Антонов. Функциональное сравнение исполняемых файлов
Скачать 76.5 Kb.
|
Экспериментальная проверка способов сравнения файловПроведем экспериментальную проверку качества полученных способов, для оценки схожести файлов. Для экспериментальной проверки было отобрано 1500 вредоносных файлов. Далее эти объекты были разобраны по группам согласно вердикту антивируса Касперского: в одну группу отнесены объекты, имеющие одинаковый вердикт. Для извлечения исполняемых функций использовался эмулятор. В качестве меры качества сравнения использовался Индекс Ранда: , где p – количество верных сравнения, n – количество неверных сравнений; для наилучшего порогового расстояния h - RIM, рассчитанный для всех пар объектов: . Сравнение считается верным, если объекты лежат в одном кластере и расстояние D между ними меньше порога h, а также если объекты лежат в разных кластерах и расстояние D между ними больше порога h. В противном случае сравнение неверно. Результаты измерения для различных метрик приведены в таблице 1. Таблица 1 - Экспериментальная проверка способов сравнения файлов
Как показал эксперимент, оценка информативности функций дает более существенный прирост качества функции расстояния, нежели различные способы сравнения. Выводы по работе В ходе работы были рассмотрены различные способы выделения API функций используемых файлом. Проанализированы различные способы сравнения файлов по используемым функциям. Была предложена методика взвешивания API функций с учетом их информативности и зависимости от других функций. Экспериментально были определены наилучшие способы сравнения файлов: это сравнение API функций файла и с помощью взвешивания API функций. Результаты работы могут быть использованы для автоматической кластеризации файлов и анализа степени принадлежности файла к вредоносному П.О., методом сравнения их с уже существующими представителями в коллекции. Литература 1. Bailey U., Comparetti P.M., Hlauschek C., Kruegel C., Kirda E.: Scalable, behavior-based malware clustering. In: Proceedings of the Network and Distributed System Security Symposium. 2009. 2. Tamada H.,Okamoto K., Nakamura M., Monden A., Matsumoto K.: Dynamic software birthmarks to detect the theft of windows application. In: International Symposium on Future Software Technology. 2004. 3. Wang X., Jhi Y., Zhu S., Liu P., Detecting software theft via system based birthmarks. In: Proceedings of 25th Annual Computer Security Applications Conference. 2009. 4. Li P., Liu L., Gao D., Reiter M. K.On challenges in evaluating malware clustering. In Recent Advances in Intrusion Detection 13th International Symposium. 2010. |