Constructing Heuristic Malware Detection Mechanism Based on Static Analysis

13:00 | 03/01/2018 | GP ATM

CSKH-01.2017 - (Tóm tắt) - Trong hệ thống mạng, vấn đề an toàn và bảo mật thông tin đóng một vai trò hết sức quan trọng. Bài báo này trình bày cơ sở lý thuyết về khả năng sử dụng không gian đặc trưng mới, được trích chọn trong quá trình phân tích tĩnh các tập tin thực thi để giải quyết bài toán nhận diện mã độc. Đóng góp khoa học trong bài báo bao gồm: Xây dựng bộ phân lớp tập tin thực thi trong trường hợp thiếu các thông tin tiên nghiệm, mô hình hóa lớp các tập tin bị lây nhiễm và phần mềm độc hại trong quá trình học máy; Xây dựng phương thức phát hiện phần mềm độc hại sử dụng mạng nơron và cây quyết định. Bài báo cũng mô tả mô hình hệ thống phát hiện phần mềm độc hại bằng cách sử dụng phương pháp phân tích tĩnh các tập tin thực thi...

Abstract - To ensure the protection of information processed by computer systems is currently the most important task in the construction and operation of the automated systems. The paper presents the application justification of a new set of features distinguished at the stage of the static analysis of the executable files to address the problem of malicious code detection. In the course of study, following problems were solved: development of the executable files classifier in the absence of a priori data concerning their functionality; designing class models of uninfected files and malware during the machine learning process; development of malicious code detection procedure using the neural networks mathematical apparatus and decision tree composition relating to the set of features specified on the basis of the executable files static analysis. The paper also describes the functional model of malware detection system using the executable files static analysis. The conclusion contains the results of experimental evaluation of the developed detection mechanism efficiency on the basis of neural networks and decision tree composition. The obtained data confirmed the hypothesis about the possibility of constructing the heuristic malware analyzer on the basis of features distinguished during the static analysis of the executable files. However, the approach based on the decision tree composition enables to obtain a significantly lower false negative rate probability with the specified initial data and classifier parameter values relating to neural networks.

Xem toàn bộ bài báo tại đây

Tài liệu tham khảo

[1] Kozachok, A. V. “Mathematical model of recognition destructive software tools based on hidden Markov models”, A.V. Kozachok, “Vestnik SibGUTI”, Vol. 3, pp. 29-39. – (in Russian), 2012.

[2] AV-Comparatives (2017) Malware protection test. URL https://www.av-comparatives.org/wpcontent/ uploads/2017/04/avc mpt 201703_en.pdf.

[3] Shabtai A, Moskovitch R, Elovici Y, Glezer C “Detection of malicious code by applying machine learning classiﬁers on static features: A state-of-the-art survey”. Information Security Technical Report 14(1) pp.16–29, 2009.

https://doi.org/10.1016/j.istr.2009.03.003

http://www.sciencedirect.com/science/article/pii/S136341270900004.

[4] Santos I, Devesa J, Brezo F, Nieves J, Bringas PG “Opem: A static-dynamic approach for machine-learning based malware detection”. In: International Joint Conference CISIS12-ICEUTE 12-SOCO 12 Special Sessions, Springer, Springer-Verlag Berlin Heidelberg, Ostrava, Czech Republic, pp 271–280, 2013.

[5] David B, Filiol E, Gallienne K , “Structural analysisof binary executable headers for malware detection optimization”. Journal of Computer Virology and Hacking Techniques Vol. 13(2),pp. 87–93, 2017.http://dx.doi.org/10.1007/s11416-016-0274-2.

[6] Uossermen, F. “Neurocomputing machinery”, F. Uosserman – Moscow: “Mir” Publisher (in Russian), p.184, 1992.

[7] Smagin, A. A. “Intelligent information systems / A.A. Smagin, S.V. Lipatova, A.S. Mel'nichenko”, Ul'janovsk: “UlGU” Publisher, (in Russian), p.136, 2010.

[8] Bayer, U. Scalable, “Behavior-Based Malware Clustering / U. Bayer, P. M. Comparetti, C. Hlauschek, C. Kruegel, E. Kirda”, NDSS, Vol. 9, pp. 8–11, 2009.

[9] Hinton, G. E. “A fast learning algorithm for deep belief nets”, G. E. Hinton, S. Osindero, Y. W. Teh Neural computation. Vol. 18(7), pp. 1527–1554, 2006.

[10] Moser, A. “Limits of static analysis for malware detection”, A. Moser, C. Kruegel, E. Kirda Twenty-Third Annual Computer Security Applications Conference. pp. 421-430, 2007.

[11] Srivastava, N. “Dropout: a simple way to prevent neural networks from overfitting”, N. Srivastava, G. E. Hinton, A. Krizhevsky, I. Sutskever, R. Salakhutdinov. – Journal of Machine Learning Research, Vol. 15(1), pp. 1929-1958, 2014.

[12] Schmind, H. “Probabilistic part-oﬁspeech tagging using decision trees”, H. Schmind, In New methods in language processing. Routledge Publisher, p.154, 2013.

[13] Shi, T. “Unsupervised learning with random forest predictors”, T. Shi, S. Horvath, Journal of Computational and Graphical Statistics Vol. 15(1), pp. 118–138, 2006.

[14] Federal Service for Technology and Export Control, “Informacionnoe soobshhenie ob utverzhdenii trebovanij k sredstvam antivirusnoj zashhity” (in Russian) 240/24/3095, 2012.

Alexander Kozachok

‹ › ×

Tin liên quan

Giải pháp kiểm tra đồng thời mức độ an toàn và khả năng tiếp cận của trang web

08:00 | 09/02/2017

CSKH-02.2016 - (Tóm tắt) - An toàn và dễ tiếp cận là hai khía cạnh độc lập của chất lượng trang web. Tuy nhiên, nếu kiểm tra riêng từng tiêu chí này thì sẽ khó đánh giá mối tương quan giữa các khía cạnh này. Bài viết này mô tả một cách tiếp cận cho phép kiểm tra tính an toàn và tính dễ tiếp cận cho các nội dung web, được hiển thị ở trình duyệt phía máy khách (client).

Giải pháp bảo đảm an toàn cơ sở dữ liệu trong môi trường OUTSOURCE

08:00 | 21/09/2016

CSKH-01.2015 - (Tóm tắt) - Điện toán đám mây đang được ứng dụng rộng rãi nhờ vào những ưu điểm về kinh tế và công nghệ. Tuy nhiên, dữ liệu của người dùng được đưa lên đám mây (outsource cơ sở dữ liệu) sẽ xuất hiện rủi ro khi nhiều thông tin được tập trung vào một nơi. Thậm chí nếu chỉ sử dụng đám mây như một giải pháp sao lưu dữ liệu thì rủi ro vẫn tồn tại. Vì vậy, mã hóa dữ liệu trước khi chuyển lên đám mây để đảm bảo an toàn dữ liệu trở nên cần thiết. Trong bài báo này, chúng tôi đề xuất một giải pháp bảo đảm an toàn khi outsource cơ sở dữ liệu.

Nguy cơ an toàn bảo mật trên không gian mạng tại Việt Nam và các giải pháp

11:00 | 25/10/2017

Đây là chủ đề của hội nghị chuyên đề Internet châu Á, diễn ra vào ngày 24/10/2017 tại Hà Nội. Sự kiện do Hiệp hội Internet Việt Nam (VIA) phối hợp với Tổ chức Internet toàn cầu (Internet Society-ISOC ) và Trung tâm Internet Việt Nam (VNNIC) tổ chức.

Tin cùng chuyên mục

Một phương pháp mã hóa phân vùng dữ liệu trên máy tính nhúng (Phần II)

16:00 | 27/07/2023

Trong phần I của bài báo, nhóm tác giả đã trình bày về các phương pháp mã hóa dữ liệu lưu trữ, trong đó tập trung về giải pháp mã hóa phân vùng bằng dm-crypt và LUKS trên máy tính nhúng, cụ thể là Raspberry Pi. Với những ưu điểm của việc thiết kế module dưới dạng tách rời, trong phần II này, nhóm tác giả sẽ trình bày cách xây dựng module Kuznyechik trong chuẩn mật mã GOST R34.12-2015 trên Raspberry Pi, từ đó xây dựng một phần mềm mã hóa phân vùng lưu trữ video từ camera sử dụng thuật toán mật mã mới tích hợp.

Giao thức QUIC ứng dụng trong giao thức HTTP phiên bản 3 (HTTP/3)

10:00 | 25/04/2023

HTTP và HTTPS là những giao thức ứng dụng có lịch sử lâu đời của bộ giao thức TCP/IP, thực hiện truyền tải siêu văn bản, được sử dụng chính trên nền tảng mạng lưới toàn cầu (World Wide Web) của Internet. Những năm gần đây, Google đã nghiên cứu thử nghiệm một giao thức mạng mới trong giao thức HTTP phiên bản 3 đặt tên là QUIC, với mục tiêu sẽ dần thay thế TCP và TLS trên web. Bài báo này giới thiệu về giao thức QUIC với các cải tiến trong thiết kế để tăng tốc lưu lượng cũng như làm cho giao thức HTTP có độ bảo mật tốt hơn.

Một phương pháp mã hóa phân vùng dữ liệu trên máy tính nhúng (Phần I)

10:00 | 21/04/2023

Hiện nay, các ứng dụng sử dụng hệ thống Internet vạn vật (Internet of Things - IoT) phát triển nhanh về số lượng dẫn đến những nguy cơ tiềm ẩn về lộ lọt dữ liệu nhạy cảm. Trong bài báo này, nhóm tác giả đề xuất một phương pháp mã hóa phân vùng trên máy tính nhúng sử dụng dm-crypt và LUKS để bảo vệ dữ liệu cho ứng dụng camera, đồng thời tích hợp thêm thuật toán mật mã Kuznyechik trong chuẩn GOST R34.12-2015 trên máy tính nhúng Raspberry Pi. Trong phần I, bài báo đi tìm hiểu về các phương pháp mã hóa dữ liệu và trình bày về các giải pháp mã hóa dữ liệu lưu trữ, giới thiệu nguyên lý hoạt động và một số công cụ phần mềm hỗ trợ mã hóa dữ liệu cả về thương mại lẫn mã nguồn mở, tìm hiểu sâu hơn về giải pháp mã hóa phân vùng bằng dm-crypt và LUKS trên máy tính nhúng, cụ thể là Raspberry Pi.

Một cách nhìn về cơ chế đồng thuận dùng bằng chứng cổ phần

13:00 | 26/12/2022

Một khía cạnh quan trọng của công nghệ blockchain (chuỗi khối) là xác định người dùng nào công bố khối tiếp theo. Điều này được giải quyết thông qua việc thực hiện một trong nhiều mô hình đồng thuận có thể. Trong khi cố gắng cải thiện hiệu quả năng lượng của các chuỗi khối sử dụng bằng chứng công việc (Proof of Work - PoW) trong cơ chế đồng thuận, bằng chứng cổ phần (Proof of Stake - PoS) lại đưa ra một loạt các thiếu sót mới đáng kể trong cả mô hình tiền tệ và mô hình quản trị. Bài viết trình bày lại các phân tích của [1] và chỉ ra rằng những hệ thống như vậy là độc tài, độc quyền nhóm và được ủy quyền (permissioned).

Tin được quan tâm

Bảo đảm an ninh thông tin cơ sở hạ tầng quan trọng của Hoa Kỳ

08:00 | 11/01/2024 | Chính sách - Chiến lược
Giải pháp phân loại tương tác giữa 2 người trong chuỗi ảnh rời rạc (Phần I)

09:00 | 10/01/2024 | Giải pháp khác

Giải pháp tăng cường an ninh mạng ở Italia

09:00 | 05/01/2024|Chính sách - Chiến lược
Cạnh tranh Mỹ - Trung về cáp quang biển toàn cầu (phần 1)

09:00 | 05/01/2024|An ninh – Quốc Phòng

CISA cung cấp dịch vụ an ninh mạng cho các tổ chức trọng yếu không thuộc Chính quyền

09:00 | 21/12/2023|CA Công cộng
5 lưu ý giúp tăng cường bảo mật công nghệ vận hành cho các doanh nghiệp sản xuất

14:00 | 14/08/2023|Giải pháp khác

GP Mật mã

Sự phát triển của lược đồ chữ ký số kháng lượng tử dựa trên hàm băm

Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.

09:00 | 01/04/2024
Về một phương pháp tấn công kênh kề lên mã khối Kalyna
Khuyến nghị độ dài các tham số sử dụng cho hệ thống mật mã RSA trong một số tiêu chuẩn mật mã
Một số khuyến nghị về độ an toàn của hệ mật RSA (Phần I)

Giải pháp khác

Những yếu tố quan trọng giúp khôi phục dữ liệu hiệu quả sau khi bị tấn công mã độc tống tiền

Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.

19:00 | 30/04/2024
Bug Bounty nguồn lực cộng đồng: lợi ích về bảo mật và tổn thất tiềm tàng (Phần II)
Bug Bounty nguồn lực cộng đồng: lợi ích về bảo mật và tổn thất tiềm tàng (Phần I)
Cách bảo vệ email và tài khoản mạng xã hội