Методики выявления потенциально вредоносных файловых объектов на основе интеллектуального анализа данных тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Комашинский, Дмитрий Владимирович

Введение

Актуальность темы диссертации. Проблема своевременного выявления новых, ранее неизвестных, вредоносных программ (ВП) является одним из важнейших направлений исследований в области информационной безопасности. В силу очевидных причин, в решении данной задачи анализ файловых объектов (ФО) имеет определяющее значение. Наряду с традиционными, сигнатурными методами выявления вредоносных ФО, в последнее десятилетие активно используются эвристические подходы. Данная группа подходов опирается на формально недоказуемые правила (эвристики), чье практическое использование показало свою применимость для выявления образцов потенциально вредоносных файловых объектов (ПВФО), имеющих явное сходство с известными вредоносными ФО.

Разработка и , использование эвристических подходов продолжает оставаться объектом активных дискуссий на специализированных конференциях и в тематических изданиях. Вызвано это, в первую очередь, сложностью и изменчивостью ВП и, как следствие, их общей методологии выявления. Одним из перспективных направлений в эвристическом выявлении ПВФО является поиск устойчивых структурных и поведенческих паттернов ФО, косвенно идентифицирующих программные средства, используемые для их автоматического создания злоумышленниками. Это сопряжено с необходимостью накопления и обработки больших массивов данных, представляющих структуру и заложенный в ФО функционал с различных сторон.

Одним из способов решения задачи выделения из больших массивов данных эвристик для выявления ПВФО является использование методов интеллектуального анализа данных (ИАД). Эта концепция впервые была обозначена Кефартом и др. [82] в середине 90-х годов XX века, а исследования Столфо, Шульца и др. [129] в начале 2000-х годов задали направление дальнейших поисков в этом направлении.

Несмотря на получение в последние десять лет рядом авторских коллективов ценных результатов, данная тема продолжает оставаться объектом интенсивных исследований. В последние годы наблюдается, с одной стороны, взрывной рост количества ВП, развитие методов реализации вредоносного функционала, усложнение средств доставки ВП на атакуемые объекты, а, с другой стороны, эволюция подходов к пассивному и активному противодействию программно-аппаратными средствами защиты информации.

Перечисленные аспекты эволюции ВП обуславливают нерентабельность процессов обработки доступных массивов данных экспертами и аналитиками вручную и с использованием автоматизированных средств. Это, в свою очередь, определяет необходимость формирования новых подходов к автоматическому выявлению ПВФО с учетом требований к характеристикам точности, производительности и ресурсопотребления.

Научная задача. Разработка модельно-методического аппарата для построения систем выявления потенциально вредоносных файловых объектов, основанного на формировании с помощью интеллектуального анализа данных структурных и поведенческих признаков, свойственных программным средствам автоматического создания вредоносных программ.

Объект исследования. Вредоносные файловые объекты и современные подходы к их обнаружению и. идентификации.

Предмет исследования. Модели и методики выявления потенциально вредоносных файловых объектов на основе интеллектуального анализа данных.

Основной целью диссертационного исследования является повышение защищенности компьютерных систем за счет совершенствования процессов противодействия вредоносным программам на основе разработки новых методик, моделей и алгоритмов выявления потенциально вредоносных файловых объектов. Это обеспечивается улучшением и дополнением существующих подходов к выявлению ПВФО за счет повышения точности принятия решения и(или) снижения общей временной сложности процедур подготовки данных и выделения из них знаний. Цель исследования была достигнута на основе постановки и решения следующего логически взаимосвязанного комплекса задач:

1. Анализ современных подходов к осуществлению атак на объекты информационной инфраструктуры посредством использования ВП. Обзор основных подходов к выявлению ВП, основанных на интерпретации поведенческих данных, оценки репутации и анализе ФО.

2. Исследование существующих методов своевременного выявления вредоносных и потенциально вредоносных ФО. Анализ подходов к формированию систем их автоматического выявления.

3. Анализ и уточнение обобщенной модели процесса создания эвристических систем выявления ПВФО на основе ИАД, исследование жизненного цикла систем данного класса, формулировка их основных ограничений и требований к ним.

4. Разработка методики оценивания эффективности систем, предназначенных для выявления ПВФО на основе методов ИАД.

5. Анализ существующих моделей представления ФО и их применимости в системах эвристического обнаружения ВП на основе ИАД.

6. Расширение существующего набора моделей представления ФО и разработка на их основе методик выявления ПВФО на основе ИАД.

7. Сравнительная оценка разработанных методик и их сравнение с существующими подходами к созданию систем выявления ПВФО на основе ИАД.

Результаты, выносимые на защиту:

1. Методика выявления потенциально вредоносных исполняемых программных модулей на основе статических позиционно-зависимых данных.

2. Методика выявления потенциально вредоносных исполняемых программных модулей на основе динамических низкоуровневых данных.

3. Методика выявления потенциально вредоносных электронных документов на основе статических структурных данных.

4. Архитектура и программная реализация системы оценивания методик выявления ПВФО на основе методов ИАД.

Научная новизна исследования заключается в следующем:

1. Методика выявления потенциально вредоносных исполняемых программных модулей на основе анализа статических позиционно-зависимых данных отличается от известных направленностью на анализ произвольных блоков данных, расположенных относительно некоторой стартовой позиции. Такая особенность позволяет объединить в рамках обобщенного пространства атрибутов значения и позиции отдельных элементов в заданном участке анализируемого ФО. Другой особенностью данной методики является возможность преобразования выявленных паттернов, свойственных ПВФО, в традиционные описания сигнатур.

2. Методика выявления потенциально вредоносных исполняемых программных модулей на основе анализа динамических низкоуровневых данных основывается на выявлении средств создания, упаковки и защиты стартового кода исполняемых ФО за счет ввода процедур сбора информации о выполняемых непрерывных последовательностях инструкций (блоках трансляции). В отличие от традиционных динамических подходов к формированию поведенческого профиля приложений за счет анализа его взаимодействия с операционной системой, данная методика сфокусирована на

обобщении знаний о внутренней логике стартового кода анализируемых исполняемых объектов с обобщением на уровне отдельных непрерывных последовательностей инструкций.

3. Методика выявления потенциально вредоносных электронных документов на основе анализа статических структурных данных ориентирована на выявление структурных паттернов, свойственных программным пакетам автоматической генерации вредоносного содержимого, входящих в состав пакетов эксплуатации уязвимостей. В отличие от традиционных методов выявления вредоносных документов на базе ряда структурных и поведенческих аномалий как самого документа, так и вложенного в него кода, данная методика нацелена на быстрый анализ структурных особенностей документа без учета типовых индикаторов их потенциальной опасности.

4. Архитектура системы поддержки проведения экспериментов по оценке подходов к выявлению ВП основана на разработанных методиках и допускает проведение экспериментов по оцениванию сторонних моделей представления потенциально вредоносных файловых контейнеров за счет гибкости и расширяемости заложенных в нее моделей процессов и выбранных средств поддержки вычислений.

Обоснованность и достоверность положений, представленных в диссертационной работе, обеспечены проведением предварительного анализа результатов существующих исследований в данной предметной области. Результаты анализа использовались при формировании плана исследований и перечня необходимых на практике входных данных. Полученные практические положения не противоречат результатам актуальных работ исследовательского сообщества. Основные теоретические положения работы изложены в печатных трудах и докладах на научных конференциях.

Практическая значимость результатов исследования. Разработанные методики позволяют улучшить показатели точности и ресурсопотребления процессов автоматического эвристического выявления ВП за счет ввода новых подходов к поиску структурных и поведенческих паттернов, свойственных вредоносным ФО. Проведенные исследования позволили разработать архитектуру и прототип программного комплекса, поддерживающего операции обучения и верификации систем выявления ПВФО, построенных на основе методов ИАД. Осуществлена практическая проверка разработанных методик выявления и идентификации потенциально опасных файловых контейнеров. Ее результаты на практике показали возможность выявления набора эвристик,

основанных на идентификации структурных и поведенческих паттернов, используемых программными средствами создания ВП, и их использования для выявления ПВФО.

Реализация результатов работы. Результаты, полученные в диссертационной работе, использованы в рамках следующих научно-исследовательских работ: «Управление информацией и событиями безопасности в инфраструктурах услуг (MASSIF)», проект Седьмой рамочной программы (FP7) Европейского Сообщества, контракт № 257475, 2010-2013 гг.; «Математические модели, методы и алгоритмы проактивной защиты от вредоносного программного обеспечения в компьютерных сетях и системах», проект по программе фундаментальных исследований Отделения нанотехнологий и информационных технологий РАН «Архитектура, системные решения, программное обеспечение, стандартизация и информационная безопасность информационно-вычислительных комплексов новых поколений», 2009-2011 гг.; «Модели и методы построения и поддержки функционирования интеллектуальных адаптивных систем защиты информации, основывающиеся на моделировании поведения систем защиты, реализации верифицированных политик безопасности, оценке защищенности и проактивном мониторинге», грант РФФИ № 07-01-00547, 2007-2009 гг.; «Математические модели активного анализа уязвимостей, обнаружения вторжений и противодействия сетевым атакам в компьютерных сетях, основывающиеся на многоагентных технологиях», проект по программе фундаментальных исследований Отделения нанотехнологий и информационных технологий РАН, 2003-2008 гг. и др.

Апробация результатов работы. Основные положения и результаты диссертационной работы были представлены на следующих научных конференциях: Санкт-Петербургская Международная Конференция «Региональная Информатика» (Санкт-Петербург, 2008, 2010) [8, 29]; Санкт-Петербургская Межрегиональная Конференция «Информационная безопасность регионов России» (Санкт-Петербург, 2009, 2011) [19, 20, 28]; Общероссийская Научно-Техническая Конференция «Методы и Технические Средства Обеспечения Безопасности Информации» (Санкт-Петербург, 2009, 2010, 2011) [14, 15, 30]; Международная Конференция «Рускрипто» (Моск. область, 2009, 2010, 2011) [13, 16, 22]; IV International Workshop «Information Fusion and Geographical Information Systems» (Санкт-Петербург, 2009) [86]; Международная Научная Конференция по Проблемам Безопасности и Противодействия Терроризму (Москва, 2009, 2010) [9, 24]; ХУНТ Euromicro

International Conference on Parallel, Distributed and Network-Based Processing (Пиза, Италия, 2010) [87]; VI International Conference «Mathematical Methods, Models and Architectures for Computer Network Security» (Санкт-Петербург, 2012) [88].

