Kötü amaçlı yazılım araştırması - Malware research

Kendi kendini yeniden üreten bir bilgisayar programı kavramı, karmaşık otomatların işleyişi hakkındaki ilk teorilere kadar izlenebilir.[1] John von Neumann teoride bir programın kendini yeniden üretebileceğini gösterdi. Bu bir olasılık sonucu oluşturdu hesaplanabilirlik teorisi. Fred Cohen bilgisayar virüsleri ile deneyler yaptı ve Neumann'ın varsayımını doğruladı ve ilkel şifreleme kullanarak tespit edilebilirlik ve kendini gizleme gibi diğer kötü amaçlı yazılım özelliklerini araştırdı. 1988 Doktora tezi bilgisayar virüsleri konusundaydı.[2]

Cohen'in fakülte danışmanı, Leonard Adleman, genel durumda, bir virüsün varlığının algoritmik olarak belirlenmesinin karar verilemez.[3] Bu sorun, geniş bir program sınıfında bir virüsün bulunmadığının belirlenmesi ile karıştırılmamalıdır. Bu sorun, tüm virüsleri tanıma yeteneği gerektirmemesi bakımından farklılık gösterir.

Adleman'ın kanıtı belki de kötü amaçlı yazılımın en derin sonucudur hesaplanabilirlik teorisi bugüne kadar ve güveniyor Cantor'un çapraz argümanı yanı sıra durdurma sorunu. İronik olarak, daha sonra Young ve Yung tarafından Adleman'ın kriptografi tersine mühendisliğe karşı oldukça dirençli bir virüsün oluşturulmasında idealdir. kriptovirüs.[4] Bir kriptovirüs, bir genel anahtar içeren ve kullanan ve rastgele oluşturulan bir virüstür. simetrik şifre başlatma vektörü (IV) ve oturum anahtarı (SK).

Cryptoviral gasp saldırısında, virüs hibrit şifreler düz metin rastgele oluşturulmuş IV ve SK kullanılarak kurbanın makinesindeki veriler. IV + SK daha sonra virüs yazarının kullanımı ile şifrelenir. Genel anahtar. Teoride kurban, IV + SK'yi geri almak için virüs yazarıyla görüşmeli ve şifresini çözmelidir. şifreli metin (yedek olmadığını varsayarak). Virüsün analizi, şifre çözme için gerekli olan IV ve SK'yi veya IV ve SK'yi kurtarmak için gereken özel anahtarı değil, genel anahtarı ortaya çıkarır. Bu sonuç bunu gösteren ilk sonuçtu hesaplama karmaşıklığı teorisi ters mühendisliğe karşı dayanıklı kötü amaçlı yazılımlar tasarlamak için kullanılabilir.

Bilgisayar virüsü araştırmalarının büyüyen bir alanı, solucanların bulaşma davranışını matematiksel olarak modellemektir. Lotka – Volterra denklemleri biyolojik virüs çalışmasında uygulanmıştır. Bilgisayar virüsünün yayılması, virüs gibi yırtıcı kodlar ile virüsle mücadele gibi çeşitli virüs yayılım senaryoları araştırmacılar tarafından incelenmiştir.[5][6] yama vb. etkinliği

Davranışsal kötü amaçlı yazılım tespiti daha yakın zamanda araştırılmıştır. Davranışsal saptamaya yönelik çoğu yaklaşım, aşağıdakilerin analizine dayanmaktadır: sistem çağrısı bağımlılıklar. Yürütülen ikili kod kullanılarak izlenir strace veya daha kesin leke analizi veri akışı bağımlılıklarını hesaplamak için sistem çağrıları. Sonuç bir Yönlendirilmiş grafik öyle ki düğümler sistem çağrıları ve kenarlar bağımlılıkları temsil eder. Örneğin, sistem çağrısı tarafından bir sonuç döndürülürse (doğrudan sonuç olarak veya dolaylı olarak çıktı parametreleri aracılığıyla) daha sonra sistem çağrısının bir parametresi olarak kullanılır . Yazılımı analiz etmek için sistem çağrılarını kullanma fikrinin kökenleri Forrest ve diğerlerinin çalışmasında bulunabilir.[7] Christodorescu vd.[8] Kötü amaçlı yazılım yazarlarının programın anlamını değiştirmeden sistem çağrılarını kolayca yeniden sıralayamayacağına dikkat edin, bu da sistem çağrısı bağımlılık grafiklerini kötü amaçlı yazılım tespiti için uygun hale getirir. Kötü amaçlı yazılım ve iyi yazılım sistem çağrısı bağımlılık grafikleri arasında bir fark hesaplarlar ve tespit için ortaya çıkan grafikleri kullanarak yüksek tespit oranları elde ederler. Kolbitsch vd.[9] sembolik ifadeleri önceden hesaplayın ve bunları çalışma zamanında gözlemlenen sistem çağrısı parametrelerinde değerlendirin.

Değerlendirme ile elde edilen sonucun çalışma zamanında gözlemlenen parametre değerleriyle eşleşip eşleşmediğini gözlemleyerek bağımlılıkları tespit ederler. Kötü amaçlı yazılım, eğitim ve test setlerinin bağımlılık grafikleri karşılaştırılarak tespit edilir. Fredrikson vd.[10] Kötü amaçlı yazılım sistem çağrısı bağımlılık grafiklerindeki ayırt edici özellikleri ortaya çıkaran bir yaklaşımı açıklar. Kullanarak önemli davranışları çıkarırlar konsept analizi ve sıçrama madenciliği.[11] Babic vd.[12] yakın zamanda hem kötü amaçlı yazılım tespiti hem de sınıflandırma için yeni bir yaklaşım önerdi. gramer çıkarımı nın-nin ağaç otomatı. Yaklaşımları bir otomat bağımlılık grafiklerinden ve kötü amaçlı yazılımların tespiti ve sınıflandırılması için böyle bir otomatın nasıl kullanılabileceğini gösteriyor.

Statik ve dinamik kötü amaçlı yazılım analiz tekniklerini birleştirmeye yönelik araştırmalar da şu anda her ikisinin de eksikliklerini en aza indirmek için yürütülmektedir. Islam ve ark.[13] kötü amaçlı yazılım ve kötü amaçlı yazılım varyantlarını daha iyi analiz etmek ve sınıflandırmak için statik ve dinamik teknikleri entegre etmek için çalışıyor.

Ayrıca bakınız

Referanslar

  1. ^ John von Neumann, "Theory of Self-Reproducing Automata", Part 1: Transcripts of the University of Illinois, Aralık 1949, Editör: A. W. Burks, University of Illinois, USA, 1966.
  2. ^ Fred Cohen, "Bilgisayar Virüsleri", Doktora Tezi, Güney Kaliforniya Üniversitesi, ASP Press, 1988.
  3. ^ L. M. Adleman, "An Abstract Theory of Computer Viruses", Advances in Cryptology --- Crypto '88, LNCS 403, s. 354-374, 1988.
  4. ^ A. Young, M. Yung, "Kriptoviroloji: Şantaj Temelli Güvenlik Tehditleri ve Karşı Tedbirler" IEEE Güvenlik ve Gizlilik Sempozyumu, s. 129-141, 1996.
  5. ^ H. Toyoizumi, A. Kara. Yırtıcılar: İyi Niyet Mobil Kodları Bilgisayar Virüslerine Karşı Savaşır. Proc. 2002 Yeni Güvenlik Paradigmaları Çalıştayı, 2002
  6. ^ Zakiya M.Tamimi, Javed I. Khan, Savaşan İki Solucanın Modele Dayalı Analizi, IEEE / IIU Proc. of ICCCE '06, Kuala Lumpur, Malezya, Mayıs 2006, Cilt-I, s. 157-163.
  7. ^ S. Forrest, S.A. Hofmeyr, A. Somayaji, T.A. Longstaff, Thomas A .: Unix Süreçleri İçin Bir Benlik Duygusu, Proc. 1996 IEEE Symp. Güvenlik ve Mahremiyet Üzerine, 1996, s. 120-129.
  8. ^ M. Christodorescu, S. Jha, C. Kruegel: Kötü niyetli davranışın madencilik özellikleri, Proc. Avrupa yazılım mühendisliği konf. ve ACM SIGSOFT belirtisi. Yazılım mühendisliğinin temelleri üzerine, 2007, s. 5-14
  9. ^ C. Kolbitsch, P. Milani, C. Kruegel, E. Kirda, X. Zhou ve X. Wang: Son Ana Bilgisayarda Etkili ve Verimli Kötü Amaçlı Yazılım Algılama, 18. USENIX Güvenlik Sempozyumu, 2009.
  10. ^ M. Fredrikson, S. Jha, M. Christodorescu, R. Sailer ve X. Yan: Şüpheli Davranışlardan Optimal Olmayan Kötü Amaçlı Yazılım Özelliklerini Sentezleme, Proc. 2010 IEEE Güvenlik ve Mahremiyet Sempozyumu, 2010, s. 45-60.
  11. ^ X. Yan, H. Cheng, J. Han ve P. S. Yu: Sıçrayarak aramayla önemli grafik desenleri madenciliği 2008 ACM SIGMOD Uluslararası Veri Yönetimi Konferansı Bildirilerinde (SIGMOD’08). New York, NY, ABD: ACM Press, 2008, s. 433-444
  12. ^ D. Babic, D. Reynaud ve D. Song: Ağaç Otomata Çıkarımı ile Kötü Amaçlı Yazılım Analizi 23rd Int Bildirilerinde. Bilgisayar Destekli Doğrulama Konferansı, 2011, Springer.
  13. ^ R. Islam, R. Tian, ​​L. M. Batten ve S. Versteeg: Entegre sabit ve dinamik özelliklere dayalı kötü amaçlı yazılımların sınıflandırılması, Journal of Network Computer Applications, 2013, s. 646-656.