Методы построения моделей штатной работы ПО и алгоритмы выявления аномального поведения ПО Жилкин Сергей Дмитриевич МИФИ, факу

Содержание

Слайд 2

Предпосылки

Хорошо поддаются обнаружению:
классические вирусы
вирусы-трояны
spyware/adware
прочие вирусы, содержащие вредоносный код
Меньше

Предпосылки Хорошо поддаются обнаружению: классические вирусы вирусы-трояны spyware/adware прочие вирусы, содержащие вредоносный
внимания уделено:
недекларированным возможностям (НДВ)
обнаружению кода ПО, не являющимся вредоносным, но приводящим к несанкционированному доступу (НСД)

Слайд 3

Задачи

Создание программного комплекса для:
моделирования работы ПО в режиме, который заведомо считается

Задачи Создание программного комплекса для: моделирования работы ПО в режиме, который заведомо
доверенным
использование построенной модели для анализа работы ПО на предмет нахождения аномалий поведения
Особенности:
отсутствие требований экспертных знаний о ПО
независимость от платформы и ОС моделируемого ПО
возможность тиражирования

Слайд 4

Целевое ПО

ПО пользовательского уровня можно поделить на:
специализированное алгоритмическое ПО
системные службы
службы, работающие в

Целевое ПО ПО пользовательского уровня можно поделить на: специализированное алгоритмическое ПО системные
фоновом режиме
ПО с пользовательским интерфейсом
прикладное ПО
офисные пакеты Microsoft Office, StarOffice
Решения для моделирования ПО 1-го класса:
ряд программ: ps-watcher, pwatch, pScan (для ОС Linux)
Для моделирования ПО 2-го класса:
пока нет законченного продукта

Слайд 5

Моделирование ПО

Предлагается отслеживать поведение по взаимодействию с ресурсами операционной системы:
работа с

Моделирование ПО Предлагается отслеживать поведение по взаимодействию с ресурсами операционной системы: работа
файловой системой
обращение к сетевым ресурсам
вызовы функций драйверов
прочее (реестр, принтеры, ОЗУ, …)
Система аудита, основывающаяся на:
журнальных файлах и внутреннем аудите ОС (например, «Snare LogAgent» от InterSect)
системных вызовах на уровне драйверов ОС (например, «Инсайдер» от ООО Праймтек)

Слайд 6

Описание поведения ПО

Предлагается описывать поведение процесса характеристиками трёх типов:

число файловых операций, число

Описание поведения ПО Предлагается описывать поведение процесса характеристиками трёх типов: число файловых
операций с реестром ОС, число сетевых соединений, прочее
были ли порождены другие процессы от имени ПО, является ли ПО системным приложением, прочее
выделения оперативной памяти, обращения к жёсткому диску за промежутки времени, прочее

Количественные

Статистические

Логические

Слайд 7

Профиль поведения ПО
поведение ПО описывается набором чисел (вектором), в дальнейшем называемым

Профиль поведения ПО поведение ПО описывается набором чисел (вектором), в дальнейшем называемым
профилем ПО
профиль описывает поведение ПО за некоторое время работы

количественные характеристики

логические характеристики

статистические характеристики

Слайд 8

Распознавание с помощью нейронных сетей

Используются для распознавания образов
Выходом является результат

Распознавание с помощью нейронных сетей Используются для распознавания образов Выходом является результат
соответствия поданного на вход образа эталонному, на который обучена сеть
Обучение методом обратного распростра-нения ошибки

Слайд 9

Итерации обучения нейронной сети

профили моделируемого ПО, описывающие работу в штатном режиме

Множество

Итерации обучения нейронной сети профили моделируемого ПО, описывающие работу в штатном режиме
профилей для различных запусков моделируемого ПО
Корректировка нейронной сети, чтобы на её выходе для каждого профиля был положительный результат (близкий к 1)




p ≈ 1

вероятность соответствия

Слайд 10

Разделение работы на фазы

Трудности:
заранее не определённая последовательность выполнения функций ПО
заранее

Разделение работы на фазы Трудности: заранее не определённая последовательность выполнения функций ПО
не определённое время работы ПО
Решение:
разделение данных о поведении на фазы следующих типов:
запуск ПО
специфические действия ПО
завершение работы ПО