Публикации. По материалам диссертационного исследования было опубликовано 25 работ, в том числе 6 статей («Системы высокой доступности» [12], «Информационные технологии и вычислительные системы» [11], «Проблемы информационной безопасности. Компьютерные системы» [23], «Известия вузов. Приборостроение» [18] и «Труды СПИИРАН» [21, 26]) в ведущих периодических изданиях перечня ВАК на соискание ученой степени доктора и кандидата наук [34].

Структура и объем диссертационной работы. Диссертационная работа включает введение, три главы, заключение, словарь терминов и список литературы (162 наименования). Общий объем работы - 180 страниц машинописного текста; включает 58 рисунков и 39 таблиц.

Краткое содержание работы. В первом разделе осуществляется системный анализ задачи разработки эвристических средств выявления ПВФО на основе ИАД. Одной из основных современных тенденций развития феномена вредоносных программ является их массовость, выражаемая в появлении за ограниченный промежуток времени большого количества их неодинаковых по содержимому, но функционально идентичных копий.

Массовость ВП обеспечивается применением злоумышленниками автоматизированных средств создания ФО, используемых для их распространения. С одной стороны, применение данных средств является очевидным преимуществом, выражаемом в возможности создания потенциально неограниченного количества вредоносных ФО; однако, оно же обуславливает существенный недостаток, следующий из необходимости использовать в течение некоторого времени (определяемое интервалами обновления) одно и тоже программное средство (или их набор), осуществляющее создание вредоносных ФО. Данное обстоятельство является основанием предположить, что существует возможность выявления таких вредоносных ФО за счет выделения знаний об их статических и динамических особенностях, определяемых средствами их автоматизированного создания. Ввиду отсутствия в рамках данной гипотезы процедуры подтверждения реальной вредоносности ФО, положительные решения, принимаемые в ее

рамках, рассматриваются как события выявления потенциально вредоносных ФО (ПВФО).

Задача выявления ПВФО характеризуется большим объемом исходных данных и необходимостью выделения из них знаний, формируемых на основе поиска ранее неочевидных и неизвестных зависимостей. Это обуславливает необходимость применения для ее решения методов интеллектуального анализа данных.

Второй раздел представляет разработанные методики выявления ПВФО на основе ИАД. Анализ существущих подходов к использованию средств ИАД для выявления ВП позволяет сформировать обобщенное представление методики их применения. В ее рамках основную роль играет понятие модели представления анализируемых объектов, определяющей природу признаков, используемых для их описания и, как следствие, характер процедуры их извлечения. Многомодельный подход решения сложных научных задач обуславливает необходимость разработки сбалансированного комплекса методик, учитывающего различные аспекты ПВФО.

Статические структурные группы признаков, свойственные исполняемым файлам, позволяют достаточно четко идентифицировать только некоторые программные средства их создания, и не дают возможности предполагать с достаточной степеню уверенности о степени их опасности (коммерческие средства программной защиты и распространенные упаковщики). Это порождает необходимость разработки обобщенного подхода, основанного на анализе содержимого в области так называемой «точки входа» исполняемого файла и определяет специфику методики выявления ПВФО на основе анализа позиционно-зависимых данных.

Динамический анализ исполняемых объектов позволяет частично нивелировать проблему точности решений, свойственную методикам анализа статической информации за счет углубленной обработки данных, ведущей к весьма ощутимому снижению времени принятия решения. Стратегия поиска паттернов, свойственных средствам создания ФО, определяет специфику методики выявления ПВФО на основе анализа динамических низкоуровневых данных. Они собираются на начальных фазах выполнения исполняемых объектов и характеризуют непрерывные цепочки выполняемых инструкций процессора (или промежуточного языка).

Полнота картины исследования требует анализа современных подходов к проникновению на атакуемые объекты информатизации и обуславливает

необходимость исследования особенностей эксплуатации уязвимостей программных продуктов. В рамках этой задачи разработана методика выявления потенциально вредоносных электронных документов на основе анализа статических структурных данных, отображающих характер взаимосвязей между отдельными составными элементами ФО данного класса.

В третьем разделе описаны компоненты системы оценивания разработанных методик выявления ПВФО и подходы к их реализации. Проведена практическая часть экспериментальной работы и дана оценка полученных результатов.

Основными показателями, определяющими эффективность предложенных методик, являются (1) их способность к извлечению паттернов, однозначно характеризующих ПВФО, (2) уровень ложноположительных срабатываний, (3) уровень положительных срабатываний и (4) класс подхода, используемого для извлечения признаков из анализируемых объектов. Осуществлен сравнительный анализ значений выбранных показателей для разработанных методик с существующими сравнимыми системами и подходами.

Общая система оценивания методик основана на многослойной архитектуре, включающей уровни управления (средства поддержки режимов обучения и эксплуатации систем выявления ПВФО), извлечения признаков (средства статического разбора, средства выполнения в отладчике или виртуальной контролируемой среде), вычислительной поддержки (набор базовых алгоритмов и методов ИАД) и уровень хранения данных (моделей, атрибутов, описаний).

Приложения А-В представляют дополнительные примеры и интерпретацию результатов анализа ряда наиболее значимых паттернов ПВФО, полученных при проведении экспериментов.

Приложение Г содержит информацию о внедрении результатов работы.

1 Системный анализ проблемы выявления потенциально вредоносных файловых объектов на основе интеллектуального анализа данных

Системный анализ проблемы разработки эвристических средств выявления ПВФО на основе ИАД осуществляется в рамках следующей последовательности шагов: (1) ретроспективно-перспективное исследование тенденций развития ВП и методов их выявления; (2) формирование альтернативных сценариев применения эвристических средств для решения задачи выявления ПВФО; (3) феноменологическое моделирование и анализ стратегии применения ИАД в интересах выявления ПВФО; (4) постановка задачи на разработку предметных методов выявления ПВФО на основе ИАД.

1.1 Тенденции развития вредоносных программ и методов их выявления

Мы наблюдаем устойчивую динамику развития целей существования ВП (англ. mal ware). Четверть века назад никто не думал о колоссальном разрушительном потенциале технологий саморепликации программ и их маскировки, разрабатываемых энтузиастами для демонстрационных целей и просто ради интереса. Пять лет с момента их появления потребовалось для того, чтобы этими технологиями начали пользоваться в целях вандализма. Еще через десять лет появляются организованные преступные группировки, использующие подобные технологии для обеспечения кражи конфиденциальных данных и, как следствие, получения прибыли. Сейчас, спустя более чем три года после появления таких вредоносных программ, как Stuxnet [133] и Flame [69], очевидно, что в будущем ВП будут использоваться для проведения глобальных атак на сложные промышленные системы и критические элементы государственной информационной инфраструктуры в целях приобретения экономического и, как следствие, политического превосходства. Это подтверждается относительно недавними заявлениями военных министерств ряда ведущих держав о начале формирования специальных подразделений, занимающимися вопросами кибервойны или необходимости их формирования в ближайшем будущем [150].

ВП постоянно усложняются и становятся все более изощренными в плане технической реализации и методов противодействия обнаружению и удалению. В качестве хорошего примера можно привести развитие вредоносных программ для платформы Microsoft Windows. Еще в самом начале прошлого десятилетия

типовая вредоносная программа была просто приложением, использующим доступные интерфейсы пользовательского уровня операционной системы (ОС) для выполнения своих функций. Наряду с успехами методов статического анализа в 2003-м году начала набирать остроту проблема использования вредоносными программами методов упаковки и обфускации для сокрытия от них. В 2005-году вредоносные программы начинают осваивать техники функционирования и сокрытия в режиме ядра ОС. Примерно в это же время начинают появляться хорошо продуманные методы противодействия антивирусным программам, направленные на временное отключение средств защиты от ВП в момент начала их активной работы на атакуемом объекте. В 2008-м году злоумышленники начинают использовать технологии эксплуатации уязвимостей, что провоцирует незамедлительный всплеск эпидемий, порожденных проблемами качества кода некоторых популярных приложений. В настоящее время ВП данного класса используют весь арсенал доступных технических разработок и успешно комбинируют их с методами социальной инженерии. Отдельным вопросом стоит динамика появления новых, ранее неизвестнь

25,000,000 20,000,000 15,000,000 10,000,000

5,000,000

о

Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 2011 2011 2011 2011 2012 2012 2012 2012 2013 2013 2013

Рисунок 1 - Данные McAfee Labs о количестве зарегистрированных ВФО В соответствии с данными отчета за 3-й квартал 2013 года компании McAfee Labs [103], известно о более чем 170 миллионах уникальных экземпляров вредоносных ФО. При этом за период июль-сентябрь этого года прирост общего составил приблизительно 20 миллионов экземпляров. Учитывая

.IX вредоносных программ (рисунок 1).

Я

тенденцию к постепенному увеличению числа ежеквартально зарегистрированных образчиков ВП, можно предположить, что к концу 2014 года общее число их официально зарегистрированных экземпляров вплотную приблизится к психологическому порогу в 200 миллионов. Можно легко посчитать, что по состоянию на указанный выше период, в среднем ежедневно регистрировалось порядка 220.000 новых вредоносных объектов (приблизительно 10.000 каждый час или около 150 каждую минуту). Особенно внушительными данные цифры являются на фоне данных начала 2000-х годов -в то время ежедневно регистрировалось несколько десятков вредоносных программ [129], а порог в 10 миллионов известных экземпляров был преодолен чуть более чем пять лет назад - в марте 2008 года [44].

Для лучшего понимания особенностей эволюции ВП проведем краткий исторический экскурс на основании обобщения информации от признанных экспертов в данной области [6, 7, 95] и сообщений средств массовой информации. Первой вредоносной программой для персональных компьютеров (ПК) считается имеющий Иранское происхождение вирус Brain (1986 г.), для ОС Microsoft DOS. Последствия массированного распространения ВП Michelangelo (1991 г.) впервые вызвало активное обсуждение феномена компьютерных вирусов в международных СМИ. Появление вредоносного семейства VCL (1992 г.) ознаменовало приход на смену «поштучному» созданию экземпляров ВП так называемых «конструкторов», автоматизировавших создание новых образчиков ВП. Первый вирус для Microsoft Office под названием Concept (1995 г.) обозначил начало перехода ВП в новые среды функционирования и распространения.

Развитие данной тенденции показано появлением ВП Нарру99 (1999 г.), использующей для распространения каналы электронной почты. Авторы ВП IloveYou (2000 г.) осуществили успешную комбинацию этого подхода с методами социальной инженерии, вызвав одну из самых известных вирусных эпидемий в истории. Компьютерный червь CodeRed (2001 г.) явился концептуально новым видом ВП, называемых «бестелесными». Компьютерные эпидемии с появлением сложных, структурно и поведенчески вариативных семейств Slammer и Sobig (2003 г.) приобретают устойчивый периодический характер. Позднее появляются первые ВП, ориентированные на получение прибыли, например Fizzer (2003 г.). С этого момента начинается процесс криминализации Internet, стимулирующий разработку новых технологий. Так, ВП Cabir (2003 г.) считается первой для мобильных устройств. Выходят в свет

первые технологии RootKit (2005 г.), что в комплексе с существующим технологическим заделом позволило существенно расширить возможности ВП в краже конфиденциальных пользовательских данных в семействе Mebroot (2007 г.) и скрытом распространении семейства Conficker (2008 г.). Начинается массовое освоение уязвимостей популярных программных продуктов, что вводит класс атак «Drive-by-Download» [57]. Появление в последние 4 года вредоносных программ Stuxnet (2010 г.), Duqu (2011 г.), Flame (2012 г.) дает основание предположить, что происходит постепенных переход технологий ВП в фокус интересов государственных и террористических структур с постепенной трансформацией в серьезнейший инструмент достижения политических целей. Хронология развития ВП и обобщенный набор наиболее общих подходов и целей, используемых современными злоумышленниками, представлена на рисунке 2.

Список литературы

1. ГОСТ Р 50779.10-2000 Статистические методы. Вероятность и основы статистики. Термины и определения [Электронный ресурс] // База нормативной документации Complexdoc.ru, [2013] - Режим доступа: http://www.complexdoc.ru/ntdpdf/481646/statisticheskie_metody_veroyatnost_i_osn ovy_statistiki_terminy_i_opredeleni.pdf, свободный. - Загл. с экрана. (21.11.2013).

2. Дюк, В.А. Применение технологий интеллектуального анализа данных в естественнонаучных, технических и гуманитарных областях / В.А. Дюк, A.B. Флегонтов, И.К. Фомина // Известия РГПУ им. А.И. Герцена. 2011. -№138. - С. 77-84.

3. Дюк, В.А. Data Mining: Учебный курс / В.А. Дюк // СПб.: Питер, 2001.-368 С.

4. Иванова М.А. Разрушающие программные воздействия / М.А. Иванова // МИФИ. - М., 2011. - 327 С.

5. Защита от несанкционированного доступа к информации. Термины и определения. Государственная техническая комиссия Российской Федерации. Руководящий документ [Электронный ресурс] // Сайт лаборатории проблем компьютерной безопасности СПИИРАН, [2013] - Режим доступа: http://comsec.spb.ru/matherials/gtk/gtk3.pdf, свободный. - Загл. с экрана. (21.11.2013).

6. Касперский, Е.В. Компьютерное 2ловредство / Е.В. Касперский // СПб.: Питер, 2007. - 208 С.

7. Касперский, Е.В. Компьютерные вирусы: что это такое и как с ними бороться / Е.В. Касперский // М.: CK Пресс, 1998. - 288 С.

8. Комашинский, Д.В. Вредоносные программы: анализ метаданных средствами Data Mining / Д.В. Комашинский // XII Санкт-Петербургская

Международная Конференция "Региональная информатика-2010". Материалы конференций. СПб., 2010. - С. 109-110.

9. Комашинский, Д.В. Исследование проактивных механизмов обнаружения вредоносного программного обеспечения на базе методов DATA MINING / Д.В. Комашинский, И.В. Котенко // Материалы четвертой международной научной конференции по проблемам безопасности и противодействия терроризму. М.: МЦНМО, 2009. - Том 2. - С. 226-232.

10. Комашинский, Д.В. Интеллектуальный анализ данных для выявления вредоносных программ / Д.В. Комашинский, И.В. Котенко // International Journal of Computing, 2013. - №12 (1) - С. 63-74.

11. Комашинский, Д.В. Исследование структурных особенностей вредоносных документов методами Data Mining / Д.В. Комашинский, И.В. Котенко // Информационные технологии и вычислительные системы. - М.,2012.

- №2. - С.76-92.

12. Комашинский, Д.В. Категорирование веб-сайтов для блокирования веб страниц с неприемлемым содержимым / Д.В. Комашинский, И.В. Котенко, A.A. Чечулин // Системы высокой доступности. - М.Радиотехника, 2012. - №2.

- С.102-106.

13. Комашинский, Д.В. Категорирование веб-страниц с неприемлемым содержимым [Электронный ресурс] / Д.В. Комашинский, И.В. Котенко, A.A. Чечулин // Материалы международной конференции "РусКрипто'2011". -режим доступа: http://www.ruscrypto.ru/resource/summary/rc2011/ruscrypto_201 l_045.zip, свободный.

14. Комашинский, Д.В. Комбинирование методов интеллектуального анализа данных для детектирования вредоносных программ / Д.В. Комашинский // Методы и технические средства обеспечения безопасности

информации. Материалы XIX Общероссийской научно-технической конференции. СПб.: Изд-во Политехнического университета, 2010. - С. 112-113.

15. Комашинский, Д.В. Комбинирование методов классификации и кластеризации для детектирования и идентификации malware / Д.В. Комашинский // Методы и технические средства обеспечения безопасности информации. Материалы XX Общероссийской научно-технической конференции. СПБ.: Изд-во Политехнического университета, 2011. - С.136-137.

16. Комашинский, Д.В. Комбинирование методов Data Mining для статического детектирования Malware [Электронный ресурс] / Д.В. Комашинский, И.В. Котенко // Материалы международной конференции "РусКрипто'2010". - Режим доступа: http://www.ruscrypto.ru/resource/surnmary/rc2010/ruscrypto_2010_031 .zip, свободный.

17. Комашинский, Д.В. Концептуальные основы использования методов Data Mining для обнаружения вредоносного программного обеспечения / Д.В. Комашинский, И.В. Котенко // Защита информации. Инсайд. - СПб.,2010.

- № 2. - С.74-82.

18. Комашинский, Д.В. Метод извлечения структурных признаков для задачи обнаружения вредоносного программного обеспечения / Д.В. Комашинский, И.В. Котенко // Известия вузов. Приборостроение. - СПб., 2012.

- Т.55, №11. - С.58-62.

19. Комашинский, Д.В. Методы машинного обучения в системах противодействия киберугрозам / Д.В. Комашинский, И.В. Котенко // VII Санкт-Петербургская межрегиональная конференция "Информационная безопасность регионов России". Материалы конференции. СПб.: СПОИСУ, 2011. - С.76-77.

20. Комашинский, Д.В. Методы машинного обучения и динамическое детектирование malware / Д.В. Комашинский // VII Санкт-Петербургская

межрегиональная конференция "Информационная безопасность регионов России". Материалы конференции. СПб.: СПОИСУ, 2011. - С.75-76.

21. Комашинский, Д.В. Обнаружение и идентификация вредоносных исполняемых программных модулей с помощью методов Data Mining / Д.В. Комашинский // Труды СПИИРАН. - СПб., 2013. - Т.26, №3. - С. 115-125.

22. Комашинский, Д.В. Обнаружение вредоносного программного обеспечения на базе методов интеллектуального анализа данных [Электронный ресурс] / Д.В. Комашинский, И.В. Котенко, A.B. Шоров // Материалы международной конференции "РусКрипто'2009". - режим доступа: http://www.mscrypto.m/resource/summary/rc2009/ruscrypto_2009_029.zip, свободный .

23. Комашинский, Д.В. Обнаружение вредоносных документов формата PDF на основе интеллектуального анализа данных / Д.В. Комашинский, И.В. Котенко // Проблемы информационной безопасности. Компьютерные системы. - СПб., 2012. - №1. - С. 19-35.

24. Комашинский, Д.В. Обнаружение malware на основе обработки статической позиционной информации методами Data Mining / Д.В. Комашинский, И.В. Котенко // Материалы Восьмой общероссийской научной конференции «Математика и безопасность информационных технологий». -М.:МЦНМО, 2010. - Т.2. - С.136-140.

25. Комашинский, Д.В. Особенности задачи применения Data Mining для обнаружения разрушающих программных воздействий / Д.В. Комашинский // Сборник «Инновации в науке»: материалы XVI международной заочной научно-практической конференции. - Новосибирск:СибАК, 2013. - №1. - С.74-78.

26. Комашинский, Д.В. Подход к выявлению вредоносных документов на основе методов интеллектуального анализа данных / Д.В. Комашинский // Труды СПИИРАН. - СПб., 2013. - Т.26, №3. - С.126-135.

27. Комашинский, Д.В. Подход к обнаружению вредоносного программного обеспечения на основе позиционно-зависимой информации / Д.В. Комашинский, И.В. Котенко, A.B. Шоров // Труды СПИИРАН. - СПб.: Наука, 2010,- №10. - С.144-159.

28. Комашинский, Д.В. Построение модели статического детектирования вредоносного программного обеспечения на базе методов Data Mining / Д.В. Комашинский // VI Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России. Материалы конференции. СПб, 2009. С.56-57.

29. Комашинский, Д.В. Проактивная технология обнаружения вредоносного программного обеспечения на базе методов интеллектуального анализа данных (Data Mining) / Д.В. Комашинский, И.В. Котенко // XI Санкт-Петербургская Меясдународная Конференция "Региональная информатика-2008" ("РИ-2008"). Материалы конференции. СПб., 2008. С. 101.

30. Комашинский, Д.В. Технология детектирования вредоносного программного обеспечения на основе методов Data Mining / Д.В. Комашинский, И.В. Котенко, A.B. Шоров // Методы и технические средства обеспечения безопасности информации. Материалы XVIII Общероссийской научно-технической конференции. СПб. Издательство Политехнического университета. 2009. С.122-123.

31. Мацкевич, А.Г. Математическая модель системы стохастического структурного распознавания файловых вирусов / А.Г. Мацкевич, В.И. Козачок // Безопасность информационных технологий. - М: Издательство МИФИ, 2007. -Выпуск 3. - С. 44-50.

32. Огарок, A.JI. Виртуальные войны. Искусственный интеллект защищает от вирусов и программных закладок / A.JI. Огарок, Д.В. Комашинский, Д.К. Школьников, В.В. Мартыненко // Журнал "Защита информации. Конфидент.", 2003. - №2,- С.64-69.

33. Огарок, A. JT. Технология интеллектуального антивирусного сканирования опасных функций программного обеспечения / А.Л. Огарок, В.В. Насыпный, Д.В. Комашинский // Журнал "Инновации: новые технологии, маркетинг, инвестиции, внедрение", 2002. - №9/10,- С.128-131.

34. Перечень российских рецензируемых научных журналов, в которых должны быть опубликованы основные научные результаты диссертаций на соискание ученых степеней доктора и кандидата наук (ред. 2012 года) [Электронный ресурс] // Сайт Высшей аттестационной комиссии (ВАК) при Министерстве образования и науки Российской Федерации, [2013] - Режим flocTyna:http://vak.ed.gov.ru/common/img/uploaded/files/2013/09/perechen_ zhurnalov.rtf, свободный. - Загл. с экрана. (21.11.2013).

35. Середа, С.А. Расширительное толкование терминов «вредоносная программа» и «неправомерный доступ». / С.А. Середа, H.H. Федотов // Закон, №7, 2007.-С. 191-202.

36. Стратегия развития информационного общества в Российской Федерации от 7 февраля 2008 года (Федеральный выпуск 4591) [Электронный ресурс] // Сайт Российской Газеты, [2013] - Режим доступа: http://www.rg.ru/2008/02/16/informacia-strategia-dok.html, свободный. - Загл. с экрана. (21.11.2013).

37. Уголовный кодекс Российской Федерации, статья 273 «Создание, использование и распространение вредоносных программ для ЭВМ» [Электронный ресурс] // Правовая навигационная система Кодексы и законы Российской Федерации, [2013] - Режим доступа: http://www.zakonrf.info/uk/273/. - Загл. с экрана. (21.11.2013).

38. 2012 Threatscape Report, Dell Secure Works [Электронный ресурс] // Сайт Dell SecureWorks - Режим доступа: http://www.secureworks.com/assets/pdf-store/other/2012.threatscape.report.pdf, свободный. - Загл. с экрана. (21.11.2013).

39. Adobe - Adobe Reader, free PDF viewer download [Электронный ресурс] // Сайт компании Adode, [2013] - Режим доступа: http://get.adobe.com/reader/, свободный. - Загл. с экрана. (21.11.2013).

40. Adobe Security Advisories: APSA11-04 - Security Advisory for Adobe Reader and Acrobat [Электронный ресурс] // Сайт компании Adobe, [2013] -Режим доступа: http://www.adobe.com/support/security/advisories/apsal l-04.html, свободный. - Загл. с экрана. (21.11.2013).

41. Advanced Persistent Threats and Other Advanced Attacks: Threat Analysis and Defense Strategies for SMB, Mid-Size and Enterprise Organisations [Электронный ресурс] // Сайт компании WebSense, [2013] - Режим доступа: http://www.websense.com/assets/white-papers/whitepaper-websense-advanced-persistent-threats-and-other-advanced-attacks-en.pdf. Загл. с экрана. (21.11.2013).

42. Adware:Win32/Vapsup [Электронный ресурс] // Сайт Microsoft Malware Protection Center [2013] - Режим доступа: http://www.microsoft.coiTi/security/portal/Threat/Encyclopedia/Entry.aspx?name=Ad ware%3aWin32%2fVapsup, свободный. - Загл. с экрана. (21.11.2013).

43. Alazab, М. Malware Detection Based on Structural and Behavioural Features of API Calls / M. Alazab, R. Layton, S. Venkataraman, P. Watters // Proceedings of International Cyber Resilience Conference (ICR2010), 2010. P. 1-10.

44. And I say we are detecting between 400000 and 10000000 malware! [Электронный ресурс] / Сайт компании McAfee [2008] - Режим доступа: http://blogs.mcafee.com/mcafee-labs/i-say-we-are-detecting-between-400-000-and-

10-000-000-malware, свободный. - Загл. с экрана. (21.11.2013).

45. Arnold, W. Automatically Generated Win32 Heuristic Virus Detection / W. Arnold, G. Tesauro // Proceedings of 10th Virus Bulletin Conference, 2000. P.123-132.

46. Aycock, J. Computer Viruses and Malware / J. Aycock // Springer Science+Business Media, LLC. 2006. P.227

47. Azevedo, A. KDD, SEMMA and CRISP-DM: A Parallel Overview / A. Azevedo, M.F. Santos // IADIS European Conf. Data Mining, 2008. P. 182-185.

48. Backdoor:W32/Bifrose.BGE [Электронный ресурс] // Сайт компании F-Secure, [2013] - Режим доступа: http://www.f-secure.com/v-descs/backdoor_w32_bifrose_bge.shtml, свободный. - Загл. с экрана. (21.11.2013).

49. Blonce, A. Portable Document Format (PDF) Security Analysis and Malware Threats / A. Blonce, E. Filiol, L. Frayssignes // Presentations of Europe BlackHat 2008 Conference, 2008

50. Breiman, L. Bagging predictors / L. Breiman // Machine Learning Vol. 24 (2), 1996. P.123-140.

51. Breiman, L. Random Forests / L. Breiman // Machine Learning Vol. 45(1), 2001. P. 5-32.

52. Breiman, L. Stacked Regressions / L. Breinman // Machine Learning Vol. 24(1), 1996. P.49-64.

53. Briones, I. Graphs, Entropy and Grid Computing: Automatic Comparison of Malware /1. Briones, A. Gomez // Proceedings of 18th Virus Bulletin Conference, 2008. P.64-75.

54. Carrera, E. Digital Genome Mapping-Advanced Binary Malware Analysis / E. Carrera, G. Erdelyi // Proceedings of 14th Virus Bulletin Conference, 2004. P.187-197.

55. Caruana, R. An empirical comparison of supervised learning algorithms / R. Caruana, A. Niculescu-Mizil // Proceedings of the 23rd International Conference on Machine Learning, pp. 161-168 (2006)

56. Cohen, W. Fast Effective Rule Induction / W. Cohen // Proceedings of the 12th International Conference on Machine Learning, 1995. P. 115-123.

57. Cova, M. Detection and Analysis of Drive-by-Download Attacks and Malicious JavaScript Code / M. Cova, C. Kruegel, G. Vigna // Proceedings of the 19th international conference on World Wide Web, 2010

58. CVE - CVE-2013-0640 [Электронный ресурс] 11 Сайт Common Vulnerabilities and Exposures MITRE, [2013] - Режим доступа: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-0640, свободный. Загл. с экрана. (21.11.2013).

59. CVE - Terminology [Электронный ресурс] // Сайт Common Vulnerabilities and Exposures MITRE, [2013] - Режим доступа: http://www.cve.mitre.org/about/terminology.html, свободный. - Загл. с экрана. (21.11.2013).

60. Dai, J. Efficient Virus Detection Using Dynamic Instruction Sequences / J. Dai, R. Guha, J. Lee // Journal of Computers, Vol. 4, No.5, 2009. P.405-414.

61. Dai, J. Feature Set Selection in Data Mining Techniques for Unknown Virus Detection - A Comparison Study / J. Dai, R. Guha, J. Lee // Proceedings of the 5th Annual Workshop on Cyber Security and Information Intelligence Research: Cyber Security and Information Intelligence Challenges and Strategies, 2009. P. 56.

62. Debrosse, J. Malice Through the Looking Glass: Behavior Analysis for the Next Decade / J. Debrosse, D. Harley // Proceedings of 19th Virus Bulletin Conference, 2009. P.255-260.

63. Demiroz, G. Classification by voting feature intervals / G. Demiroz, A. Guvenir // Proceedings of the European Conference on Machine Learning and Principles and Practice of Knowledge Discovery in Databases, 1997. P. 85-92.

64. Dullien, T. Challenging Conventional Wisdom on Byte Signatures / T. Dullien // Proceedings of 20th Virus Bulletin Conference, 2010. P.201-211.

65. Edwards, S. Fast Fingerprinting of OLE2 Files: Heuristics for Detection of Exploited OLE2 Files based on Specification Non-conformance / S. Edwards, P. Baccas // Proceeding of Virus Bulletin Annual Conference, Barcelona, October 2011. P.172-185.

66. Fayyad, U. From data mining to knowledge discovery: an overview / U. Fayyad, G. Piatetsky-Shapiro, P. Smyth (Eds.) // In Advances in knowledge discovery and data mining. AAAI Press The MIT Press, 1996.

67. Ferrie, P. The Ultimate Anti-Debugging Reference / P. Ferrie // (May, 2011). - Режим доступа: http://pferrie.host22.com/papers/antidebug.pdf, свободный. - Загл. с экрана. (21.11.2013).

68. Fix, Е. Discriminatory analysis, nonparametric discrimination: Consistency properties / E. Fix, J. Hodges // Technical Report 4, USAF School of Aviation Medicine, Randolph Field, Texas, 1951.

69. Flame (malware) [Электронный ресурс] // Сайт Wikipedia, [2013]-Режим доступа: http://en.wikipedia.org/wiki/Flame_(malware), свободный. - Загл. с экрана. (21.11.2013).

70. Georghescu, М. An Automated Virus Classification System / M. Georghescu // Proceedings of 15th Virus Bulletin Conference, 2005. P.294-300.

71. Glossary of Key Information Security Terms [Электронный ресурс] // Сайт National Institute of Standards and Technology, [2013] — Режим доступа: http://nvlpubs.nist.gov/nistpubs/ir/2013/NIST.IR.7298r2.pdf, свободный. - Загл. с экрана. (21.11.2013).

72. Harris, Е. Information Gain Versus Gain Ratio: A Study of Split Method Biases / E. Harris // In: Online Proceedings of 7th International Symposium on Artificial Intelligence and Mathematics. http://rutcor.rutgers.edu/~amai/aimath02/PAPERS/14.pdf, свободный. (2002)

73. Haykin, S. Neural Networks. A Comprehensive Foundation, 2nd Edition / S. Haykin // Prentice-Hall, 1999.

74. Holte, R. Very simple classification rules perform well on most commonly used datasets / R. Holte // In Journal Machine Learning, Vol. 11, 1993. P. 63-91.

75. Hong, P. An Malicious Email Detection Method Based on Support Vector Machine / P. Hong, W. Jun, T. Wu, D. Zhang // Proceedings of Control, Automation, Robotics and Vision Conference, Vol. 1, 2004. P.217-220.

76. IDA Pro - Interactive disassembler [Электронный ресурс] // Сайт IDA Pro, Интерактивный дизассемблер и отладчик, [2013] — Режим доступа: http://www.idapro.ru/, свободный. - Загл. с экрана. (21.11.2013).

77. Intel 64 and IA-32 Architectures Software Developer's Manual, Volume 2A: Instruction Set Reference, A-M [Электронный ресурс] // Сайт компании Intel, [2013] - Режим доступа: http://www.intel.com/Assets/en_US/PDF/manual/253666.pdf, свободный. - Загл. с экрана. (21.11.2013).

78. Intel 64 and IA-32 Architectures Software Developer's Manual, Volume 2B: Instruction Set Reference, N-Z [Электронный ресурс] // Сайт компании Intel, [2013] - Режим доступа: http://www.intel.com/Assets/en_US/PDF/manual/253667.pdf, свободный. - Загл. с экрана. (21.11.2013).

79. Itabashi, К. Portable Document Format Malware [Электронный ресурс] / К. Itabashi // Symantec Security Response Whitepapers, - Режим доступа: http://www.symantec.com/content/en/us/enteфrise/media/security_response/whitepap ers/portable_document_format_malware.pdf, свободный. 2010

80. John, G. Estimating Continuous Distributions in Bayesian Classifiers / G. John, P. Langley // Proceedings of the 11th Conference on Uncertainty in Artificial Intelligence, 1995. P. 338-345.

81. Jsunpack-n - A Generic JavaScript Unpacker [Электронный ресурс] // Сайт Google Project Hosting, [2013] - Режим доступа: http://code.google.eom/p/jsunpack-n/, свободный. - Загл. с экрана. (21.11.2013).

82. Kephart, J.O. Biologically inspired defenses against computer viruses / J.O. Kephart, G.B. Sorkin, W.C. Arnold, D.M. Chess, G.J. Tesauro, S.R. White //

Proceedings of 14th International Joint Conference on Artificial Intelligence, 1995. P.985-996.

83. Kinable, J. Malware Classification Based on Call Graph Clustering / J. Kinable, O. Kostakis /./ Journal in Computer Virology. Vol.7 (4), 2011. P.233-245.

84. Kinable, J. Malware Detection through Call Graphs / J. Kinable // Publications of Future Internet (FI) Programme, Master's Thesis. Aalto University, Department of Information and Computer Science (2010)

85. Kolter, J.Z. Learning to Detect Malicious Executables in the Wild / J.Z. Kolter, M.A. Maloof // Proceedings of the 10th International Conference on Knowledge Discovery and Data Mining, 2004. P.470-478.

86. Komashinskiy, D.V. Integrated Usage of Data Mining Methods for Malware Detection / D.V. Komashinskiy, I.V. Kotenko // Fourth International Workshop «Information Fusion and Geographical Information Systems». - Lecture Notes in Geoinformatiön and Cartography. - Springer. 2009. - P.343-357.

87. Komashinskiy, D.V. Malware Detection by Data Mining Techniques Based on Positionally Dependent Features / D.V. Komashinskiy, I.V. Kotenko // Proceedings of the 18th Euromicro International Conference on Parallel, Distributed and network-based Processing. - Los Alamitos, California. IEEE Computer Society, 2010. - P.617-623.

88. Komashinskiy, D.V. Using Low-Level Dynamic Attributes for Malware Detection Based on Data Mining Methods / D.V. Komashinskiy, I.V. Kotenko // Lecture Notes in Computer Science, Springer-Verlag, Vol. 7531. - Springer Verlag, 2012.-P. 254-269.

89. Kubec, J. X IS NOT ENOUGH! GRAB THE PDF BY THE TAIL! / J. Kubec, J. Sejtko // Proceeding of Virus Bulletin Annual Conference, Barselona, October 2011

90. Kuncheva, L. Combining Pattern Classifiers: Methods and Algorithms / L. Kuncheva // Wiley-Interscience, 2004.

91. Lanzi, A. AccessMiner: Using System-Centric Models for Malware Protection / A. Lanzi, D. Balzarotti, C. Kruegel, M. Christodorescu, E. Kirda // Proceedings of 17th ACM conference on Computer and Communication Security, 2010. P.399-412.

92. Laskov, P. Static Detection of Malicious JavaScript-Bearing PDF Documents / P. Laskov, N. Srndic // Proceedings of the 27th Annual Computer Security Applications Conference, 2011. P.373-382

93. Lavesson, N. Learning to Detect Spyware using End User License Agreements / N. Lavesson, M. Boldt, P. Davidsson, A. Jacobsson // Journal Knowledge and Information Systems. Vol. 26 (2), 2011. P.285-307.

94. Li, W.-J. SPARSE: A Hybrid System to Detect Malcode-Bearing Documents / W.-J. Li, S. Stolfo // CU Tech. Report, Jan 2008 https://mice.cs.Columbia.edu/getTechreport.php?techreportID=504, - Загл. с экрана. (21.11.2013).

95. Ludwig, M. The Giant Black Book of Computer Viruses / M. Ludwig // American Eagle Publications, Inc. 1995. P.662

96. Lu, Y.-B. Using Multi-Feature and Classifier Ensembles to Improve Malware Detection / Y.-B. Lu, S.-C. Din, C.-F. Zheng, B.-J. Gao // Journal of Chung Cheng Institute of Technology, Vol.39(2), 2010. P.57-72.

97. Mai, B. Using Game Theory to Assess the Strength of an AV-System Against Evolving Offences / B. Mai, A. Singh, A. Walenstein, A. Lakhotia // Proceedings of 18th Virus Bulletin Conference, 2008. P.147-153.

98. Masud, M. A Hybrid Model to Detect Malicious Executables / M. Masud , L. Khan , B. Thuraisingham // Proceedings of the IEEE International Conference on Communication, 2007. P. 1443-1448.

99. Masud, M. A scalable multi-level feature-extraction technique to detect malicious executables / M. Masud , L. Khan , B. Thuraisingham // Information Systems Frontiers, Vol. 10, pp. 33-45 (2008)

100. Masud, M. Cloud-Based Malware Detection for Evolving Data Streams / M. Masud, T. Al-Khateeb, K. Hamlen, L. Khan, J. Han, B. Thuraisingham // In Journal ACM Transactions on Management Information Systems, Vol.2 (3), 2011.

101. Masud, M. Data Mining Tools for Malware Detection / M. Masud , L. Khan, B. Thuraisingham // CRC Press Taylor & Francis Group, 2012.

102. Masud, M. Feature-Based Techniques for Auto-Detection of Novel Email Worms / M. Masud , L. Khan , B. Thuraisingham // Proceedings of the 11th Pacific-Asia Conference on Knowledge Discovery and Data Mining, 2007. P.205-216.

103. McAfee Threats Report: Third Quarter 2013 [Электронный ресурс] // Сайт компании McAfee, [2013] — Режим доступа: http://www.mcafee.com/us/resources/reports^-quarterly-threat-q3-2013 .pdf, свободный. - Загл. с экрана. (21.11.2013).

104. Menahem, Е. Improving Malware Detection by Applying Multi-Inducer Ensemble / E. Menahem, A. Shabtai, L. Rokach, Y. Elovici // Journal Computational Statistics & Data Analysis Vol. 53(4), 2009. P.1483-1494.

105. Microsoft Security Bulletin Summary for December 2011 [Электронный ресурс] // Сайт Microsoft TechCenter, [2013] - Режим доступа: http://technet.microsoft.com/en-us/security/bulletin/msll-dec, свободный. - Загл. с экрана. (21.11.2013).

106. Muttik, I. Malware Mining / I. Muttik // Proceedings of 21st Virus Bulletin Conference, 2011. P.46-51.

107. National Vulnerability Database (NVD) CVE Statistics [Электронный ресурс] // Сайт National Institute of Standards and Technology, [2013] - Режим доступа: http://web.nvd.nist.gov/view/vuln/statistics, свободный. - Загл. с экрана. (21.11.2013).

108. Niemczyk, В. Probabilistic Detection of malware-infected hosts via dns query analysis / B. Niemczyk, J. Andersson // Proceedings of 23rd Virus Bulletin Conference, 2013. P.203 - 207.

109. Open PDF Analysis Framework [Электронный ресурс] // Сайт Google Project Hosting, [2013] - Режим доступа: http://code.google.eom/p/opaf/, свободный. - Загл. с экрана. (21.11.2013).

110. Open RCE / pydbg. A pure-python Win32 debugger interface [Электронный ресурс] // Сайт GitHub, репозиторий PyDbg, [2013] - Режим доступа: https://github.com/OpenRCE/pydbg, свободный. - Загл. с экрана. (21.11.2013).

111. Pefile - pefile is a Python module to read and work with PE (Portable Executable) files [Электронный ресурс] // Сайт Google Code [2013], режим доступа: http://code.google.eom/p/pefile/, свободный. - Загл. с экрана. (21.11.2013).

112. Polychronakis, М. Comprehensive shellcode detection using runtime heuristics / M. Polychronakis, K. Anagnostakis, E. Markatos // Proceeding ACSAC '10 Proceedings of the 26th Annual Computer Security Applications Conference, 2010

113. Pearl, J. Bayesian Networks: A Model of Self-Activated Memory for Evidential Reasoning / J. Pearl // Proceedings of the 7th Conference of the Cognitive Science Society, 1985. 3. 329-334.

114. Perdisci, R. McBoost: Boosting scalability in malware collection and analysis using statistical classification of executables / R. Perdisci, A. Lanzi, W. Lee // Proceedings of the Computer Security Applications Conference, 2008. P.301-310.

115. Piatetsky-Shapiro, G. Knowledge Discovery in Databases / G. Piatetsky-Shapiro, W. Frawley (Eds.) // AAAI/MIT Press, 1991

116. Pietrek, M. An In-Depth Look into the Win32 Portable Executable File Format [Электронный ресурс] / M. Pietrek // In: Microsoft Developers' Magazine

(February, 2002). - Режим доступа: http://msdn.microsoft.com/en-us/magazine/ccl35800.aspx, свободный. - Загл. с экрана. (21.11.2013).

117. Portable Document Format, PDF 32000-1:2008 [Электронный ресурс] // Сайт компании Adobe, [2013] - Режим доступа: http://wwwimages.adobe.com/www.adobe.com/content/dam/Adobe/en/devnet/pdf/pdf s/PDF32000_2008.pdf, свободный. - Загл. с экрана. (21.11.2013).

118. Quinlan, R. С4.5: Programs for Machine Learning / R. Quinlan // Morgan Kaufmann Publishers, San Mateo, 1993.

119. Rahman, M. Getting Owned By Malicious PDF - Analysis [Электронный ресурс] / M. Rahman // SANS Institute Reading Room Site [2010], -Режим доступа: http://www.sans.org/reading_room/whitepapers/malicious/owned-malicious-pdf-analysis_33443, свободный. - Загл. с экрана. (21.11.2013).

120. RapidMiner [Электронный ресурс] // Сайт компании RapidMiner, [2013] - Режим доступа: http://rapidminer.com/, свободный. - Загл. с экрана. (21.11.2013).

121. Rastogi, V. Evaluating Android Anti-malware against Transformation Attacks [Электронный ресурс] / V. Rastogi, Y. Chen, X. Jiang // Technical Report NU-EECS-13-01 - Режим доступа: http://list.cs.northwestern.edu/mobile/droidchameleon_nu_eecs_l 3_01 .pdf, свободный. - Загл. с экрана. (21.11.2013).

122. Rieck, К. Automatic Analysis of Malware Behavior using Machine Learning / K. Rieck, P. Trinius, C. Willems, T. Holz // Journal of Computer Security, vol.19, Issue 4, pp.639-668 (2011)

123. Rieck, K. Learning and Classification of Malware Behavior / K. Rieck, T. Holz, C. Willems, P. Dussel, P. Laskov // Proceedings of the 5th international conference on Detection of Intrusions and Malware, and Vulnerability Assessment, 2008. P.108-125.

124. Sadeghi, A.-R. Runtime Attacks: Buffer Overflow and Return-Oriented Programming [Электронный ресурс] / A.-R. Sadeghi, L. Davi // Презентация из курса Course Secure, Trusted and Trustworthy Computing, Part 1, 2011. - Режим доступа: http://goo.gl/L8VRP, свободный. - Загл. с экрана. (21.11.2013).

125. Santos, I. N-grams-based File Signatures for Malware Detection / I. Santos, Y. Penya, J. Devesa, P. Bringas // Proceedings of the 11th International Conference on Enterprise Information Systems, 2009. P.317-320.

126. Santos, I. Opcode-sequence-based Semi-supevised Unknown Malware Detection /1. Santos, B. Sanz, C. Laorden, F. Brezo, P.G. Bringas // Computational Intelligence in Security for Information Systems, Springer-Verlag, Vol. 6694. -Springer Verlag, 2011. - P. 50-57.

127. Schapire, R. The Strength of Weak Learnability / R. Schapire // In Journal Machine Learning Vol.5 (2), 1990. P. 197-227.

128. Serna, F. Exploits and Mitigations: EMET [Электронный ресурс] / F. Serna // - Режим доступа: http://ivanlefOu.fr/repo/explOit/ferminjserna-exploitsmitigationsemet-100328034335-phpapp02.pdf, свободный. - Загл. с экрана. (21.11.2013).

129. Schultz, М. Data Mining Methods for Detection of New Malicious Executables / M. Schultz, E. Eskin, E. Zadok, S. Stolfo // Proceedings of the IEEE Symposium on Security and Privacy, 2001 P. 38-49.

130. Schulz, P. Code Protection in Android / P. Schulz, D. Plohmann // -Режим доступа: http://net.cs.uni-bonn.de/fileadmin/user_upload/plohmann/2012-Schulz-Code_Protection_in_Android.pdf, свободный. - Загл. с экрана. (21.11.2013).

131. Siddiqui, М. Detecting Internet Worms Using Data Mining Techniques / M. Siddiqui, M. Wang, J. Lee // Journal of Systemics, Cybernetics and Informatics, Vol. 6 (6), 2008. P.48-53.

132. Sikorski, M. Practical Malware Analysis. The Hands-On Guide to Dissecting Malicios Software / M. Sikorski, A. Honig // No Starch Press, San-Francisco, 2012.

133. Stuxnet [Электронный ресурс] // Сайт Wikipedia [2013] - Режим доступа: http://en.wikipedia.org/wiki/Stuxnet, свободный. - Загл. с экрана. (21.11.2013).

134. Singh, A. Identifying Malicious Code Through Reverse Engineering / A. Singh (Ed.), B. Singh (Cont.). // Springer Science+Business Media, LLC. 2009. P. 188

135. Singh, A. On temporal population drift in malware families / A. Singh, A. Walenstein, A. Lakhoita // Proceedings of the 22nd Virus Bulletin International Conference, p. 20-24, 2012

136. Shabtai, A. Detecting unknown malicious code by applying classification techniques on OpCode patterns [Электронный ресурс] / A. Shabtai, R. Moskovitch, C. Feher, S. Dolev, Y. Elovici // Security Informatics, 2012. - Режим доступа: http://www.security-informatics.eom/content/l/l/l, свободный.

137. Shafiq, M.Z. PE-Probe: Leveraging Packer Detection And Structural Information to Detect Malicious Portable Executables / M.Z. Shafiq, S.M. Tabish, M. Farooq // Proceedings of 19th Virus Bulletin Conference, 2009. P.29-33.

138. Shahzad, F. The DroidKnight: a silent guardian for the android kernel, hunting for rogue smartphone malware applications / F. Shahzad, M. Akbar, M. Farooq // Proceedings of 23rd Virus Bulletin Conference, 2013. P.l 14 - 118.

139. Shahzad, F. In-Execution Malware Detection using Task Structures of Linux Processes / F. Shahzad, S. Bhatti, M. Shahzad, M. Farooq // Proceedings of IEEE International Conference on Communications, 2011. P. 1-6.

140. Shahzad, F. ELF-Miner: Using Structural Knowledge and Data Mining Methods to Detect New (Linux) Malicious Executables / F. Shahzad, M. Farooq // Journal Knowledge and Information Systems. Vol. 30(3) 2012. P.589-612.

141. Srndic, N. Detection of Malicious PDF Files Based on Hierarchical Document Structure [Электронный ресурс] / N. Srndic, P. Laskov // - Режим доступа: http://www.ra.cs.uni-tuebingen.de/mitarb/srndic/srndic-laskov-ndss-2013.pdf, свободный. - Загл. с экрана. (21.11.2013).

142. Szor, P. Virus Research and Defense / P. Szor // Pearson Education, Inc. 2005. P.713.

143. The Enhanced Mitigation Experience Toolkit [Электронный ресурс] // Сайт Microsoft Support, [2013] - Режим доступа: http://support.microsoft.com/kb/2458544, свободный. - Загл. с экрана. (21.11.2013).

144. TrojanDownloader:Win32/Poison.A [Электронный ресурс] // Сайт Microsoft Malware Protection Center [2013] , Режим доступа: http://www.microsoft.com/securi ty/portal/Threat/Encyclopedia/Entry.aspx?Name=Tr ojanDownloader:Win32/Poison.A, свободный. - Загл. с экрана. (21.11.2013).

145. Trojan-GameThief.Win32.Lmir.a [Электронный ресурс] // Сайт SecureList [2013], - Режим доступа: http://www.totalmalwareinfo.com/rus/Trojan-PSW.Win32.Lmir.ko, свободный. - Загл. с экрана. (21.11.2013).

146. Trojan-PSW:W32/Magania [Электронный ресурс] // Сайт компании F-Secure, [2013] - Режим доступа: http://www.f-secure.com/v-descs/trojan-psw_w32_magania.shtml, свободный. - Загл. с экрана. (21.11.2013).

147. Trojan-PSW:W32/OnlineGames [Электронный ресурс] // Сайт компании F-Secure, [2013] - Режим доступа: http://www.f-secure.com/v-descs/trojan-psw_w32_onlinegames.shtml, свободный. - Загл. с экрана. (21.11.2013).

148. Tyugu, Е. Artificial Intelligence in Cyber Defense / E. Tyugu // 2011 3rd International Conference on Cyber Conflict C.Czosseck, E.Tyugu, T.Wingfield (Eds.) Tallinn, Estonia, 2011. P.95-105. ISBN 978-9949-9040-2-0

149. Tzermias, Z. Combining Static and Dynamic Analysis for the Detection of Malicious Documents / Z. Tzermias, G. Sykiotakis, M. Polychronakis, E. Markatos

// Proceedings of the Fourth European Workshop on System Security, ACM New York, 2011

150. US Army Cyber Command [Электронный ресурс] // Сайт US Army Cyber Command [2013] - Режим доступа: http://www.arcyber.army.mil/, свободный. - Загл. с экрана. (21.11.2013).

151. Vapnik, V. The Nature of Statistical Learning Theory / V. Vapnik // Springer, 1995.

152. Version 4 April 2011 - 11,355+ Malicious documents - archive for signature testing and research [Электронный ресурс] // Сайт Contagio Malware Dump [2013], режим доступа: http://contagiodump.blogspot.fi/2010/08/ malicious-documents-archive-for.html, свободный. - Загл. с экрана. (21.11.2013).

153. VirusTotal - Free Online Virus, Malware and URL Scanner [Электронный ресурс] // Сайт VirusTotal [2013] - Режим доступа: http://www.virustotal.com, свободный. - Загл. с экрана. (21.11.2013).

154. VX Heaven [Электронный ресурс] // Сайт VX Heaven [2013] -Режим доступа: http://vxheavens.com, свободный. - Загл. с экрана. (21.11.2013).

155. Walenstein, A. Phylogenetic Comparisons of Malware / A. Walenstein, M. Hayes, A. Lakhoita // - Режим доступа: http://www.virusbtn.com/pdf/conference_slides/2007/WalensteinVB2007.pdf, свободный. - Загл. с экрана. (21.11.2013).

156. WEKA 3 - Data Mining with Open Source Machine Learning Software in Java [Электронный ресурс] // Сайт Machine Learning Group at the University of Waikato, [2013]. - Режим доступа: http://www.cs.waikato.ac.nz/ml/weka/, свободный. - Загл. с экрана. (21.11.2013).

157. Williamson, М.М. Using Behavior to Detect and Classify Information-Stealing Malware / M.M. Williamson // Proceedings of 15th Virus Bulletin Conference, 2005. P.270-275.

158. Wolf, J. OMG WTF PDF [Электронный ресурс] / J. Wolf // Presentation for 27th Chaos Communication Congress, - Режим доступа: http://blog.fireeye.com/files/27c3Julia_wolf_omg-wtf-pdf.pdf, свободный. - Загл. с экрана. (21.11.2013).

159. Wu, X. Тор 10 Algorithms in Data Mining / X. Wu, V. Kumar, J.R. Quinlan, J. Ghosh, Q. Yang, H. Motoda, G.J. McLachlan, A. Ng, B. Liu, P.S. Yu, Z.H. Zhou, M. Steinbach, D.J. Hand, D. Steinberg // Knowledge and Information Systems, 14(2008), 1: P.l-37.

160. Xu, W. A Fast and Precise Malicious PDF Filter / W. Xu, X. Wang, Y. Zhang, H. Xie // Proceedings of 22nd Virus Bulletin Conference, 2012. P. 14-19.

161. Ye, Y. Automatic Malware Categorization Using Cluster Ensemble / Y. Ye, T. Li, Y. Chen, Q. Jiang // Proceedings of the 16th ACM International Conference on Knowledge discovery and data mining, 2010. P.95-104.

162. Ye, Y. Hierarchical associative classifier (НАС) for malware detection from the large and imbalanced gray list / Y. Ye, T. Li, K. Huang, Q. Jiang, Y. Chen // Journal of Intelligent Information Systems Vol. 35 (1), 2010. P. 1-20.

Приложение А Примеры к экспериментам по разделу 3.3

На основе анализа результатов классификатора ОТ-50, был выделен ряд правил, позволяющих локализовать определенные группы вредоносных ФО. Для практической интерпретации результатов из каждой группы было выделено по несколько примеров ФО. На рисунках 46-51 показаны результаты сравнения отдельных ФО одинаковых групп. Зеленым и красным цветом выделены совпадающие и несовпадающие позиции.

Таблица 25 — Ссылки на экземпляры отдельных вредоносных программ

Условное имя объекта SHA1 объекта

Pattern 1.1 8b5177bc4fd30603554d461027dc423de0906651

Pattern 1.2 fD35bdlb561ceec9205ad7949ccc45953df2aca5

Pattern2.1 86rod0da0084e78f7bld8e69a5775f834all3b07

Pattern2.2 f740013ccfb29ec63c8cb9528feec88el57a0252

Pattern3.1 b4a5e994577e298b6fca53ce34b7cc4fa0c52f88

Pattern3.2 c2d38be74ce5b26206cf6c722d8e6c7d718e92eb

Pattern4.1 9flfa83358375e30c06763d7ce7f47387blcdc4d

Pattern4.2 ec293afl798c7c6f4e0af532803874e5547a6db4

Pattern5.1 (безопасный) Idf97aa4f3722b6695eac457e207a76a6b7457be

Pattern5.2 8d8608e 1 b290497eafD45d6b0edfb32065beae3c

Pattern5.3 9cd90e2e7d4533d72131 dea40e2df5469a70fa81

1: 5с fcd5 еООЗ f33c ab39 cld6 9436 2:04db Ь^Ьэ! 4f62 Ь681 04Ы [бО^в 0900 0000 3:евЭЗ 0000 е906 0200 0033 с95е 870е e3f4 4:2bf1 3bde ad2b d8ad ОЗсЗ 5097 ad9i f3a5 5:5ead 5691 Olle ade2 fbad 8d6e 1001 5d00 6:Sd7d Icb5 lcf3 ab5e adS3 5051 9758 Sd54 7:355c ffl6 7257 2c03 7302 bOOO 3c07 7202 S:2c03 500f b65f ffcl еЗОЗ ЬЗОО Sdlc 5b2d 9:9c9d OclO 0000 bOOl e329 Sbd7 2b55 OcSa 10:2a33 d284 e90f 95c6 52fe c6Sa dOSd 1493 11:ff16 5a9f 12c0 d0e9 740e 9ela f274 е4Ь4

"T: ~~3e""bcf 3~ 651?"a4~61 £bf d"clO 6~"f ¿'П'Т^Щ 2 : 413a 6591 ei~e5~"b63~f~3~7~jb"1600900 0000

3:74ea 0000 e906 0200 0033 c95e 870e e3f4

4:2bf1 8bde ad2b dSad ОЗсЗ 5097 ad91 f3a5

5:5ead 5691 Olle ade2 fbad 8d6e 1001 5d00

6:Sd7d lcb5 lcf3 ab5e ad53 5051 9758 Sd54

7:855c ffl6 7257 2c03 7302 bOOO 3c07 7202

8:2c03 500f b65f ffcl еЗОЗ ЬЗОО Sdlc 5b8d

9:9c9d OclO 0000 bOOl e32 9 Sbd7 2Ь55 ОсЗа

10:2a33 d284 e90f 95c6 52fe c68a dOSd 1493

11:ff!6 5a9f 12c0 d0e9 740e 9ela f274 e4b4

Рисунок 46 - Сравнение

объектов 1,2 группы Pattern 1

1 07 а506 ООЬЗ 6556 99£7 а£ 16 1127 . 4d 831Ь £607 1629 еЬЭе Ь2а6 daa9

2 а135 £ЬеЗ 8аеа 09еЭ 60е8 0900 0000 2 Ъ2ее 8164 195с г2Э4 60е8 0900 0000

3 £еЭ5 0000 е906 0200 0033 [сЭ^е 870е еЗ£ 4 3 2d26 0100 е906 0200 0033 ЕЬ 870е еЗ£ 4

4 2Ь£1 8Ьс1е ас!2Ь (38 ас! ОЗсЗ 5097 ad91 £ За5 4 2ЬГ1 гbde ad2b d8ad ОЗсЗ 5097 ad91 £3а5

5 5еас1 5691 011е ade2 fbad 836е 1001 5d00 5 5ead 5691 011е аЗе2 fbad 8d6e 1001 5d00

6 8а7с1 1сЬ5 1с£ 3 аЬ5е ad53 5051 9758 8d54 6 8d7d 1сЬ5 07£ 3 аЬ5е ad53 5051 9758 8d54

7 855с ££16 7257 2с03 7302 ЬООО Зс07 7202 7 855с ££16 7257 2с03 7302 ЬООО Зс07 7202

8 2с03 500£ Ь65£ ££с1 еЗОЗ ЬЗОО 8dlc 5Ь8d 8 2с03 500£ Ь65£ ££с1 еЗОО ЬЗОО 8dlc 5b8d

9 ЭсЭс! ОсЮ 0000 Ь001 е329 8bd7 2Ь55 0с8а 9 9с9£ ОсЮ 0000 Ь001 е329 ebd7 2Ь55 0с8а

10 2аЗЗ Й234 е90£ Э5с6 52£ е с68а d0Sd 1493 10 2аЗЗ d234 е90£ 95с6 52£ е сбЗа d08d 1493

11 ££16 5а9£ 12с0 d0e9 740е 9е1а £274 е4Ь4 11 ££16 5а9£ 12с0 d0e9 740е 9е1а £274 е4Ь4

Рисунок 47 — Сравнение объектов 1,2 группы Райегп2

1 Ьа Эd35 2dcг а25£ ЬбЗЗ 66 сс 24£1 б|ст| 1 £0 c36d 226а 2Ь93 ее61 Згс7 ас~2

2 £30d £ 7d8 а32а Ь£63 ееОО [60^8 0900 0000 2 9а09 d421 135£ 1700 [б0^8 0900 0000

3 412а 0100 е906 0200 0033 с95е 870е еЗ£ 4 3 2аеЬ 0000 е906 0200 0033 с95е 870е еЗ£ 4

4 2Ь£ 1 ЗЬde ad2b d8ad ОЗсЗ 5097 adЭl £ За5 4 2Ь£ 1 8fcde ай2Ь d8ad ОЗсЗ 5097 а391 £ За5

5 5ead 5691 011е ade2 fЬad 8d6e 1001 5d00 5 5ead 5691 011е ade2 fbad 83бе 1001 5аоо

6 8d7d 1сЬ5 1с£ 3 аЬ5е ad53 5051 9758 8d54 6 8d7d 1сЬ5 64£ 3 аЬ5е ad53 5051 9758 8й54

7 855с ££16 7257 2сОЗ 7302 ЬООО Зс07 7202 7 855с ££16 7257 2с03 7302 ЬООО Зс07 7202

а 2с03 500£ Ь65£ £ £с1 еЗОЗ ЬЗОО 8dlc 5b8d 8 2с03 500£ Ь65£ ££ с1 е305 ЬЗОО 8dlc 5Ь8d

9 9с 9d ОсЮ 0000 Ь001 е329 8Ь<17 2Ь55 0с8а 9 9c^d ОсЮ 0000 Ь001 е32Э 8bd7 2Ь55 0с8а

10 2аЗЗ d2 84 е90£ 95с6 52£е с68а d08d 1493 10 2аЗЗ d284 е90£ 95с6 52£ е сб8а d08d 1493

11 ££16 5а9£ 12с0 d0eЭ 740е 9е1а £274 е4Ь4 11 ££16 5а9£ 12с0 d0e9 740е 9е1а £274 е4Ь4

Рисунок 48 - Сравнение объектов 1,2 группы РайегпЗ

1! 45 524е 454с 3332 2е44 4с4с 004d 5356|

2: : 4256 4^36 302е| |44^с 4с00 |60И РЬо 0000

3: 62fd ££££ 8Ь30 03£ 0 Що 8Ь£е б6гd

4: : с1е0 & с850 ad2b с803 £18Ь С857 5149

5; :8а44 3906 7405 8804 31еЬ £438 0431 ЗЪйб

6: :8Ьс£ е35б 0000 005е 5а83 еа05 2Ьс9 ЗЬса

7: : 7326 8fcd9 ас41 24£е Зсе8 75£ 2 4383 с104

8: : гdOb с078 ОбЗЬ с273 е5еЬ 0603 с378 df 03

9: :с22Ь с389 4 6£ с е^Зб] |е800 0000 005£ 81с7

10: : 8df £ £ £ £ £ ЬОеЭ ааЬ8 9а02 0000 аЬе8 0000

11: : 0000 5305 1с02 0000 е90с 0200 0055 8Ьес

45 524е 454с 3332 2е44 4256 4фб 302е|ЕнЬс 4с00

62£(1 ££££ 8Ь30 03f0

:с1е0 |ОсЬЬ С850 аг!2Ь сЗОЗ £13Ь

Э:с22Ь сЗЗЭ 46£с 10:8а££ ££££ Ь0е9

11:0000 5805 1с02

ааЬ5

4с4с 0043

1боЬе |оэЬо 0000

Що 8Ь£ е ббad

£13Ь с857 5149

£488 0431 8bd6

еа05 2Ьс9 ЗЬса

75£ 2 4383 с104

0603 с378 df 03

0000 005£ 81с7

0000 аЬеЭ 0000

0200 0055 8Ьес

Рисунок 49 - Сравнение объектов 1,2 группы РаЦегп4

На рисунке 50 представлен классический случай ложного срабатывания, когда безопасный ФО РаКегп5.1 идентифицируется классификатором ЭТ как опасный по признаку упакованности программным упаковщиком РБв 2.0.

1 2 : 80 : 0080 0200 0080

оЛоо!

