CC BY
22Решетнеескцие чтения. 2015
УДК 004.056
РАЗРАБОТКА МЕТРИЧЕСКОГО МЕТОДА КЛАССИФИКАЦИИ ДЛЯ ПОИСКА ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ*
Е. С. Агеева1, А. И. Прохоров
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: 1separise@gmail.com
Проведено исследование программного обеспечения, с помощью метрики произведена оценка результатов. Результаты могут быть использованы в цикле разработки программного обеспечения бортовой системы управления КА.
Ключевые слова: вирус, метрики, программное обеспечение.
METRIC CLASSIFICATION ALGORITHM DEVELOPMENT FOR MALWARE SEARCHING
E. S. Ageeva1, A. I. Prokhorov
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: 1separise@gmail.com
Software is researched through metrics and conducted result evaluation. The results can be used to develop a cycle of the software on-board satellite control systems.
Keywords: software, malware, metrics.
В настоящее время большинство алгоритмов поиска вредоносного программного обеспечения производят поиск на основе анализа шаблонов исполняемого кода [1]. Эти алгоритмы используются в антивирусном программном обеспечении. Такой подход обоснован: в особенности для разработок индустриального ПО важна скорость и точность определения вредоносных элементов, так как нарушение работы систем или потеря важной информации может привести к серьезным издержкам. Но у такого подхода есть существенный недостаток: базы данных вирусных сигнатур (шаблонов) содержат ограниченный набор записей. Достаточ-
но распространена ситуация, когда происходит ошибка второго рода, выявить которую в большинстве случаев невозможно. Технически эта проблема решаема в рамках динамического анализа кода [2].
Автоматическое исследование исполняемого кода -это вычислительно сложная задача, но существует набор показателей, которые можно использовать для проведения некоторого анализа [3-5]. В качестве таких показателей в данном исследовании использовались метрики программного обеспечения. Идея исследования состоит в том, чтобы проверить, влияет ли функциональная нагрузка той или иной программы на показатели метрик.
аоооо юоооо
50000 100000 150000 200000 250000 300000 Metric 4
б
а
Зависимость метрики 19 от метрики 4 (а), метрики 18 от метрики 5 (б)
* Работа выполнена в рамках гранта Президента молодым российским ученым - кандидатам наук, договор № 14.Z56.15.6012 от 16.02.2015 г.
Методы и средства защиты информации
Для исследования были взяты такие метрики, как среднее количество строк кода на функцию, количество строк кода, цикломатическая сложность, ABC, метрика Чепинова и др. Для вычисления метрик было случайным образом отобрано около 200 вирусов и около 200 экземпляров легитимного ПО. Для вычисления метрик использовалась IDAPro 5.1, для автоматизации вычисления метрик использовался плагин IDAPython 2.5. Была собрана выборка. Из этих метрик можно сформировать 20 признаков для анализа данных. Была взята в качестве основного предположения гипотеза компактности, которая утверждает, что похожие объекты находятся рядом. Объекты выборки были спроецированы на плоскости М1, М2; М1, М3, ..., Mn, Mn. Результаты некоторых проекций представлены на рисунке.
Как можно видеть по графикам, разделяющую поверхность сразу построить нельзя, необходимо дальнейшее исследование и построение сложных моделей классификации.
Библиографические ссылки
1. Логозо Ф., Фандрич М. Об относительной полноте анализа исполняемого кода в сравнении с анализом исходного кода : исследование Microsoft. 2008. 15 с.
2. Shudrak M., Zolotarev V. The technique of dynamic binary analysis and its application in the information security sphere / IEEE EuroCon. 2013. С. 40-45.
3. Реймонд П. Л., Вестли В. Изучение метрик для определения читабельности кода. Специальный список ISSTA-2008. Лучшие работы. 2015. 14 с.
4. Ледовских И. Н. Метрики сложности кода : технический отчет. М. : Институт системного программирования РАН, 2012. 22 с.
5. Abran A., Hoboken N. Software Metrics and Software Metrology. Wiley-IEEE Computer Society Press, 2010. 348 p.
References
1. Logozzo F., Fahndrich M. On the Relative Completeness of Bytecode Analysis versus Source Code Analysis Microsoft Research. 2008. 15 p.
2. Shudrak M., Zolotarev V. The technique of dynamic binary analysis and its application in the information security sphere / IEEE EuroCon. 2013. С. 40-45.
3. Raymond P. L., Westley W. Learning a Metric for Code Readability. TSE special issue on the ISSTA-2008, best papers. 2015. 14 p.
4. Ledoivskikh I. N. Code complexity metrics: technical report. M. : Institute for system programming of RAS, 2012. 22 с.
5. Abran A., Hoboken N. Software Metrics and Software Metrology. Wiley-IEEE Computer Society Press. 2010. 348 p.
© Агеева Е. С., Прохоров А. И., 2015
УДК 004.7.056.53
СИСТЕМА ВЫНЕСЕНИЯ ВЕРДИКТОВ ПО ОТЧЕТАМ CUCKOO SANDBOX
Д. А. Бородавкин
АО «Информационные спутниковые системы» имени академика М. Ф. Решетнёва» Российская Федерация, 662972, г. Железногорск Красноярского края, ул. Ленина, 52
Е-mail: db@iss-reshetnev.ru
Описывается система автоматизированного вынесения вердиктов безопасности для файлов, прошедших исследование в системе Cuckoo Sandbox. Система функционирует на основе черных и белых списков, которые генерируются путем «обучения» на легитимных файлах. Система позволяет выделить попытки доставки неизвестных образцов вредоносного кода в потоке информации, поступающей из недостоверных источников (электронная почта, интернет-трафик и т. п.).
Ключевые слова: сетевые технологии, информационная безопасность, анализ вредоносного программного обеспечения,» песочницы».
SECURITY VERDICT DECISION SYSTEM FOR CUCKOO SANDBOX
D. A. Borodavkin
JSC "Academician M. F. Reshetnev "Information satellite systems" 52, Lenin Str., Zheleznogorsk, Krasnoyarsk region, 662972, Russian Federation Е-mail: db@iss-reshetnev.ru
The paper describes the automated system that returns security verdict to files that are analyzed with Cuckoo Sandbox, it acts with using black and white lists, which are generated from analysis reports on legitimate files. The aim of the system is to find unknown malware in data streams for untrusted sources (such as email or internet).
Keywords: computer networking, information security, malware analysis, sandbox.
