Хортой код илрүүлэх

Хортой код илрүүлэх (malware detection) таны компьютерийн үйл ажиллагааг таслан зогсоох мөн таны компвютерийг ашиглан таны хувийн мэдээллийг олж авах, тараах, сүрдүүлэх гэх мэтээр ашиглаж болох програм хангамж юм. Энэ хортой програмыг илрүүлэх хэд хэдэн арга бий.

Хортой код гэж юу вэ?

засварлах
Хортой код нь олон тооны нэрээр хэрэглэгддэг.Хортой програмыг тодорхойлохын тулд олон тодорхойлолтыг санал болгож байна.Жишээ нь: Christodorescu Jha нь вирусын эсрэг програмыг хөтөлбөрийн хувьд хорт зүйл гэж тодорхойлсон.McGraw ба Morrisett нь санаатайгаар хохирол учруулах, эсвэл системийн рилтот функцийг өөрчлөхийн тулд ямар ч кодыг нэмсэн, өөрчилсөн, эсвэл хасагдсан програмын кодыг "хортой код гэж тодорхойлдог." "Энэхүү судалгааны зорилгоор вирус, трек, spywares болон бусад интрузив кодыг багтаасан ерөнхий нэр томъёог" вируев "," Ярабалли "гэсэн тайлбарыг бид баталсан.Вирус, өт, Трояны морь зэрэг хортой програмуудын жишээг үзүүлэв.Энэ тэмдэглэгээ нь эдгээр хортой програмуудын талаар арай илүү дэлгэрэнгүй хэлэлцүүлгийг баталгаажуулдаг.



Хортой кодны төрлүүд

засварлах
Вирус: Компьютерийн вирус нь өөр програмд ​​оруулснаар хуулдаг код юм.Вирус өөрөө нэвтэрсэн програм нь халдвар авсан бөгөөд вирус гэж нэрлэгддэг хост.Нэг чухал анхааруулга бол вирусууд, үйл ажиллагаа явуулахын тулд хостуудыг шаарддаг вирус юм, энэ нь вирус нь хор хөнөөл учруулахын тулд одоо байгаа хост програмыг шаарддаг явдал юм.Жишээ нь:Компьютерийн системд орохын тулд вирус зарим нэг програмын хэрэгсэлд (жишээлбэл: үг боловсруулах аппликэйшнд) хавсаргаж болно.Word processing програмыг эхлүүлэх нь дараа нь вирусыг идэвхжүүлж, жишээ нь өөрөө хуулбарлаж, вирус илрүүлэгчийг идэвхгүй болгох боломжтой компьютерийн систем дээр идэвхжүүлсэн.
Өтнүүд: Компьютерийн вирус өөр өөрийн кодыг бие даасан байдлаар гүйцэтгэдэг бусад програм.Вирус, өт хоёрын хоорондох гол ялгаа нь вирус хор хөнөөл учруулдаг хост шаардлагагүй.Вирус, өт хоёрын хоорондох ялгаа нь тэдний тархалтын загвар юм.Ерөнхийдөө вирусууд нь нэг компьютерийн систем дээр програм файлаар тархахыг оролддог.Хэдий тийм боловч, сүлжээнд холбогдсон олон тооны компьютерын системд халдвар тараах зорилготой сүлжээний холболтоор дамжин тархдаг.
Трояны морь: Трояны морь нь програм эсвэл системийнх нь дизайнераар суулгасан хоролмаа юм.Аппликейшн эсвэл систем нь зарим ашигтай функц (жишээ нь:орон нутгийн цаг агаарыг өгдөг), гэхдээ зарим зөвшөөрөлгүй үйлдэл хийж байна (ж.нь, хэрэглэгчийн гарны товчлуурыг барьж, энэ мэдээллийг хорлонтой хост руу илгээдэг).Трояны морь ихэвчлэн өөрийн хостоос зөвшөөрөлгүй мэдээлэл авах, илгээхтэй холбоотой байдаг.Ийм Трояны морийг бас spyware гэж ангилж болно. Түүний дизайнерын хортой програм нь ийм төрлийн хортой үйлдэлээр хязгаарлагддаггүй.Жишээ нь, хоролмаа нь дараах хувилбар үүсгэж болно:"2010 оны 5-р сарын 4-нд эвлэрсэн системийг бүх хүсэлтээс татгалзахаар програмчлагдсан болно

үйлчилгээний хувьд. "McGraw ба Morrisett нь хортой кодыг ангилах нь илүү төвөгтэй болж байгаа тул шинэ хувилбарууд нь одоогийн ангилалд хамаатай хүмүүсийн хослол болж байгааг харуулж байна.