3 И3)с £ Я74| 240с

4 : 2403 0175 256а

5 :6800 Ь0£ 8 67еЗ

6 : аОЮ £367 6а01

7 : £368 48Ь0 £867

3 :7424 108Ь £ 1££

9 : 8935 еОЬО £867

10 : 0003 0000 е325

11 : 8519 1600 0057

ОсОО 837с ££74 2408 2404 ££15 2403 0075 е756 57££ ЗОЬО £367 56с7 4664 7с24{14^£ £867 £97е

1 : 00 Ь93£ 0000

2 : 0000 шн : ЗЗсО о4оо| [ооЬо

3 4 5^34] ££13 ЬбЭО 731£

5 :£а75 Зааа еЬеО

6 : ££53 04еЬ 24ас

7 : с!еО 08ас ££53

Р : 0683 £87£ 7702

9 : 2Ь£0 £3а4 5ееЬ

10 :8Ь07 4012 £375

11 : еЬее 33с9 41£ £

0002 еООО ££13 Ь630 ££53 31е8 043Ь 4141

9Ш

03££ 1313

0000 0000 ООсО рЗ5 73£^ |35Ь9 4^Ь0] Ю£ £ 0802 £683 7423 13сЭ 43£8 730а 958Ь с5Ь6 а397 ас!50 630с 5055 с9££ 1372

Рисунок 50 - Сравнение объектов 1,2 группы Раиеш5

1 00 Ь93£ 0000 0002 0000 0000 0000 оШ

2 0000 оШ [ооЬо еООО ООсО Цоро

3 61^4 53а4| Ь680 ££13 73£9 [ззЬэ ££13 7316

4 ЗЗсО £113 731£ Ь680 4|ьр] 10££ 1312 с073

5 £а75 Зааа еЬеО ££53 0802 £683 d901 750е

6 ££ЬЗ 04еЬ 24ас сИе8 742Й 13с9 еЫ8 9148

7 с1е0 08ас £153 043Ь 43£ 8 730а 80£с 0573

8 0683 £87£ 7702 4141 958Ь с5Ь6 0056 8Ь£7

9 гьго £ За4 БееЬ ad97 ad50 ££53 1095

10 8Ъ07 4078 £375 03£ £ 630с 5055 ££53 [Щь

11 еЪее 33с9 41££ 1313 с9£ £ 1372 £ 8сЗ 02 d2

1 00 1553 0000

2 0000 0§ ЕоЬо

3 £34 51а41 Ь680

4 ЗЗсО ££13 731£

5 £а75 Зааа еЬеО

6 ££53 04еЬ 2 4 ас

7 с1е0 08ас ££53

8 0683 £87£ 7702

9 2Ъ£ 0 £3а4 5ееЬ

10 8Ь07 4078 £375

11 еЬее ЗЗсЭ 41££

Рисунок 51 - Сравнение объектов 2,3 группы РаМегп5

Приложение Б Примеры к экспериментам по разделу 3.4

В таблице 26 представлена общая информация о файловых объектах, использованных в проведенном выборочном анализе основных результатов экспериментов [42, 48, 144-147]. Под условным именем объекта подразумевается короткая ссылка, используемая в дальнейшем при обсуждении результатов. В столбце «8НА1 объекта» указывается значение хеширующей функции 5НА-1 содержимого файлового объекта для его точной идентификации и получения дополнительной информации о нем в открытых ресурсах (например, \УеЬ-портал компании У1гизТо1а1 [153]). В таблицах 27-38 представлено детальное описание и, в некоторых случаях, интерпретация некоторых наиболее информативных признаков.

Таблица 26 - Ссылки на экземпляры отдельных вредоносных ФО

Условное имя объекта SHA1 объекта

Dll.Onlinegames.2 6677cd73f72f337edec92196b4ee71 c7b75e5869

Dll.Vapsup.2 al 195dcda555067eaa6ffd 1 Ici 153282fa59b95c

Dll.Lmir.2 dcdee27f0c3a768fe6b938211105c4aaf83f8bb7

Dll.Magania.2 a494a2cba3a85ac99b81c92c3ea3f62149d0b0d6

Exe.Bifrose.l 7e2994f2b2033e85a017ff093b97e0c84511050e

Exe.Bifrose.2 326ed 1 efea 18e22c 1 bde847ef5 f7f05 861 fefdc8

Exe.Lmir. 1 a3c6266888d92c7a7f20fe838dce62cffaf49a65

Exe.Magania.l 97fdc9c98299f0836040353ec3ffe927d2a7659a

Exe.Onlinegames. 1 4c045f7247c08fa42c3f2d4e9ff32b48413bald6

Exe.Onlinegames.3 e7e985c8eb5cd611 aa4bea4c4fb5d92c2balf93e

Exe.Poison. 1 09ee9ff8e91cdc06b287ee514cabb47bacb906fa

Exe.Poison.2 365aec9de2b604fa708e8d49491 ea43a24a30e85

Exe.Vapsup.l 9aade4969c0351ce35f78c47c9d6cc26f53ale6a

Для описания отдельных аспектов поведения выбранных объектов на уровне последовательности инструкций, используется общая структура таблицы. Она описывает (1) смещение инструкции относительно точки входа исполняемого объекта, (2) виртуальный адрес инструкции, (3) мнемоническое представление инструкции (в варианте, используемом интерактивным дизассемблером IDA), (4) байтовая последовательность, представляющая

данную инструкцию процессора и (5) соответствующее ей 2-байтовое представление, используемое в описанной методике.

Определение средств программной защиты (упаковки).

Таблица 27 показывает пример анализа признака 8700610094005500а400Ь6(ЖГО2. Данный признак является классическим примером того, как на процесс принятия решения может повлиять использование средства программной упаковки, редко используемого безопасными приложениями. Данный признак свойственен исполняемым ФО, упакованным программным средством ББО 2.0. Данное средство активно используется семействами Ьгшг и ОпИпеватез. (ФО Ехе.Ьгтг. 1, Exe.Onlinegames.l).

Таблица 27 — Типовая последовательность машинных команд от точки входа для исполняемых ФО, обработанных программным упаковщиком РБв 2.0

1 2 3 4 5

0x00000000 0x00400154 хс!^ езр, ёз:сЬуогс1_40В2В4 0x87 0x25 0хВ4 0хВ2 0x40 0x00 0x8700

0x00000006 0x0040015а рора 0x60 0x6100

0x00000007 0x0040015Ь хс!^ еах, еэр 0x94 0x9400

0x00000008 0x0040015с ри8Ь еЬр 0x55 0x5500

0x00000009 0x0040015ё ШОУЭЬ 0хА4 0хА400

0x0000000а 0x0040015е ШОУ (Й1, 80Ь ОхВб 0x80 ОхВбОО

0x0000000с 0x00400160 са11 с1шогс1 рЦ-[еЬх] ОхРР 0x13 0хРР02

Определение отдельных элементов программной защиты.

Пример использования вставки байтов между инструкциями для затруднения процесса статической обработки (дизассемблирования) представлен в таблицах 28 и 29.

Таблица 28 - Представление признака 730081008<100е800 в объекте Ехе.Ма§ата.1

1 2 3 4 5

0х18ААВ 0х0043сЮЬе ]пЬ зЬоП 1ос_43Б0С2 0x73 0x02 7300

0х0043ё0с0 ОхСЭ 0x20

0х0043ё0с2 add ее!, ЗАЬ 0x81 ОхСб 0x3 А 0x00 8100

0x00 0x00

0x0043d0c8 lea еах, [edx+eax*4+46h] 0x8D 0x44 0x82 0x46 8d00

0x0043d0cc call near ptr loc_43D0Dl+4 0xE8 0x04 0x00 0x00 0x00 e800

Таблица 29 - Представление признака «730081008d00e800» в объекте Dll.Onlinegames.2

1 2 3 4 5

0x7 ABO 0xl001dc79 jnbshort loc_1001DC7D 0x73 0x02 7300

0xl001dc7b OxCD 0x20

0xl001dc7d addebx, 46h 0x81 ОхСЗ 0x46 0x00 0x00 0x00 8100

0xl001dc83 leaeax, [edi+eax*4+4Ah] 0x8D 0x44 0x87 0x4A 8d00

0xl001dc87 call near ptr loc_1001DC91+4 0xE8 0x09 0x00 0x00 0x00 e800

Из содержимого таблицы 30 очевидно, что у рассмотренных вредоносных файлов различная последовательность инструкций на точке входа (строки 1 -5), что не позволяет использовать подход, рассмотренный в предыдущем примере, относящемуся к прямой идентификации защитных программных средств.

Таблица 30 — Расширенное представление схожих элементов кода объектов Exe.Magania.l и 011.0пНг^ате8.2

## Exe.Magania.l Dll.Onlinegames.2

VA Code VA Code

1 0x00455b69 sbb eax,0x4688 0x10025729 test eax,0x624

2 0x00455b6e push edi 0xl002572e push ebx

3 0x00455b6f adc eax,0x606e 0xl002572f xor eax,esp

4 0x00455b74 push edx 0x10025731 push edx

5 0x00455b75 call 0x7 0x10025732 call 0x8

6

7 0x00455c09 jmp 0xfffe7431 0xl00257b9 jmp 0xffff842f

8 0x0043d03a stc 0xl001dbe8 adc eax,0x8fb

9

10 0x0043d09a call 0x7 0xl001dc46 call Oxf

11 0x0043d0al call 0x9 0xl001dc55 call Oxd

12 0x0043d0aa pop esi 0xl001dc62 pop ebx

13 0x0043d0ab xor eax,ebx 0xl001dc63 test eax,0x6ba3

14 0x0043d0ad sub edx,edx 0xl001dc68 sub edi,edi

15 0x0043d0af pop eax 0xl001dc6a pop eax

16 0x0043d0b0 jz 0x6 OxlOOldcôb jz 0x6

17 0x0043d0b6 mov edx,0x289 0xl001dc71 mov edi,0x281

18 0x0043d0bb mov eax,edx 0xl001dc76 mov eax,edi

19 0x0043d0bd clc 0xl001dc78 clc

20 0x0043d0be jnc 0x4 0xl001dc79 jnc 0x4

21 0x0043d0c2 add esi,0x3a 0xl001dc7d add ebx,0x46

22 0x0043d0c8 lea eax,[edx+eax*4+0x46] 0xl001dc83 lea eax,[edi+eax*4+0x4a]

23 0x0043d0cc call 0x9 0xl001dc87 call Oxe

24

Таблица 31 - Представление признака «74008Ь0089008Ь0083077400» в объекте Exe.Vapsup. 1

1 2 3 4 5

404400 407dcb jzshort loc_407DE0 0x74 0x13 7400

407de0 mov ecx,[esp+0xl4] 0x8b 0x4c 0x24 0x14 8b00

407de4 mov [eax+0xc], ecx 0x89 0x48 0x0c 8900

407de7 mov eax,[esi] 0x8b 0x06 8b00

407de9 cmp eax, Oxfffffffe 0x83 0xf8 Oxfe 0x74 8307

407dec jzshort loc_407DFB 0x74 OxOd 7400

Таблица 32 - Представление признака «е9008500еЬ00» в объекте Dll.Vapsup.2

1 2 3 4 5

10001647 10001792 jmp loc_10001CF5 0xe9 0x5e 0x05 0x00 0x00 e900

10001cf5 test esi,esi 0x85 0xf6 8500

10001cf7 jmp short loclOOOlDOE Oxeb 0x15 ebOO

Таблица 33 - Представление признака «730083057300» в объекте Exe.Poison.l

1 2 3 4 5

400408 0x00401386 jnbshort loc_40138D 0x73 0x05 7300

0x0040138d sub ecx,0x8 0x83 0xe9 0x08 8305

0x00401390 jnb short loc_401397 0x73 0x05 7300

Таблица 34 представляет пример подготовки специфической конфигурации стека для передачи аргументов функции VirtualAlloc, экспортируемой модулем kernel32.dll операционной системы Ms Windows.