Слайд 11

Специфические действия ПО

Автоматическое выявление специфических действий в поведении ПО
Может быть несколько специфических

Специфические действия ПО Автоматическое выявление специфических действий в поведении ПО Может быть
действий
Для каждого из них обучается специальная нейронная сеть

запуск

завершение

спец. действ. №1

спец. действ. №2

Слайд 12

Модель поведения

Модель поведения ПО состоит из:
нейронная сеть для запуска
набор нейросетей

Модель поведения Модель поведения ПО состоит из: нейронная сеть для запуска набор
для специфических действий
нейронная сеть для завершения работы
Имея экспертные данные о поведении ПО можно задать гибкую/жёсткую последовательность выполнения специфических действий:

1

2.1

2.2

2.3

2.4

3

последовательность спец. действ.

запуск

завершение

Слайд 13

Анализ работы ПО

Динамическое выделение фаз работы в данных, поступающих о поведении

Анализ работы ПО Динамическое выделение фаз работы в данных, поступающих о поведении
ПО
Профиль каждой фазы подаётся на вход соответствующей нейронной сети
В случае низкой вероятности соответствия профиля:
можно говорить об аномалии поведения
возможно, нарушен порядок выполнения специфических действий
известна фаза, в которой выявлена аномалия

Слайд 14

Структура комплекса

комплекс обучения

комплекс анализа

хранилище данных

сенсоры

оператор или эксперт

программы-сенсоры, поставляющие информацию о действиях

Структура комплекса комплекс обучения комплекс анализа хранилище данных сенсоры оператор или эксперт
ПО
автоматизированные средства обучения
автоматические средства обнаружения аномалий

Слайд 15

Применение на практике

Комплекс испытывался на: Microsoft Office, Adobe Acrobat, Internet Explorer, системных

Применение на практике Комплекс испытывался на: Microsoft Office, Adobe Acrobat, Internet Explorer,
службах и ряде тестовых программ.
Microsoft Word:
все из более 30 макро-вирусов обнаружены (в том числе Fries.a, Over.a, Want, Nail.a, Antiavs)
обнаружена подмена исполняемого файла
services.exe
обнаружено заражение вирусом Downadup
Adobe Acrobat 7.0:
обнаружена НДВ исполнения произвольного кода в специально подготовленном PDF файле
Имя файла: Методы-построения-моделей-штатной-работы-ПО-и-алгоритмы-выявления-аномального-поведения-ПО-Жилкин-Сергей-Дмитриевич-МИФИ,-факу.pptx
Количество просмотров: 182
Количество скачиваний: 0
- Предыдущая
Муниципальное общеобразовательное учреждение "Большеромановская средняя школа им. Ю. Сиверина" Табунского района Алтайского края
Следующая -
Захаров В.П.

Похожие презентации

Европейский день соседей
Present simple (простое настоящее время)
Мода-2014
Программирование
Роль филологических дисциплин в формировании стратегий смыслового чтения и работы с текстом в контексте ФГОС
Искитимский центр профессионального обучения
«ОСОБЕННОСТИ СЕМЕЙНОГО ВОСПИТАНИЯ»
Карта для первокурсника. Защита проекта
Как определить окончание по вопросу?
Приоритетные направления деятельности ФАС России. Национальные ориентиры и международные проекты
Программа «Участник молодежного научно-инновационного конкурса» («У.М.Н.И.К.») в рамках Фонда содействия развитию малых форм предп
Презентация на тему Жизнь и творчество Николая Носова
Жизнь на 162%
Современные ленточнопильные станки
I know Delphi
Стиль модерн
Подготовка отчёта об исследовании
Мера ответственности родителей за воспитание ребенка
Научно-методический семинар по подготовке к итоговому сочинению 2016-2017. Победа и поражение
Презентация на тему Снежный барс 2 класс
Детский лагерь отдыха Ирандык
Реклама McDonald’s
Потребность. Блага. Услуги. Ресурсы
Красота в искусстве и в жизни
Бадминтон
Концепция Mazda Accessories
Что такое кроссфит
Карточка. Радиоактивность
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть