Например, Бобцов

ОЦЕНКА ТОЧНОСТИ АЛГОРИТМА РАСПОЗНАВАНИЯ ВРЕДОНОСНЫХ ПРОГРАММ НА ОСНОВЕ ПОИСКА АНОМАЛИЙ В РАБОТЕ ПРОЦЕССОВ

Аннотация:

Предмет исследования.Предложен алгоритм, позволяющий находить аномалии в поведении процессов операционной системы, вызванные исполнением ранее неизвестных участков кода программы. Алгоритм реализован в рамках системы обнаружения и подавления вредоносных программ КОДА. Предложена методика тестирования алгоритма, позволяющая уменьшить время тестирования и повысить его точность. Метод.Предложенный метод основан на построении модели здорового процесса по последовательностям системных вызовов, совершенных его потоками. Выбраны оценки схожести между произвольным процессом и моделью, которые позволяют свести задачу поиска аномалий к задаче классификации векторов. Для оценки точности алгоритма предложено оценивать точность классификатора методом перекрестной проверки. В качестве классификатора была выбрана нейронная сеть типа персептрон. Основные результаты. Разработана и реализована платформа для массового распределенного запуска экземпляров вредоносных программ в виртуальных машинах. Платформа реализована с использованием открытой библиотеки для организации распределенных вычислений BOINC. В качестве базы для тестирования использована академическая база вредоносных экземпляров, а также открытая база Malwr,содержащие 60 тысяч вредоносных программ. Из общей базы корректно отработали 33,13% программ. Составлена модель легитимных процессов, запущенных в течение получаса. Оценки поведения вредоносных программ в рамках этой модели записаны как вектора. Для классификации этих векторов произведен поиск наилучшей по точности нейронной сети. На основе перебора нейронных сетей с различными параметрами обучения и количеством нейронов на скрытом слое выбран наилучший классификатор, точность которого составила 91%. Практическая значимость. Результаты работы могут быть полезны при обнаружении вредоносных программ. Для работы алгоритма не требуется подключение к сети Интернет. Алгоритм позволяет находить как известные, так и новые угрозы.

Ключевые слова:

Статьи в номере