Хортой кодыг илрүүлэх

засварлах
Malware илрүүлэгч нь хамгаалахын тулд туслахыг оролддог хортой зан үйлийг илрүүлж системийг бий болгодог.Хортой код илрүүлэгч нь хамгаалахаар оролдож буй нэг систем дээрээ эсвэл байхгүй байж болно.Хортой код илрүүлэгч нь илрүүлсэн үзүүлж чадахгүй илрүүлэх техникээр дамжуулан хамгаалалтыг гүйцэтгэдэг бөгөөд үзүүлж чадахгүй илрүүлэх арга техникийг илрүүлэх чадварыг үнэлэх эмпирик хэрэгсэл юм.Хортой код мэдрэгч хоёр оролтыг авдаг.Нэг оролт нь хортой зан үйлийн талаархи мэдлэг юм.Аномальд суурилсан илрүүлэлтийн үед энэ мэдлэгийг урвуу суралцах шатнаас гардаг.Тиймээс онолын хувьд аномали дээр тулгуурласан илрүүлэлт нь гажигтай зүйл болохыг мэддэг

хэвийн зүйлүүдийн талаархи мэдлэг дээр үндэслэсэн зан үйл.Хортой зан төлвийг дүрслэн харуулдаг тул гажигтай мэдрэмжийг аномали дээр үндэслэн илрүүлсэн байдаг.Муу илрүүлэгч нь оролтын хувьд шаардлагатай програмын доор ордог програм шалгалт.Аюултай илрүүлэгч нь хорлонтой зан үйл (хэвийн зан байдал) гэж үздэг бөгөөд хөтөлбөрийн дагуу хяналтанд байдаг,програмыг хортой буюу аюултай эсэхийг шийдэхийн тулд өөрийн илрүүлэх техникийг ашиглаж болно.Халдвар илрүүлэх систем (IDS), үзүүлэгч програмыг заримдаа ижил утгатай хэрэглэдэг боловч хортой код илрүүлэгч нь ихэвчлэн IDS бүрэн бүрэлдэхүүн хэсэг байдаг.

Хортой код илрүүлэх техник

засварлах
Аюултай програмыг илрүүлэхэд хэрэглэгддэг аргуудыг өргөн хүрээнд ангилж болно:аномаль дээр суурилсан илрүүлэлт ба гарын үсэг дээр суурилсан илрүүлэлт.Аномаль суурилсан илрүүлэлт техник нь шалгалтын доорхи хөтөлбөрийн хор хөнөөлийг тодорхойлохын тулд хэвийн зан төлөвийг бүрдүүлэх талаархи мэдлэгээ ашигладаг.Аномальт суурилсан илрүүлэлтийн тусгай төрөл нь техникийн нөхцөлд суурилсан илрүүлэлт гэж нэрлэгддэг.Техникийн тодорхойлолтод суурилсан арга.Хяналтад байгаа хөтөлбөрийн хор хөнөөлийг тогтоохын тулд зарим зүй тогтол эсвэл дүрмийг хөдлөхийн тулд хүчин төгөлдөр үйлдэл хийдэг.Тодорхойлолтыг зөрчсөн хөтөлбөрүүд Аналитик, ихэвчлэн хортой гэж үздэг.Гарын үсэг дээр суурилсан илрүүлэлт нь үүнийг ашигладаг шалгалтын доорхи хөтөлбөрийн хор хөнөөлийг шийдэхэд хортой гэж тодорхойлогдсон шинж чанар.

Энэ шинж чанар эсвэл гарын үсгийг хэн нэгэн төсөөлж байгаатай адилаар хортой гарын үсэг дээр суурилсан илрүүлэх аргын үр дүнгийн түлхүүр юм.

Гажигт суурилсан илрүүлэлт

засварлах
Гажиг дээр тулгуурласан илрүүлэлт ихэвчлэн хоёр үе шатанд явагддаг - сургалт (суралцах) үе шат,илрүүлэх (хяналт) үе шат.Сургалтын үе шатанд детектор суралцах гэж оролддог хэвийн зан төлөв.Доктор нь хост буюу PUI-ийн зан үйлийг сурч болно эсвэл сургалтын үеэр хоёуланг нь хослуулсан.Гажигт суурилсан илрүүлэлтийн үндсэн давуу тал илрүүлэлт нь тэг өдрийн халдлагыг илрүүлэх чадвар юм.Тэг өдрийг тодорхойлдог ашигладаг.Тэг-өдрийн ашиглалтын адил, тэг-өдрийн халдлага нь өмнөх халдлагуудыг үзүүлж чадахгүй илрүүлэгч нь мэдэгдэхгүй.Энэ аргын үндсэн хоёр хязгаарлалт энэ нь хуурамч дохиоллын өндөр түвшин бөгөөд ямар онцлог шинжийг тодорхойлоход төвөгтэй байдал юм сургалтын үе шатанд сурч мэдсэн байх ёстой

