Malwarový výzkum - Malware research

Představu o samoreprodukujícím se počítačovém programu lze vysledovat až k počátečním teoriím o fungování složitých automatů.[1] John von Neumann ukázal, že teoreticky se program může sám reprodukovat. To představovalo věrohodný výsledek teorie vypočítatelnosti. Fred Cohen experimentoval s počítačovými viry a potvrdil Neumannův postulát a prozkoumal další vlastnosti malwaru, jako je detekovatelnost a sebepoškozování pomocí rudimentárního šifrování. Jeho disertační práce z roku 1988 byla na téma počítačových virů.[2]

Cohenův fakultní poradce, Leonard Adleman, předložil přísný důkaz, že v obecném případě je algoritmické stanovení přítomnosti viru nerozhodnutelný.[3] Tento problém nesmí být zaměňován s problémem stanovení v široké třídě programů, že virus není přítomen. Tento problém se liší v tom, že nevyžaduje schopnost rozpoznat všechny viry.

Adlemanův důkaz je možná nejhlubším výsledkem malwaru teorie vypočítatelnosti k dnešnímu dni a spoléhá se na to Cantorův diagonální argument stejně jako zastavení problému. Je ironií, že Young a Yung později ukázali, že Adleman pracoval v kryptografie je ideální pro konstrukci viru, který je vysoce rezistentní na reverzní inženýrství předložením pojmu a kryptovirus.[4] Kryptovirus je virus, který obsahuje a používá veřejný klíč a je náhodně generován symetrická šifra inicializační vektor (IV) a klíč relace (SK).

Při útoku na vydírání kryptovirů šifruje hybridní virus prostý text data na stroji oběti pomocí náhodně generovaných IV a SK. IV + SK jsou poté zašifrovány pomocí programu pro zápis virů veřejný klíč. Teoreticky musí oběť vyjednávat s autorem virů, aby získala IV + SK zpět, aby mohla dešifrovat šifrový text (za předpokladu, že neexistují žádné zálohy). Analýza viru odhaluje veřejný klíč, nikoli IV a SK potřebný pro dešifrování, nebo soukromý klíč potřebný k obnovení IV a SK. Tento výsledek to ukázal jako první teorie výpočetní složitosti lze použít k vytvoření malwaru, který je odolný proti zpětnému inženýrství.

Rostoucí oblastí výzkumu počítačových virů je matematicky modelovat infekční chování červů pomocí modelů, jako jsou Rovnice Lotka – Volterra, který byl použit při studiu biologického viru. Výzkumníci studovali různé scénáře šíření virů, jako je šíření počítačového viru, boj proti viru s virovými kódy predátorů,[5][6] účinnost opravy atd.

Detekce behaviorálního malwaru byla zkoumána v poslední době. Většina přístupů k detekci chování je založena na analýze systémové volání závislosti. Spuštěný binární kód je sledován pomocí strace nebo přesněji slabá analýza k výpočtu závislostí toku dat mezi systémová volání. Výsledkem je a řízený graf takové, že uzly jsou systémová volání a hrany představují závislosti. Například, pokud je výsledek vrácen systémovým voláním (buď přímo jako výsledek, nebo nepřímo prostřednictvím výstupních parametrů) se později použije jako parametr systémového volání . Počátky myšlenky využívat systémová volání k analýze softwaru lze najít v práci Forresta a kol.[7] Christodorescu a kol.[8] poukazují na to, že autoři malwaru nemohou snadno změnit pořadí systémových volání bez změny sémantiky programu, díky čemuž jsou grafy závislostí systémových volání vhodné pro detekci malwaru. Vypočítávají rozdíl mezi grafy závislostí systémových volání na malware a goodware a výsledné grafy používají k detekci a dosahují vysoké míry detekce. Kolbitsch a kol.[9] předem vypočítat symbolické výrazy a vyhodnotit je na parametrech syscall pozorovaných za běhu.

Zjistí závislosti sledováním, zda se výsledek získaný hodnocením shoduje s hodnotami parametrů pozorovanými za běhu. Malware je detekován porovnáním grafů závislostí tréninkových a testovacích sad. Fredrikson a kol.[10] popsat přístup, který odkrývá charakteristické rysy grafů závislostí volání systému na malwaru. Extrahují významné chování pomocí koncepční analýza a skokovou těžbu.[11] Babic a kol.[12] nedávno navrhl nový přístup k detekci malwaru a klasifikaci na základě odvození gramatiky z stromové automaty. Jejich přístup vyvozuje an automat ze závislostních grafů a ukazují, jak lze takový automat použít k detekci a klasifikaci malwaru.

V současné době probíhá také výzkum kombinující techniky statické a dynamické analýzy malwaru ve snaze minimalizovat nedostatky obou. Studie výzkumníků, jako je Islam a kol.[13] pracují na integraci statických a dynamických technik s cílem lépe analyzovat a klasifikovat malware a varianty malwaru.

Viz také

Reference

  1. ^ John von Neumann, „Theory of Self-Reproduating Automata“, 1. část: Přepisy přednášek na University of Illinois, prosinec 1949, editor: A. W. Burks, University of Illinois, USA, 1966.
  2. ^ Fred Cohen, "Počítačové viry", disertační práce, University of Southern California, ASP Press, 1988.
  3. ^ L. M. Adleman, „An Theory Theory of Computer Viruses“, Advances in Cryptology --- Crypto '88, LNCS 403, pp. 354-374, 1988.
  4. ^ A. Young, M. Yung, „Cryptovirology: Extortion-Based Security Threats and Countermeasures,“ IEEE Symposium on Security & Privacy, pp. 129-141, 1996.
  5. ^ H. Toyoizumi, A. Kara. Predátoři: Mobilní kódy dobré vůle bojují proti počítačovým virům. Proc. semináře 2002 New Security Paradigms Workshop, 2002
  6. ^ Zakiya M. Tamimi, Javed I. Khan, Modelová analýza dvou bojových červů, IEEE / IIU Proc. ICCCE '06, Kuala Lumpur, Malajsie, květen 2006, svazek I, str. 157-163.
  7. ^ S. Forrest, S. A. Hofmeyr, A. Somayaji, T. A. Longstaff, Thomas A .: Smysl pro procesy Unixu, Proc. z roku 1996 IEEE Symp. o bezpečnosti a soukromí, 1996, s. 120-129.
  8. ^ M. Christodorescu, S. Jha, C. Kruegel: Specifikace těžby škodlivého chování, Proc. 6. společného setkání evropské konfederace softwarového inženýrství a ACM SIGSOFT symp. o Základy softwarového inženýrství, 2007, s. 5-14
  9. ^ C. Kolbitsch, P. Milani, C. Kruegel, E. Kirda, X. Zhou a X. Wang: Efektivní a efektivní detekce malwaru na konci hostitele, 18. USENIX Security Symposium, 2009.
  10. ^ M. Fredrikson, S. Jha, M. Christodorescu, R. Sailer a X. Yan: Syntéza téměř optimálních specifikací malwaru z podezřelého chování, Proc. sympozia IEEE 2010 o bezpečnosti a soukromí, 2010, s. 45-60.
  11. ^ X. Yan, H. Cheng, J. Han a P. S. Yu: Těžba významných vzorů grafů skokovým vyhledáváním ve sborníku z mezinárodní konference ACM SIGMOD 2008 o správě dat (SIGMOD’08) z roku 2008. New York, NY, USA: ACM Press, 2008, s. 433-444
  12. ^ D. Babic, D. Reynaud a D. Song: Analýza malwaru s odvozením stromových automatů, ve sborníku 23. Int. Konference o ověřování pomocí počítače, 2011, Springer.
  13. ^ R. Islam, R. Tian, ​​L. M. Batten a S. Versteeg: Classification of malware based on integrated staic and dynamic features, Journal of Network Computer Applications, 2013, str. 646-656.