель поведения ПО состоит из: нейронная сеть для запуска набор
для специфических действий
нейронная сеть для завершения работы
Имея экспертные данные о поведении ПО можно задать гибкую/жёсткую последовательность выполнения специфических действий:

1

2.1

2.2

2.3

2.4

3

последовательность спец. действ.

запуск

завершение

Слайд 13

Анализ работы ПО

Динамическое выделение фаз работы в данных, поступающих о поведении

Анализ работы ПО Динамическое выделение фаз работы в данных, поступающих о поведении
ПО
Профиль каждой фазы подаётся на вход соответствующей нейронной сети
В случае низкой вероятности соответствия профиля:
можно говорить об аномалии поведения
возможно, нарушен порядок выполнения специфических действий
известна фаза, в которой выявлена аномалия

Слайд 14

Структура комплекса

комплекс обучения

комплекс анализа

хранилище данных

сенсоры

оператор или эксперт

программы-сенсоры, поставляющие информацию о действиях

Структура комплекса комплекс обучения комплекс анализа хранилище данных сенсоры оператор или эксперт
ПО
автоматизированные средства обучения
автоматические средства обнаружения аномалий

Слайд 15

Применение на практике

Комплекс испытывался на: Microsoft Office, Adobe Acrobat, Internet Explorer, системных

Применение на практике Комплекс испытывался на: Microsoft Office, Adobe Acrobat, Internet Explorer,
службах и ряде тестовых программ.
Microsoft Word:
все из более 30 макро-вирусов обнаружены (в том числе Fries.a, Over.a, Want, Nail.a, Antiavs)
обнаружена подмена исполняемого файла
services.exe
обнаружено заражение вирусом Downadup
Adobe Acrobat 7.0:
обнаружена НДВ исполнения произвольного кода в специально подготовленном PDF файле
Имя файла: Методы-построения-моделей-штатной-работы-ПО-и-алгоритмы-выявления-аномального-поведения-ПО-Жилкин-Сергей-Дмитриевич-МИФИ,-факу.pptx
Количество просмотров: 133
Количество скачиваний: 0