Динамик аномаль суурилсан илрүүлэлт

засварлах
Динамик гажигт суурилсан илрүүлэлтийн үед програмын гүйцэтгэлээс цуглуулсан мэдээллийг хортой кодыг илрүүлэхэд ашигладаг.Үүн дотроо дараах аргуудыг хэрэглэдэг байна.
PAYL:Ван, Стольфо нар PAYL-тэй танилцаж, хүлээгдэж буй төлбөрт тооцоолох хэрэгсэл систем дээр байгаа үйлчилгээ (порт) бүрийн хувьд.Байж болох давтамжийн тархалт үүсгэх боломжтой хост үйлчилгээний үйлчилгээг хөгжүүлэх төвийн загвар.Энэ төвийг орхисон загварыг сургалтын үе шатанд тооцоолно.Детектор нь ирж буй төлбөрт харьцуулдаг төвийн загвартай, тэд хоёрын хоорондох Махананалын зайг хэмждэг.Mahalanobis зай нь зөвхөн шинж чанарын дундаж утгыг тооцдог вектор төдийгүй вариац, ковариаци нь ижил төстэй статистикийн хүчтэй үзүүлэлтийг бий болгодог.
Халдлага илрүүлэх өгөгдөл цуглуулах арга:Системийн дуудлагын дарааллыг хянадаг арга техникийг санал болгох

хортой байдлыг илрүүлэхийн тулд.Нэгдүгээрт, хэвтээ зургийг харуулсан профайлуудыг боловсруулсан байх ёстой системийн үйлчилгээний зан төлөв.Энэ аргад "хэвийн" гэж нэрлэнэ системийн дуудлагын богино дараалал.Интрузив нь бусад параметрүүд дээр суурилж болох боловч эдгээр бусад параметрүүдийг орхигдуулдаг.Хаммайн зайг хэрхэн яаж тодорхойлохыг тодорхойлоход ашигладаг системийн дуудлагын дэс дараалал нь өөртэйгээ төстэй.Нууцлалын халдлагад өртсөн програм хангамжийг компьютерээр шалгах аргуудыг ашиглах.

Short sequences of system calls:Сакар нь муж улсын автоматжуулсан системийг үүсгэсэн илрүүлэх.ГТХАН дахь зангилаа бүр PUI-д муж (хөтөлбөрийн эсрэг) энэ алгоритм нь хэвийн өгөгдлийг хурдан сурах, илүү сайн илрүүлэлт хийхэд ашигладаг алгоритм юм.
Гажигт хєтєлбєрийг илрvvлэхэд зориулсан FSA:FSA-ийн шилжилтийг системийн дуудлагад өгдөг.FSA-ийг байгуулахын тулд програмыг олон удаа гүйцэтгэдэг.Системийн дуудлага дуудагдсан үед шинэ шилжилт нь автомат руу нэмэгдэх болно.Олон цооролтоос гарсан автомат нь алгоритм нь хэвийн гэж тооцогддог.Ажиллах явцад системийн дуудлагууд тасалдаж, програмын төлөвийг бүртгэсэн байна. Хэрвээ үүнийг хийвэл алдаа гарвал алдаа гарсан байна.
Хуулбарлагч системийг ажиллуулах,хувьсах урт аудитийн мөрийн загвар,NATE,сүлжээний халдлагад тавигдах техникийн тодорхойлолт ба алгоритмыг илрүүлэх арга,статик гажигт суурилсан илрүүлэлт,Файлын дүн шинжилгээ

Хольмог гажигт-суурилсан илрүүлэлт

засварлах
Үүн дотроо дараах аргуудыг хэрэглэдэг байна.
Strider GhostBuster:Ван гэж нэрлэдэг вирусын эсрэг програмыг илрүүлэх аргыг Ванг санал болгодог "Ghostware".Ghostware нь үйл ажиллагаагаараа оршин тогтнохоо нуухыг оролдож үзүүлж чадахгүй вирус юм. Системийн хайлтын хэрэгслүүд.Энэ нь ихэвчлэн эдгээр үр дүнг саатуулж хийдэг.Асуултууд болон тэдгээрийг өөрчлөхөд ghostware-ийн ул мөр олдож илрүүлээгүй байна.Жишээлбэл, хэрэв хэрэглэгч хэрэглэгчид одоо байгаа файлуудын жагсаалтыг жагсаана сан, "dir," ghostware нь буцааж авсан үр дүнгээс нөөцийг нь устгах болно "dir" тушаалаар.
Өөрийгөө өөрийгөө:Техник нь бодит илрүүлэх хэрэгслүүдэд ерөнхийдөө боломжгүй байдаг.Санал болгож буй техникийн зорилго нь хамгаалагдсан өгөгдөлд өөрчлөлтийг илрүүлэх явдал юм.Энэ аргын анхааруулга нь хамгаалагдсан зүйлээс хасахыг илрүүлж чадахгүй байна.Өгөгдөл цуглуулах."Өөрийгөө" гэдэг нь хамгаалагдсан өгөгдөл гэж тодорхойлдог.
Тодорхойлолтод суурилсан илрүүлэлт:Масри Динамик мэдээллийн урсгал шинжилгээ (DIFA) гэж нэрлэгддэг арга хэрэгслийг тайлбарладаг.Энэ хэрэгсэл нь Java аппликешнүүдэд зориулагдсан.Энэ хэрэгсэл нь програмын Bytecode классуудыг ашиглах замаар аргын дуудлагад хяналт тавих боломжтой байдаг.
Динамик тодорхойлолтод суурилсан илрүүлэлт,аюулгүй байдлын хяналт-Үнэлгээний хөтөлбөрүүд,програмыг хамгаалахын тулд Динамик мэдээллийн урсгалыг ашиглахьACT: Attachment Chain Tracing,эрх олгох хөтөлбөрт эмзэг байдлыг автоматаар илрүүлэх,процессийн мониторинг,хортой кодыг тараахад техник хангамжийг оруулах,XSS-ийн халдлагыг Клиентийн талаас нь бууруулах,динамик мэдээллийн урсгалын мониторинг,оруулах гарын үсэг зурах гарын үсэг ашиглах,сканнингийг хурдан илрүүлэх,хязгааргүй системийн дуудлагаар хамгаалах

Статик тодорхойлолтод суурилсан илрүүлэлт

засварлах
Илрүүлэх үе шатанд статик тодорхойлолтод үндэслэсэн илрүүлэлт нь PUI-ийн бүтцийн шинж чанарыг түүний хортой байдлыг тодорхойлоход ашигладаг.Үүн дотроо дараах аргуудыг хэрэглэдэг байна.
Хортой кодыг статикаар илрүүлэх боломжтой,хоёртын статик шинжилгээ,малокаторын илрүүлэлтийг эмхэтгэх арга барил,Firmware-д Malcode-ыг илрүүлэх

Hybrid Specification-based Detection

засварлах
Үүн дотроо дараах аргуудыг хэрэглэдэг байна.
DOME,статик дүн шинжилгээ ашиглан халдлага илрүүлэх,алслагдсан дуудлагын урсгалыг илрүүлэх,SQL injection халдлагаас урьдчилан сэргийлэх,StackGuard,SPiKE

Гарын үсэг дээр суурилсан илрүүлэлт

засварлах
Динамик гарын үсэг дээр үндэслэсэн илрүүлэлт нь PUI-ийн гүйцэтгэлийн явцад цуглуулсан мэдээллийг ашиглан хор хөнөөлийг нь шийддэг.Динамик элементийн илрүүлэлт нь програмын жинхэнэ хор хөнөөлийн зорилгыг илрүүлэх зан үйлийн хэв маягийг хайдаг.
Үүн дотроо дараах аргуудыг хэрэглэдэг байна.
Дүрэмд суурилсан ХИС-ийн арга,хорхой илрүүлэх зан үйлийн хандлага

Статик гарын үсэг дээр суурилсан илрүүлэлт

засварлах
Статик гарын үсэг дээр суурилсан илрүүлэлт нь шалгалтын дор програмыг шалгаж тодорхойлно

програмын хор хөнөөлийг илэрхийлэх кодын дарааллын хувьд.Зорилго нь хөтөлбөрийн зан төлөвийг төлөөлөх кодыг ашиглах явдал юм.Гарын үсэг голдуу кодын дарааллаар илэрхийлэгддэг.

Үүн дотроо дараах аргуудыг хэрэглэдэг байна.
SAVE,семантик-мэдлэгтэй,вирусын эсрэг скан хийгч,гүйцэтгэлийн статик анализатор (Аюулгүй байдал),Honeycomb,MEDiC

Холимог гарын үсэг дээр суурилсан илрүүлэлт

засварлах
Гарын үсэг дээр суурилсан илрүүлэх арга нь статик болон динамик шинж чанаруудыг ашигладаг

PUI-ийн хор хөнөөлийг тодорхойлох.

Үүн дотроо дараах аргуудыг хэрэглэдэг байна.
Хортой мобайл кодыг шинжлэх болон илрүүлэх,Worm vs. Worm,MCF: Хортой кодын шүүлтүүр,Malware Pattern Scheme

Холбоос

засварлах

http://profsandhu.com/cs5323_s17/im_2007.pdf